Comment sécuriser ses accès et améliorer sa gestion des mots de passe?

atelier-cadenasRien n’est plus important que sécuriser ses accès et améliorer sa gestion des mots de passe… La sécurité informatique est un sujet à la mode pourrait-on dire; 2014 a été l’année de nombreuses failles de sécurité et de nombreuses attaques médiatisées. De Sony à Heartbleed, de Snapchat à iCloud… Aujourd’hui votre vie, que vous le vouliez ou non, est connectée de près ou de loin à l’informatique à Internet et il est très important pour vous d’en prendre conscience dès maintenant. Il y a tellement de sujets à aborder qu’il faut bien commencer par un et en tant qu’utilisateur, rien n’est plus important que sécuriser ses accès et améliorer sa gestion des mots de passe.

Point important à préciser de suite, je ne suis pas un amateur de solutions qui nous complique la vie. La sécurité informatique c’est important, cela demande un peu de discipline, mais il existe des solutions simples à mettre en place, faciles et pratiques à utiliser.

atelier-de-passe

Le mot de passe, le premier réflexe sécurité

Le mot de passe est un premier rempart à tout problème de sécurité informatique; malheureusement, pour la plupart d’entre nous, le mot de passe consiste à la première combinaison facile à retenir et sera utilisé sur une multitude de site web, d’application et de services en tout genre. Certains vont même jusqu’à utiliser 12345 comme mot de passe . Vous ne savez pas comment faire pour retenir un mot de passe complexe ? Ne parlons pas alors d’en retenir un par site ou application. Et bien vous ne le savez peut être pas encore, mais il existe un moyen sécurisé pour mémoriser vos mots de passe et les utiliser en toute sécurité : le coffre-fort électronique ou password-vault pour les amis de Shakespeare.

 

Coffre-fort électronique : le principe

Un coffre-fort électronique est en fait un coffre fort dans lequel tous les mots de passe, les identifiants et d’autres données importantes sont enregistrés. Le principe est simple; on retient un mot de passe dit master et l’on va pouvoir débloquer une base de données dans laquelle il ne nous restera plus qu’à enregistrer les différentes informations sensibles concernant nos comptes, nos données bancaires, d’identité, de sécurité sociale…notre vie tout simplement.

coffre-fort

Mais qu’attendons-nous d’un coffre-fort électronique? 

  • Un espace sécurisé pour stocker ses données,
  • Un système d’accès renforcé pour que vous seul ayez la possibilité d’y accéder,
  • Un moyen rapide pour diversifier et améliorer ses mots de passe; fini le mot de passe à 8 caractères utilisé sur tous les sites,
  • Un système d’accès ergonomique, ouvert pour pouvoir l’utiliser partout et bien entendu disponible sur tous les systèmes sur lesquels j’en aurais besoin.

Un espace sécurisé…

Qui ne connait pas un collègue ayant laissé son mot de passe sur un post-it collé sur l’écran ? Autant pour moi, c’était un papier glissé sous le clavier ? Ah et parlons du code de la carte bancaire juste à côté de ladite carte ? Mais non, 1234, c’est plus facile ! On ne répètera jamais assez, dans une société connectée comme la nôtre où l’on accède à ses données bancaires par Internet, où l’on achète par Internet, où l’on remplit des demandes officielles d’état civil, des procédures administratives par Internet… il est des plus important, nécessaire et même obligatoire de protéger sa vie et les informations qui nous concernent.

Le coffre-fort électronique est un élément de réponse. Ce dernier est sécurisé et chiffré ; on entend par là qu’il va stocker vos données comme un vrai coffre-fort (c’est-à-dire difficilement violable), mais de façon numérique. Je ne vais pas m’attarder sur la façon dont est sécurisé ce coffre-fort, car cela dépendra de la solution que vous choisirez, mais sachez qu’aujourd’hui pour être crédible sur le marché il faut savoir en apporter la preuve… que vous retrouverez la plupart du temps dans la description du service retenu. Ce coffre-fort électronique sera très difficilement voir impossible à ouvrir sans en avoir la clé et cette clé, c’est vous et vous seul qui la possédez et qui la définissez. Ce qui veut dire que si un pirate obtient votre clé, il a accès à toutes vos données.

Mais alors, quel intérêt de stocker des données dans un coffre-fort électronique protégé par une seule clé ? Et bien une clé n’équivaut pas forcément à un mot de passe, elle peut correspondre par exemple à validation en deux étapes (two factor authentication) qui assurera une protection supplémentaire non négligeable.

2-step-verification

Un système d’accès renforcé : la validation en deux étapes

Ce principe que l’on retrouve de plus en plus consiste à utiliser un mot de passe complété par un autre moyen et le tout sera établi comme votre clé.

Voici quelques-uns des moyens pouvant être utilisés :

  • SMS envoyé avec un numéro unique : une solution pratique et efficace, le système vous demandera le code que vous avez reçu par SMS pour valider votre identité. Cela demande au préalable d’avoir renseigné son numéro de téléphone au sein de l’application ou du site web.
  • Carte TAN (Transaction Authentication Number) : une carte en papier avec des codes que l’on garde dans le portefeuille –> Les banques françaises sont assez friandes de ce système, car peu coûteux, mais soyons honnête ; il est de moins en moins utilisé et peu recommandable, car la liste de codes est souvent très courte, elle a un format standard propre à une banque et peut être facilement copié.
  • Token : appareil physique ou application affichant un code unique durant un intervalle de 30 secondes –> la meilleure des solutions.  SID700
    • Le token physique est un petit boitier avec un bouton qui affiche un code à 6 chiffres qui change toutes les 30 secondes. Votre application vous demandera comme à l’accoutumée votre mot de passe puis ce code à 6 chiffres. Si vous n’avez pas renseigné l’application endéans 30 secondes, il faudra indiquer le nouveau code affiché sur l’écran du token. Le système est excellent, car à moins d’avoir le token, il sera difficile pour le pirate d’avoir votre code unique. Côté inconvénients, et bien si pour pouvoir utiliser ce système il faut l’avoir tout le temps avec soit, sur son porte-clés par exemple et si vous le perdez, il vous faudra en recommander un auprès du prestataire de service ce qui pourra potentiellement vous paralysez quelque temps.
    • Authy-validation-en-deux-étapes-securite-iphone-android
    • Le token applicatif fonctionne exactement de la même façon, mais au travers d’une application sur votre smartphone. Un très célèbre système de validation en deux étapes, gratuit, est celui de Google via son application Google Authenticator disponible sous Android, Windows phone et bien sûr iOS.

1388690006-e1398437295224

Personnellement j’utilise ce service, mais via une application tierce des plus réussie, Authy. Authy est un logiciel gratuit multiplateforme compatible Google Authenticator, mais bien plus ergonomique, et surtout, permettant d’utiliser le système sur plusieurs terminaux. Nous parlions des désavantages du token physique un peu plus haut ? Et bien avec Authy, plus aucun souci en cas de perte de son smartphone, étant donné qu’il est facilement possible de réactiver son compte sur un autre système. Pour les utilisateurs de produits Apple, il est sécurisé par empreintes digitales via touchID. Pour les autres, un code pin en protège l’accès (évitez 1234 s’il vous plait). De plus, vu que nous parlons ici d’une application smartphone, plus de problèmes de transports et de pertes ou tout du moins… moins. Personnellement, j’utilise Authy sur mon smartphone et ma tablette afin de faciliter mon utilisation des tokens. Un simple copier-coller suffit dans les applications qui l’utilisent pour les déverrouiller.

Pour finir, sachez que de nombreuses applications utilisent la validation en deux étapes telles que Gmail, Outlook.com, Evernote, Facebook…

 

Après avoir parlé de la théorie, des moyens de sécuriser l’accès, venons-en à la pratique. Quel coffre-fort électronique choisir? Je vais ici essayer de vous décrire mon expérience personnelle, n’ayant pas pu tester toutes les solutions du marché. Si vous souhaitez des informations complémentaires, nos confrères de Lifehacker ont fait un excellent sondage et un très bon article sur le sujet que je vous invite à consulter.

Keepass

btdn2743x0uc77s2Keepass est un coffre-fort électronique open source (ce qui veut dire que le code source de l’application est libre et ouvert et que donc le système de sécurité mis en place est connu et donc vérifiable par ses utilisateurs).

J’ai utilisé Keepass durant des années du fait de sa gratuité et des qualités que le côté open source lui confère. Keepass utilise une base de données que l’on peut placer par exemple sur Dropbox (et principalement sur ce dernier) pour pouvoir la synchroniser entre de multiples environnements. J’ai utilisé par la suite des applications tierces telles que Kypass3 pour iOS, KeepassX sur Mac ou encore Keepassdroid sur Android.

L’interface de Keepass est claire et simple, mais soyons honnête, ce n’est pas une foudre d’ergonomie. Le fait que les solutions sur les différentes plateformes ne soient pas du même éditeur, il peut y avoir tout et n’importe quoi en termes d’interface. On notera aussi qu’étant donné que la synchronisation n’étant pas native, il arrive souvent que le fichier soit corrompu après son utilisation avec un client tiers tel que ceux cités ci-dessus. Autre gros défaut de ce manque de cohérence en termes d’interface est qu’il n’y a pas un système commun pour mettre en place une validation en deux étapes. En effet, le client officiel ne demande qu’un mot de passe pour l’accès à la base de données et suivant les interfaces tiers, il est possible de rajouter par dessus un code pin par exemple, mais c’est tout… la base de données est donc beaucoup plus facilement « piratable ».

Keepass est un logiciel sympathique avec un très bon concept, mais il souffre terriblement d’un manque de centralisation pour en faire une solution valable aujourd’hui.

1Password

1password-logo-250sqSoyons franc, la première fois que j’ai vu 1Password, logiciel mainte et mainte fois récompensée sur Mac, je me suis dit, quelle perle ! Voilà enfin le logiciel parfait pour sauvegarder mes informations. À l’instar de Keepass, 1Password offre une interface ergonomique et une utilisation très propre, quelle que soit la plateforme. On apprécie forcément son intégration avec les produits Apple, mais aussi directement dans les navigateurs tels que Chrome, Safari…

Ce qui m’a par contre fait tout de suite déchanter…c’est son prix. Remettons les choses à leur place. Je n’ai aucun problème à payer pour de la sécurité si elle est nécessaire et ce ne sont pas les 40€ de la version Mac qui me font peur. Le problème de 1Password est qu’il faut toujours repasser à la caisse. Vous voulez l’utiliser sur Mac ? 40€. Sur votre PC au bureau ? Rajoutons 40€. Et pourquoi pas sur votre téléphone ? Et bien on repassera encore une fois à la caisse. Plus de 100€ sont nécessaires pour avoir un accès sur toutes ses plateformes si tant est que l’on ait un seul équipement par plateforme. Côté fonctionnalité de synchronisation, on peut utiliser Dropbox, iCloud, ou juste une synchronisation par WiFi. C’est pas mal, c’est plus ouvert, mais on est quand même très limité, car même si l’on synchronise sa base de données via Dropbox et pour utiliser l’extension dans son navigateur, on est obligé d’avoir une copie du client lourd installé sur la machine pour que le système fonctionne. Bien sûr, 1Password supporte très bien la validation en deux étapes sur toutes les plateformes ce qui en renforce considérablement la sécurité. On notera aussi son générateur de mot de passe très pratique et efficace. 1Password est une excellente solution, mais relativement onéreuse.

LastPass

LastPassLogoShadowMe voilà aujourd’hui utilisateur de cette perle rare qu’est LastPass. LastPass est un coffre-fort électronique cloud-based. Cela veut tout simplement dire que la base de données est stockée quelque part sur les serveurs de LastPass et que l’on peut y accéder de n’importe où à travers le nuage. Alors, autant vous le dire, j’étais des plus sceptiques à la base. Mes mots de passe sur Internet ? Dans une solution complètement dans le nuage ? Soyons clair, si l’on se sert de ce type de solution c’est avant tout pour gagner en protection, mais aussi et surtout pour pouvoir l’utiliser de n’importe où. Comme je l’ai dit avant, j’utilisais Keepass via Dropbox, j’utilisais 1Password aussi via Dropbox alors, pourquoi pas la solution de LastPass dans son propre cloud ?

Plus besoin de client lourd, tout est opérable depuis un navigateur. La solution supporte quasiment toutes les plateformes les plus répandues, s’intègre à merveille dans votre navigateur et vous propose tout simplement de remplacer le gestionnaire de mot de passe intégré (si ce n’est pas fait, je vous invite d’ailleurs à désactiver tout de suite les gestionnaires de mots de passe intégrés aux navigateurs. C’est pratique, certes, mais niveau sécurité, on repassera).

lpspill

Comment fonctionne LastPass ? Très simplement. On utilise sa clé (mot de passe + token dans mon cas) sur n’importe quelle plateforme, dans son extension navigateur ou dans le client (sur iOS on peut se substituer à TouchID et ne remettre les identifiants qu’à chaque redémarrage de l’application) et on accède à son coffre-fort électronique. L’ajout et la recherche d’information sont des plus simples et le logiciel dispose de nombreuses possibilités de paramétrage et de sécurité.

Mais qu’est ce que LastPass apporte d’autre ? En plus d’un coffre fort, LastPass propose un challenge de sécurité. Il va tout d’abord vérifier vos différents comptes d’application pour voir s’il n’y a pas eu une faille de sécurité déclarée sur un site où vous êtes enregistré. Si tel est le cas, LastPass va vous proposer automatiquement de changer le mot de passe. Ensuite, il va analyser votre base de données et va vous signaler les doublons que vous pouvez avoir au milieu de tous vos comptes enregistrés qu’il aura préalablement récupérés de vos fameux mots de passe enregistrés dans le navigateur. À vous après d’aller changer vos mots de passe sur les sites correspondants et même pour cela, LastPass peut vous aider ! Il possède un générateur de mot de passe qui ira tout simplement remplacer le mot de passe dans la base de données en même temps que vous le remplacez sur le site web correspondant.

LastPass est donc une solution complète, gratuite et efficace, mais avec quelques limitations. L’utilisation sur mobile ainsi que pour les challenges de sécurité pour ne citer qu’eux, sont disponibles uniquement dans la version Premium que vous pourrez utiliser pour seulement 12$ par an.

banner5

Après avoir fait le tour des solutions que j’ai pu utiliser, je ne saurais vous recommander autre chose que la combinaison Authy et LastPass. Pourquoi ? tout simplement parce qu’ils combinent tous les points essentiels à mes yeux en matière de gestion sécurisée des mots de passe:

  • LastPass sécurise mes informations dans une base de données chiffrées,
  • Authy me permet d’y accéder avec une authentification renforcée ce qui limitera les tentatives de piratages,
  • LastPass repère les doublons dans mes mots de passe ainsi que ceux qui ne sont pas assez complexes et me permet facilement de les remplacer,
  • Authy renforce le contrôle d’accès sur de nombreux sites sur lesquelles je laisse des données,
  • LastPass me permet d’accéder de partout et sur toute plateforme à ma base de données pour aller récupérer les informations relatives à mes comptes via une interface ergonomique et totalement intégrée quelque soit la plateforme.

Cette approche sur la sécurisation des accès et le coffre-fort électronique fait partie des bases en termes de sécurité informatique. Ce sont des recommandations, mais bien entendu il est toujours possible d’aller plus loin.

N’oubliez pas que la sécurité informatique démarre au niveau de l’utilisateur ; votre comportement déterminera votre niveau de sécurité. Mettez dès aujourd’hui toutes les chances de votre côté en prenant conscience que 12345 ou AZERTY ne vous aideront pas à garder la main sur votre vie diffusée un peu partout au travers Internet.

  1. J’utilise depuis 1 an keepass, et c’est vrai que c’est réellement lourd… En plus il faut bidouiller pour avoir la synchro dropbox… Je vais tester authy/lastpass

  2. Bon allez, sortez vos scores du challenge de sécurité 🙂
    Pour moi 31.1% (762643ème sur le classement)
    95% pour la complexité du master password

    Sites avec mots de passe identiques : 80 (oups…)

  3. Je suis à 96,3% mais j’ai pris du temps pour remonter tout cela 😉
    96,6 sur la complexité (qui a drastiquement augmenté avec LastPass, mots de passe sur 16 caractères maintenant ;))

    1. Je n’ai pas testé Dashlane mais je connais 🙂 Il a l’air intéressant mais je ne suis pas sur qu’il ait beaucoup d’avantages face à un LastPass, j’aurais même tendance à dire que les services sont très proches. Par contre ce qui n’est pas proche, c’est le prix… 12$ par an vs 39€…ouch ca fait mal 😉

  4. Super article Merci. Petite astuce sur mon PC j’utilise Keepass et sur Android Keepass2Android. Comme j’ai un Nas Synology j’utilise Cloud Station sur mon pc tablette et smartphone pour synchroniser la base de donnees de keepass. Mes mots de passe me suivent partout et sont stockés chez moi.

    1. Pour la partie Cloud, j’ai essayé pour ma part avec Bitorrent Sync et ça fonctionnait aussi très bien! Je parle de Dropbox dans l’article car par exemple sur Iphone il est intégré à Kypass 3. Mais dans tous les cas on en revient toujours au même, fais des sauvegardes régulières car les développeurs ne garantissent pas du tout l’utilisation sur cloud de la solution et de nombreux cas de corruption de base de données sont recensées!

  5. Idem, j’utilise Lastpass depuis des années et au quotidien c’est très agréable surtout quand on jongle entre les navigateurs, les ordinateurs (pc/mac) et les devices (mobile + tablettes). Il est même depuis un an possible de migrer son compte en europe. Merci pour le tips sur Authy c’est en effet super intéressant car j’utilise Google Authentificator qui reste très basique et surtout qui est mono-device, quand ton téléphone n’est pas dans le poche ou déchargé tu es bien embêté…

  6. Etonnant, Dashlane (français) n’est presque jamais cité alors même qu’ils sont plutôt dans le haut du panier à tout point de vu… Bon sans doute un peu de parti pris 😉

    1. Bonjour Olivier,
      Effectivement Dashlane comme dit plus bas a une excellente réputation! Ce qui m’a refroidit, c’est le prix 😉
      Bon si j’ai l’occasion de le tester, je ferais un amendement sur l’article!

  7. bon jour….. svp qui avez une expérience pour le devellopement d’un logiciel coffre fort numérique …… c urgent …est-ce que je peux avoir vos aides mrc bcp

  8. Pour ma part j’utilise Dashlane depuis le lancement. C’est pour moi la solution la plus aboutie (j’utilisais 1password avant). Et ayant été ‘beta testeur’ j’ai l’offre premium gratuite. Mais il existe une version gratuite sans la synchro dans le cloud.

  9. Merci pour la comparaison, mais en tapant Lastpass sur GG actu je viens de vois qu’ils se sont déjà fait pirater..

    1. Piraté ou Attaqué… La différence est importante. Par exemple sur Cachem, je reçois près de 300 attaques différentes tous les jours. A ma connaissance, aucun mot de passe n’a été récupéré chez LastPass. D’un autre côté, ils ne vont pas s’en vanter… A noter que les autres ne parlent jamais d’attaque ou de piratage de leur système, c’est encore plus obscur. Mais comme vous devez le savoir : Nulle forteresse n’est imprenable…
      Si on vous assure le contraire, c’est soit de l’inconscience soit de l’ignorance. Dans les 2 cas, vous avez affaire à la mauvaise personne.

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.