Plus qu’un coffre-fort
Outre de protéger les mots de passe, ces outils permettent de les créer et de les administrer.
Un gestionnaire de mot de passe est un logiciel administrant une base de données sécurisée. Il a pour principale mission de stocker vos identifiants et tous les mots de passe associés et de vous permettre de vous connecter automatiquement sur chacun des sites sécurisés auxquels vous êtes abonné. Ces programmes peuvent être présents sur le disque dur de votre ordinateur, mais également en ligne (cloud), ce qui présente l’avantage d’en permettre l’accès à partir de n’importe quelle machine. Ces outils sont, le plus souvent, utilisables à partir d’un ordinateur, mais également d’une tablette ou d’un smartphone.
Tous les gestionnaires de mots de passe utilisent des systèmes d’encodage très puissants pour interdire l’accès aux données qu’ils abritent. Par ailleurs, certains de ces logiciels proposent également des systèmes anti-intrusion commandant l’effacement de l’ensemble des identifiants et mot de passe au-delà d’un certain nombre de tentatives infructueuses d’ouverture. D’autres offrent aussi des claviers virtuels pour saisir les mots de passe à l’abri des « keyloggers » (logiciel espion enregistrant les frappes du clavier). D’autres, enfin, intègrent un générateur de mots de passe robuste et un système permettant d’administrer leur durée de vie. La création et le changement des mots de passe peut ainsi être « délégué » à cet outil.
Quel gestionnaire de mot de passe ?
Il existe des dizaines de gestionnaires de mots de passe. Le plus souvent, ces outils sont téléchargeables sur le site de leur éditeur sur les plates-formes proposant des utilitaires pour ordinateurs (Clubic, 01Net, Comment ça marche ?...) et pour smartphones (iTunes, Play…). Les plus connus sont Dashlane, LastPass, 1Password et KeePass. Les 3 premiers sont payants (du moins en version non limitée) et le dernier est gratuit. KeePass est en effet un logiciel open source (mis à jour par une communauté d’informaticiens très active) qui, en outre, présente l’avantage d’être certifié par l’Agence nationale de la sécurité des systèmes d’information (Anssi).
Un mot de passe incassable pour le gestionnaire
Le mot de passe protégeant l’accès au gestionnaire doit être à la fois robuste et simple à retenir.
Le gestionnaire se charge d’administrer tous vos mots de passe. Il vous revient, en revanche, de protéger l’accès à sa base de données. Vous pouvez, si votre smartphone ou votre ordinateur le permet, utiliser une serrure biométrique (lecteur d’empreinte digitale, par exemple) ou un mot de passe. Ce dernier devra, bien entendu être à la fois très robuste, mais aussi assez simple à retenir. Pour parvenir à concevoir de tels mots de passe, la Cnil précise :
- qu’ils doivent être complexes (12 signes minimum et composés de différents types de signes : majuscules, minuscules, caractères spéciaux, signes de ponctuation…) ;
- qu’ils doivent être impossibles à deviner (n’avoir aucun sens, ne contenir aucune information personnelle comme une date de naissance ou encore le prénom d’un enfant) ;
- que le même mot de passe ne doit pas servir à sécuriser plusieurs comptes afin d’éviter des « piratages en cascade » ;
- qu’il ne faut pas les noter en clair sur un Post-it ou dans un fichier enregistré sur un ordinateur ou un smartphone ;
- qu’ils doivent être régulièrement changé. Plus le site qu’il protège est sensible, plus le rythme de changement doit être soutenu (dans tous les cas, au moins une fois par an).
Pour ne pas les oublier, la Cnil conseille :
- d’adopter la méthode de la première lettre de chaque mot. Cette dernière permettant de se souvenir d’une phase simple qui donne un mot de passe complexe. « Il était une fois l’Amérique et les 12 salopards sont mes films préférés. » donnant : « IéuflAel12ssmfp. ». Un générateur de mots de passe basé sur l’utilisation de la première lettre de chaque mot utilisé dans une phrase est, d’ailleurs, mis à disposition sur le site de la Commission.
Vers la fin des mots de passe ?
Récemment adopté par le consortium W3C, le standard WebAuthn pourrait faire disparaître les mots de passe des solutions d’identification utilisées par les sites Web.
WebAuthn est un protocole qui a été, au début du mois de mars 2019, élevé au rang de standard par le World Wild Web Consortium (W3C), un organisme international chargé de promouvoir la compatibilité des technologies du Web regroupant plus de 300 entreprises high tech.
WebAuthn, lui-même porté par une alliance (baptisée FIDO) de plus de 200 entreprises, s’appuie sur un système de reconnaissance biométrique (empreinte digitale, forme du visage...). Concrètement, l’utilisateur sera identifié par la machine qu’il utilise grâce à ce système. Puis, via un échange crypté, le site Web identifiera, à son tour, la machine comme étant celle de l’utilisateur. Ce système permettra de produire autant de clés cryptées que de sites Web utilisés par l’internaute. En outre, il garantira une protection forte des données biométriques dans la mesure où elles ne seront jamais transférées lors d’une connexion sur un site sécurisé. Plus de risque de perdre ses mots de passe suite à une attaque par phishing, donc. Reste à savoir si ce nouveau protocole sera largement adopté, notamment par les sites marchands et les sites publics, et à quelle échéance.
© Les Echos Publishing 2019