Les gestionnaires de mots de passe sont-ils des appâts à pirates ?
Par Xavier Harding | 12 avril 2023
Voici une mauvaise nouvelle : LastPass a connu deux piratages assez importants récemment. Tout d’abord, les pirates ont dérobé les données des coffres-forts des utilisateurs et utilisatrices de LastPass, cela inclut les noms d’utilisateur et les mots de passe. Ensuite, ces mêmes pirates se sont introduits dans l’ordinateur d’un employé de LastPass pour subtiliser encore plus d’informations sur les utilisateurs et utilisatrices de LastPass.
En d’autres termes, la pire chose qui puisse arriver à une application de gestion de mots de passe est arrivée à LastPass.
Mais il y a une lueur d’espoir. LastPass chiffre certaines des données stockées dans les coffres-forts des utilisateurs et utilisatrices et les données chiffrées sont très difficiles à comprendre pour les pirates. Quelles informations ont été chiffrées ? Les informations telles que les noms d’utilisateur et les mots de passe ont été chiffrées, mais les pirates ont pu voir, par exemple, sur quels sites les utilisateurs et utilisatrices de LastPass possèdent des comptes.
Donc, même si les pirates sont en possession des noms d’utilisateur et des mots de passe des utilisateurs et utilisatrices de LastPass, ils n’ont accès qu’à du texte illisible… pour l’instant. Les pirates sont désormais en possession de ces données et peuvent passer tout le temps nécessaire pour faire de la rétro-ingénierie sur ce texte illisible et décoder les mots de passe.
Avez-vous toujours envie d’installer un gestionnaire de mots de passe ?
Si vous utilisez LastPass, changez immédiatement vos mots de passe. Si ce n’est pas le cas, vous vous demandez probablement si la même chose pourrait arriver à votre compte 1Password ou Bitwarden. (Ou à vos gestionnaires de mots de passe Apple ou Google, si vous les utilisez.) Ou peut-être vous demandez-vous : « Dois-je vraiment utiliser un gestionnaire de mots de passe, au cas où quelque chose de similaire se produise ? »
La réponse se trouve plus bas. Voici quelques points à vérifier si vous utilisez actuellement ou si vous souhaitez utiliser un gestionnaire de mots de passe.
Les gestionnaires de mots de passe sont-ils sûrs ?
Généralement, oui. Des sites comme Wirecutter du New York Times et Consumer Reports recommandent vivement les gestionnaires de mots de passe pour sécuriser vos données en ligne. En combinant leur utilisation avec l’authentification à deux facteurs partout, vous pouvez doubler votre sécurité.
Vous vous demandez probablement : « L’utilisation d’un gestionnaire de mots de passe ne permet-elle pas aux pirates de profiter d’un lieu unique pour dérober toutes mes données les plus sensibles ? » Pour répondre à cette question, analysons deux scénarios :
- Utiliser le même mot de passe pour tous les comptes : utiliser un seul mot de passe pour tous vos comptes peut être pratique et facile à retenir. Cependant, l’inconvénient est qu’un seul mot de passe peut donner accès à vos autres comptes si jamais il est compromis. Il suffit de demander au joueur de Runescape dont des pirates ont renommé le compte en « SamePwEvrywr » (MêmeMotDePassePartout). Heureusement, les gestionnaires de mots de passe permettent d’attribuer facilement des mots de passe uniques à chacun de vos comptes, et vous n’avez toujours qu’un mot de passe à retenir.
- Noter tous vos mots de passe dans un document : conservez-vous une liste de vos mots de passe dans un document Google Doc ou dans une note de l’application Notes sur votre téléphone ? L’inconvénient ici est que ces données sont stockées au format texte, prêtes à être dérobées et utilisées par n’importe qui. Les applications de prise de notes sont conçues pour vous aider à noter des informations importantes. Les gestionnaires de mots de passe sont conçus pour vous aider à retenir des informations importantes et à les protéger. Et en plus, même les entreprises qui développent ces gestionnaires de mots de passe ne peuvent pas voir les informations sensibles qu’elles contiennent. C’est vrai pour 1Password, BitWarden, le trousseau iCloud d’Apple et le gestionnaire de mots de passe de Google Chrome. (Mais pas pour Google Docs. Encore une fois, ce n’est pas un gestionnaire de mots de passe !)
Les gestionnaires de mots de passe sont-ils facilement piratables ?
Tout ce qui est numérique peut être piraté. Heureusement, de nombreux gestionnaires de mots de passe se préparent à cela en ayant recours au chiffrement, ce qui rend les informations numériques impossibles à lire sans la bonne clé de déchiffrement. Suite au récent piratage de LastPass, par exemple, les pirates informatiques sont désormais en possession des mots de passe des utilisateurs, mais ils sont dans un format que les pirates ne peuvent pas lire.
Dans un monde idéal, l’entreprise à qui vous confiez vos mots de passe ne se fait pas pirater, mais dans l’hypothèse où elle est piratée, le chiffrement rend les informations volées illisibles.
Quelles mesures les entreprises qui gèrent les mots de passe prennent-elles pour ne pas se faire pirater ? De nombreux gestionnaires de mots de passe répondent à cette question. Bitwarden note que son utilisation du chiffrement protège les données des utilisateurs. 1Password répertorie des moyens de défense, comme le chiffrement et son utilisation d’une clé secrète. Il s’agit essentiellement d’un deuxième mot de passe principal que vous seul·e possédez, tout comme le premier.
Dans le cas d’Apple et de Google, se faire pirater ses comptes Apple ou Google est en soi stressant, même sans mots de passe. Alors si vos mots de passe sont également en jeu et que cela vous inquiète, vous préfèrerez peut-être ne pas confier autant d’informations à une seule entreprise. Si vous décidez d’adopter cette approche, Apple et Google ont des pages répondant aux questions fréquentes sur le sujet.
Qu’en est-il des gestionnaires de mots de passe qui stockent les données dans le cloud ?
Si vous choisissez un gestionnaire de mots de passe, vérifiez bien le type de chiffrement utilisé. (Le chiffrement 256 bits est le plus haut niveau auquel vous pouvez vous attendre.) Assurez-vous au minimum qu’il ait recours au chiffrement, et que vous seul·e soyez en possession des clés de chiffrement.
Vous pouvez aussi vérifier si votre gestionnaire de mots de passe stocke vos données dans le cloud. La plupart le font, afin de faciliter l’accès à vos identifiants d’un appareil à l’autre. Cependant, le stockage d’informations dans le cloud, comme vous pouvez le supposer, peut s’avérer moins sûr à certains égards. Lorsque 1Password est passé au stockage des identifiants des comptes dans le cloud en 2017, par exemple, les expert·e·s en sécurité étaient préoccupé·e·s par cette évolution. Heureusement, parallèlement au chiffrement des mots de passe, la clé secrète que 1Password génère comme une sorte de deuxième mot de passe principal est générée localement sur l’appareil. Elle ne transite jamais par le cloud, sauf si l’utilisateur ou l’utilisatrice l’envoie sur un service.
Cependant, il existe des gestionnaires de mots de passe qui se concentrent sur le stockage des mots de passe en dehors du cloud. KeePass, par exemple, est open source et fonctionne exclusivement en local.
Quel gestionnaire de mots de passe est le plus sûr ? Voici les points à vérifier.
Dans le cas des gestionnaires de mots de passe comme 1Password, Bitwarden et d’autres, l’utilisation du chiffrement est cruciale. Stocker les informations de vos comptes dans un gestionnaire de mots de passe peut s’avérer plus sûr que de conserver vos mots de passe dans un document Notes sur votre téléphone ou votre ordinateur. Un gestionnaire de mots de passe est un excellent moyen de créer et de stocker de nombreux mots de passe complexes pour tous les comptes que vous possédez. Cependant, le piratage des gestionnaires de mots de passe n’est pas impossible, comme nous l’avons vu avec LastPass. Notre recommandation ? Utilisez un gestionnaire de mots de passe avec un chiffrement à 256 bits pour créer et gérer des mots de passe uniques pour tous vos comptes en ligne, mais si vous le pouvez, n’utilisez pas votre gestionnaire de mots de passe pour stocker les informations de vos comptes bancaires et des adresses e-mail associées, mémorisez-les. Et augmentez encore le niveau de sécurité en configurant l’authentification à deux facteurs.
Les gestionnaires de mots de passe sont-ils des appâts à pirates ?
Rédigé par : Xavier Harding
Relu par : Audrey Hingle, Carys Afoko, Innocent Nwani, Tracy Kariuki
Graphisme : Shannon Zepeda
Analyse référencement : Aslam Shaffraz
