Gestionnaire de mot de passe — comment et pourquoi en avoir un?
Voilà quelques jours j’ai posé une question sur la plateforme LinkedIn, à savoir quel serait le meilleur choix pour une application de voûte de mot de passe.
Urgence — ayez une voûte de mot de passe!
Chacun d’entre nous dispose de plusieurs dizaines de mots de passe pour les différents sites que nous visitons, que ce soit Facebook, Twitter, Medium, Google, Amazon et tous les autres.
Sans une solution de gestion de mot de passe, vous utilisez certainement les mêmes mots de passe pour plusieurs sites web, ou une variation de ceux-ci d’un site à un autre.
Je ne crois pas qu’une personne puisse correctement gérer ses mots de passes et code d’accès sans une voûte pour les organiser et les retrouver rapidement.
Vos accès sont alors à risque de compromission!
Une voûte de mots de passe est une application qui permet de conserver les différents codes d’accès à ses sites internet.
J’espère que si vous n’avez pas déjà une voûte de mot de passe, qu’à la fin de cet article vous alliez vous en procurer un !
Fonctionnalités de base d’une voûte de mot de passe!
Les applications de gestion de mots de passe doivent avoir les fonctionnalités minimales suivantes :
- Chiffrement fort en transit;
- Chiffrement fort en stockage;
- Aucune conservation du mot de passe “maitre”;
- Chiffrer les informations depuis le poste de l’utilisateur;
- Capacité de générer des mots de passe complexe sur demande;
- Permets l’authentification double pour ouvrir la voûte;
- Maintenances et mises à jour rapides;
- Journalisation des accès individuels ou de l’équipe;
- Transparence en matière de protection, mesures de sécurité et brèches par la diffusion de leurs certificats ISO27001 ou rapport SOC2 Type 2.
Principaux joueurs
1Password — https://1password.com/sign-up/ca/
LastPass — https://www.lastpass.com/
KeyPass — https://keepass.info/
Bitwarden — https://bitwarden.com/
Dashlane — https://www.dashlane.com/
Un bon logiciel a un coût!
Une des premières choses à ne pas considérer c’est les options gratuites.
On parle de la sécurité de vos informations de connexion, ce qui est hyper important de protéger afin de prévenir le vol d’identité.
SVP, payez pour les outils afin de donner les moyens aux éditeurs de logiciels de faire de bonnes applications et de mettre en œuvre les protections nécessaires contre les attaques.
Réflexion sur les différentes options
1Password
- 47$/an
- Facile d’utilisation et option d’un stockage local
- Disponibilité d’un “kit d’urgence”
- Gestion des accès très granulaire
- Automatisation des secrets pour les API
- Un mode voyage est proposé afin de ne conserver que certains comptes sur votre téléphone lorsque vous êtes à l’extérieur.
- Darkweb & détection de fuite d’information incluse
- Le développeur “AgileBits Inc.”à ses bureaux à Toronto, ce qui en fait le seul choix canadien.
LastPass
- L’option la plus populaire puisqu’elle disposait d’une option gratuite, mais cette option n’est plus disponible. (On ne peut plus utiliser l’application sur son mobile et portable en même temps)
- 47$ / an
- Facile d’utilisation et option application locales
- Possible d’avoir plusieurs authentifications (code unique pour se brancher)
- SOC2 type 2
- Darkweb & détection de fuite d’information incluse
Keeper Password Manager
- 44,67$/ an
- Rapport d’utilisation avancé
- SOC2 type 2 et ISO27001
- Option la plus coûteuse, plusieurs autres fonctions existent, mais à un prix supplémentaire, tel que la détection de fuite d’information.
- Offre le plus d’espace de stockage pour les fichiers à conserver.
- Outils de clavardage inclus
KeePasss
- Solution gratuite et libre
- Cette option représente l’option locale par excellence, étant l’option en code libre et ouvert. Le logiciel est très utilisé dans les environnements sans accès Internet ou pour ceux qui ne souhaitent pas placer leurs mots de passe dans un environnement infonuagique.
- Plusieurs outils tiers permettent l’intégration au navigateur et l’autre, ce qui à mon sens augmente le risque de compromission.
- Chiffrement de la base de données complète et pas seulement les entrées, ce qui empêche un partage d’une partie.
- Pas de console d’administration
- Pas de service d’assistance (autre que les forums publics)
- Compte tenu de l’absence de sauvegarde infonuagique native, les gens ont tendance à le placer sur OneDrive, DropBox, Sync ou Google Drive.
BitWarden
- 13$/ an et option gratuite
- Simple d’utilisation
- Pas de certification de sécurité
- Représente une solution la plus moderne dans les choix de solution gratuite et libre.
Dashlane
- 52$ / an
- Très simple d’utilisation
- Pas de certification de sécurité
- Permets de stocker une copie de sauvegarde sur nos propres équipements
- Pas de règle d’administration avancée telle que délégation de rôles ou capacité d’imposer des politiques d’utilisations
D’autres options pour les entreprises?
Les options présentées plus haut sont orientées au grand public. Si votre entreprise est plus grande ou surtout si vous souhaitez une intégration avec d’autres options, les solutions logiciels suivantes pourraient vous intéresser:
ItGlue — https://www.itglue.com/
Zoho Vault — https://www.zoho.com/vault/
Devolution — https://devolutions.net/password-hub
Le minimum pour vous protégez!
1) Avoir un mot de passe maître complexe
Assurez vous d’avoir un “mot de passe maître”, celui pour ouvrir votre voûte de mot de passe, long et complexe. Tel qu’une phrase.
Puis souvenez-vous de ce mot de passe principale par la suite, chaque site à son propre mot de passe le plus complexe possible, laissez alors le gestionnaire de mot de passe s’en souvenir et vous connecter automatiquement par la suite.
2) Activé l’authentification à deux facteurs (2FA)
Lorsque possible, activez l’authentification à deux facteurs. Cette validation n’est pas seulement disponible pour ouvrir votre voûte de mots de passe, mais également pour les sites que vous visitez.
Une authentification à deux facteurs vous propose un code, habituellement de 6 chiffres, soit via un texto(SMS) sur votre téléphone portable ou par une application(Authy, Google Authenticator, etc.). Ce code à une durée de vie habituelle de une minute.
3) Être alerte aux attaques d’hameçonnage
Les attaquants ont vos courriels, vous allez recevoir des messages vous demandant de valider vos informations ou de confirmer vos abonnements, ne cliquez pas sur des liens suspects.
4) Gardez votre système propre
Votre système doit avoir une bonne hygiène de sécurité, par l’application des mises à jour rapidement et par la présence d’une solution de sécurité sur votre système (Antivirus,etc.)
Faire un choix de solution — Suggestions
Après avoir regardé les différentes options, aucune ne se démarque significativement, le support offert par les différentes options est similaire, sauf pour KeePass qui demeure supporté seulement par la communauté.
LastPasss est la seule organisation qui semble avoir subi des brèches de sécurité en 2011 et 2015. Elle est depuis déconseillé à cause de ses pratiques et des inquiétudes qui ont été souligné. (Blog de protonPass)
Si vous êtes débutant, l’option Bitwarden semble appropriées compte tenu de la simplicité et des options pour individus.
Par contre pour les petites entreprises, mon choix est pour 1Password ou Keeper Password Manager.
Souvenez-vous que l’avenir de marché des gestionnaires de mot de passe est en ébullition, il y a eu des mouvements d’entreprises (achat, revente, fusion) de solutions, ce qui rend l’évolution du marché imprévisible pour le moment.
Les éditeurs de logiciel de gestionnaire de mot de passe offrent d’autres options, certaines vont intégrer le clavardage, le partage de fichiers, la gestion de poste de travail, la surveillance des activités de connexion, etc.
Nos codes secrets en infonuagique ou non ?
Il y a bien sur certains qui n’ont pas confiance dans les solutions infonuagique. Je les comprends! Puisqu’une fois nos données sur un site internet, il est impossible de savoir si celle-ci sera lue, modifiée, transmise ou directement déchiffrée.
De plus l’entreprise qui gère et contrôle mes codes a-t-elle mis en place la sécurité nécessaire pour protéger mes secrets, pourquoi on demande une transparence significative afin de maintenir un niveau de confiance.
Risque d’utiliser une voûte infonuagique
Voici quelques risques associés à l’utilisation d’un service infonuagique:
Toutes les données sensibles au même endroit. Vous avez probablement entendu parler de la nécessité de ne pas mettre tous ses œufs dans le même panier. C’est exactement ce que vous ferez avec un gestionnaire de mots de passe.
La sauvegarde n’est pas toujours possible. Si le serveur tombe en panne, vous devez avoir une copie locale. Cette copie devrait avoir les mêmes mesures de sécurité que la version infonuagique.
Tous les appareils ne sont pas suffisamment sécurisés. Les pirates exploitent la même vulnérabilité pour obtenir tous vos identifiants en une seule attaque. Les gestionnaires de mots de passe peuvent être piratés si votre appareil est infecté par un logiciel malveillant.
Mauvais choix d’un gestionnaire de mots de passe. Si son cryptage est faible, s’il offre peu de fonctionnalités et si les critiques sont mauvaises, vous ne devriez pas l’utiliser.
L’oublie votre mot de passe principal. Vous êtes la seule personne à le connaître et votre gestionnaire de mots de passe ne dispose pas d’une fonction de réinitialisation.
Pour ma part, je pense que les avantages d’utiliser les services infonuagiques surpassent les dangers et risques, mais je reste ouvert aux arguments.
Écrivez-moi vos arguments!
Historique de brèche de sécurité
Étant inquiet de mettre tous mes codes secrets dans un seul endroit, j’ai regardé l’historique des brèches de sécurité et vulnérabilités des différentes solutions.
2014 — Vulnérabilité découverte dans l’application LastPass par les chercheurs Zhiwei Li, Warren He, Devdatta Akhawe, and Dawn Song.
2015 — l’outil KeeFarce est publié permettant d’extraire les mots de passe de l’outil Keepass.
2015 — une intrusion dans les systèmes de LastPass, les pirates ont volé des informations (mais pas les données chiffrées)
2016- Multiple vulnérabilité découverte dans toutes les applications de gestion des mots de passe par “TeamSIK — Security is Key”
2016 — Google Project zero — Tavis Ormandy découvre des vulnérabilités permettant de compromettre un compte.
2017 — Encore Tavis Ormandy découvre une vulnérabilité dans l’extension du navigateur. LastPasse l’annonce publiquement.
2017 — Une vulnérabilité est découverte par Tavis Ormandy dans l’outil Keeper.
2019 — Les utilisateurs de Windows 10 étaient vulnérables si un logiciel malveillant était installé sur leurs postes. Cela compromettait les mots de passe de plusieurs gestionnaires de mots de passe.
2020 — De nouvelles vulnérabilités ont été découvertes dans plusieurs gestionnaires de mot de passe.
La bonne nouvelle est qu’aucune de ces vulnérabilités n’a permis la perte de code secret.
Pour en lire plus sur le sujet
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
