Les coffres à mots de passe
Comment sécuriser et partager, sans prises de tête…
DOSSIER TECHNIQUE — COMPARATIF (non exhaustif) et bonnes pratiques
En fin d’article, les 2 sites pour regarder si ton “email” est compromis ou pas!
2021–03 ajouté PasswdSafe merci Jean-Pierre Melard, 2021–02 ++ajouts dont Bitwarden, et les Browser SAFE + Bonnes pratiques en mode “multi-profils”, 2020–09–13 avec Lesspass, merci Korben et surtout merci à Guillaume…
Si tu utilises un fichier word, ou un fichier excel pour stocker tes mots de passe sur ton disque dur (non crypté), même avec un mot de passe pour l’ouvrir, c’est très insuffisant. Sur notepad ou Wordpad ou un fichier TXT non protégé par mot de passe, alors c’est suicidaire. Personne, même un informaticien, ni même avec Macintosh ou un Linux, ne peut jurer ne jamais se faire “hacker”…
Ne serait-ce qu’en se faisant voler l’appareil! C’est juste CADO BONUS, tu me piques ma machine, je te file tous mes mots de passe, sur tous les sites… Il ne va pas te rester beaucoup de temps pour tous les reprendre et aller y changer de suite tous tes mots de passe, à condition de les retrouver, sur une copie de sauvegarde?
Un des UDON que nous avions organisé en 2015 (déjà…), nous avait permis de découvrir quelques solutions pour gérer les nombreux mots de passe, dont était absent la solution suivante, sortie en 2016!
BitWarden.com
Ajouté 2021–02–12 — Logiciel libre
Services “en ligne” offert pour 2 utilisateurs (famille et freelance)
Bon et bien, cela m’a lair une bonne solution. Comme elle est sortie 4 ans après celle que j’avais adopté ci-dessous, migration pas facilité :)
Les solutions explorées en 2015
LASTPASS.com
Une solution complète, un peu complexe, mais attention de ne pas activer le “login” automatique et forcer le ressaisie du mot de passe ‘maître’ à chaque nouvelle ouverture du navigateur ! Les données sont disponibles aussi en local, depuis le navigateur (si, si, même déconnecté du réseau), mais fortement cryptées, via le mot de passe “maître”: Qui est le dernier mot de passe à ne plus oublier…
Sauf celui de sa messagerie. Mais active quand même le 2FA sur tous tes webmails et réseaux sociaux ! (Identification double facteur, avec une validation par SMS). Non, ce n’est pas optionnel, tu dois le faire ! Venir se faire aider http://intergen.ch :)
Plus orienté “PRO”, et en mode ‘collaboratif’. Sa faiblesse est justement d’avoir trop de riches intégrations qui vont exposer la solution a des failles “Man in the middle” (le contenu n’est pas piraté, mais le cybercriminel positionne son code d’interception entre le lecteur qui regarde ‘en clair’ et le coffre ‘crypté’). L’option de partager une clef sans donner son mot de passe, en mode non visible est top, mais je n’ai pas (encore) tenté de contourner, pour voir… C’est un logiciel commercial; mais une version Feemium est disponible. Il faut payer pour avoir son coffre sur un mobile (sais plus combien, pas énorme…)
KEEPASS
Je sais plus qui me l’avait recommandé:
L’avantage d’une solution Opensource et libre, ce n’est pas simplement qu’elle soit gratuite, mais surtout elle est vérifiable (par des informaticiens programmeurs) et donc d’une bien meilleure sécurité et avec une plus grande confiance. Personnellement, si un client ne souhaite pas prendre le risque que la NSA puisse disposer de ses clefs numériques, alors je n’utilise pas Lastpass… (Et non je ne suis pas parano, juste lucide et PRO informatique depuis plus de 30 ans).
Idem EnPass, le stockage se fait crypté sur le Cloud (ou pas) de ton choix.
PasswdSafe
Est le dernier recommandé par Jean-Pierre Melard.
Je recommande PasswdSafe. Plusieurs raison à cela :
-open source (donc vérifiable)
-existe sur toutes les plateformes (Android, IOS, Windows, MacOS, Linux, etc...)
-fichier centralisé et cryptéÀ mon sens le plus efficient pour cette utilisation.
DashLane
Avec l’avantage comme Lastpass de disposer aussi d’une version Mac OS. Plus simple, aussi sauvegardé dans le “Cloud”, et peut-être bien accessible par la NSA de même…
Vous aurez vu que les liens ci-dessus permettent d’accéder au site “Alternativeto.net” avec quelques 138 solutions et alternatives, de quoi refaire d’autres UDON sur le même sujet…
Nous avons aussi une Table ronde sur ce sujet chez http://TR.ICT-a.ch en collaboration avec le laboratoire de veille numérique collaborative www.Cloudready.ch dans un Forum privé sous Yammer. Mais il y a aussi la table en “Crowdsourcing” lien ci-dessous :
Si vous utilisez d’autres solutions, merci de compléter ici-même vos alternatives et avis :)
Non vus lors de ce UDON de novembre 2015
Lesspass
Update 2020–09, merci Manuel Dorne (Korben)
Plugin pour navigateur qui ne stocke pas de mots de passe.
En open source:
Merci et bravo Guillaume, et à tous, n’oubliez pas que les solutions “libres”, ce n’est pas “gratuit” (sinon, c’est toi le produit, open source ou pas…)
Buttercup
Voici les détails: Testé en 2017
Merci à Bruno Chanel pour cette découverte sympa, publiée par notre ami Korben (pas certains que cet alias Medium soit bien lui!):
J’essaye :) cool un plugin pour FireFox et Chrome
Enpass
Rafael Munoz l’utilise et va pouvoir nous en dire un peu plus ou nous partager quelques screens ? Un des points positifs, l’intégration d’un module TOTP (le truc avec le chiffre qui varie !)
Ils ne stockent pas les données, et pour synchroniser, il faut utiliser un drive cloud existant. Par contre, la politique de prix semble avoir évolué:
Veracrypt
Il ne sert pas à stocker les mots de passe, mais à crypter tes fichiers, dont celui avec les mots de passe… Oui, car stocker tes mots de passe, dans un fichier Excel, ce n’est vraiment pas une bonne idée, même avec un mot de passe pour l’ouvrir!
Veracrypt permet de monter un fichier “archive crypté” comme une clef USB, pour directement éditer le fichier en laissant sur un disque crypté (Mais pas dans la mémoire RAM de travail…Fuir les antivirus US et commerciaux, et avoir une très bonne hygiène numérique !)
1password
Un truc canadien qu’il faudra que j’essaye un jour, si tu utilises, tu nous partages ton avis et infos?
Avantage, celui-ci ne serait pas assujetti au “Patriot act”…
MYKI
(2021–02 add)
Qui présente l’avantage d’intégrer aussi un “alerteur” de brèche, si tu as la version payante…
https://myki.com/teams/features/breach-monitoring
Ce principe devrait se généraliser désormais, car les 2 navigateurs Firefox et désormais Edge ont intégrés cette fonctionnalité, et deviennent de sérieuses solutions alternatives de coffre à mots de passe, ou pas?
Les navigateurs (browser) comme coffre à mots de passe?
https://www.malekal.com/mots-de-passe-sur-les-navigateurs-web/
Les navigateurs “SAFE” coffres à mot de passe?
Alors pour être honnête, non, ce n’est pas “SAFE” de stocker tes mots de passe dans ton navigateur. Mais c’est pratique. Donc pour les trucs “sensibles” tu dois prendre un vrai “coffre à mot de passe” et pour les trucs moins sensibles, tu peux utiliser celui de ton navigateur, surtout si tu te crées un compte pour synchroniser tes mots de passe dans le Cloud, mais avec quelle sécurité?
Soyons clairs, même avec le “petit verrou” qui redemande ton code avant d’exposer en clair les mots de passe, tous les mots de passe stockés dans tes navigateurs, de toutes les marques, vont exposer tes mots de passe au premier hacker qui aura compromis ta machine. Mais c’est tout aussi vrai pour tes “vrais coffres” à mots de passe, si tu ne les “verrouilles pas” après chaque usage, car c’est plus facile de les laisser “ouvert” pour éviter de retaper le pass-phrase à chaque besoin! Mais bon, s’il a mis un “keylogger”, c’est peut-être mieux de ne pas le retaper, ton pass-phrase, finalement!… En fait, ton PC compromis, c’est mort…
Donc première chose à protéger sérieusement, ta machine! VirusToral.com avant d’installer 1 truc…
Firefox de Mozilla
Est le premier navigateur à intégrer la fonction d’alerteur de brèche détectée sur ton identifiant:
Dommage que Firefox n'aille pas utiliser ton coffre à mots de passe pour automatiquement aller chercher toutes les brèches associées! Il faut aller lui resaisir tes identifiants (et moi j’en ai plusieurs centaines… Oui, je mets un alias différent à chaque service web, généralement…)
L’avantage c’est que l’éditeur Mozilla est une fondation d’utilité publique, et Firefox est open source.
Non! Le fait que le code de ces programmes est libre en lecture par tout le monde, ne veut pas dire que c’est moins sécurisé, car tout le monde peut y “découvrir” ou même “insérer” des brèches plus facilement. Seuls les ignorants numériques pensent cela, c’est en fait exactement l’inverse. C’est une fausse croyance!
Edge de Microsoft
Il va aussi intégrer la fonction d’alerte:
Et il est devenu assez performant, depuis que Microsoft a intégré Chromium la partie “open source” publiée par Google de Chrome, réutilisé par moulte navigateurs comme Opera, Brave, et bien d’autres…
Après tout, si tu as un compte Microsoft, autant y activer ton profil et le synchroniser. Mais si tu as un compte Google Gmail, alors mieux:
Chrome de Google
Chrome n’est pas en reste, pour aussi offrir la possibilité de “checker” tes mots de passe dans les brèches connues, mais cette fois avec tes logins dans ton safe.
Toutefois cette opération n’est pas automatique, et tu dois aller vérifier manuellement! 😒
Peut-on avoir confiance en Microsoft et Google? Cela dépend pour quoi! Pour tenter d’éviter que des cybercriminels accèdent à tes données, oui, ils vont essayer. Mais je ne fais confiance ni en Microsoft, ni en Google, pour ne pas exposer mes données à la NSA, sur la moindre requête. Mais cela ne m’empêche pas de les utiliser et de les exploiter, sauf pour mes clients qui ne souhaitent pas prendre le risque d’exposer leurs données à la NSA…
Une chose absolument certaine, c’est que même si finalement la NSA n’est guère une menace pour les citoyens comme moi, ou toi probablement, tu vas exposer tes habitudes et listes des services exploités à des GAFAM qui exploitent abusivement tes données: cf. http://MyDataVaud.ch et http://Whatsapp.kotte.net, et faire beaucoup d’argent avec!
Les services où tu disposes d’un compte, c’est une information commercialisable!
SSO ou pas?
Single Sign On! Comment tout gérer avec un seul mot de passe, un seul login:
Un moyen de ne plus avoir à gérer tes mots de passe, est d’exploiter les propositions de s’identifier via ton compte “Social” existant !
Mais tu as alors vachement 🤠 intérêt à activer le MFA sur ton réseau social!
En vrai, tu as très intérêt à le faire,
même sans faire du SSO avec! 🤞
C’est très pratique, car si un des sites est compromis, il n’est pas censé avoir le mot de passe. Et au pire, tu le changes une fois sur ton profil social (Google ou Microsoft, ou Facebook…) et tous les sites sont “re”-sécurisés…
Bien entendu, en réutilisant un identifiant social existant pour t’identifier sur multiples services sur Internet, tu vas non seulement fournir à cet acteur “social”, la liste des services que tu utilises comme avec les mots de passe mémorisés, mais tu vas en plus lui donner tes habitudes et fréquences d’utilisations détaillées. (Ne sont-ils gentils de te filer ce service gratuit? Cela aussi, se commercialise très bien!)
Mais bon, comme tu avais laissé activé par défaut l’exploitation de tes historiques de navigation, c’est une information que tu leurs partageais déjà.
Mais tu risques d’exposer aussi d’autres choses à ces mêmes services!
Airtable c’est trop bien, et c’est gratuit, mais cela pompe la totalité de tous tes contacts! Pourquoi donc crois-tu que Facebook ait racheté 42$ par profil tous les utilisateurs de WhatsApp? Allez-y les quiches, filez-leur la totalité de vos contacts!
Combinaisons gagnantes
Multiples profils
Créer multiples profils, avec multiple emails, chez Google et/ou chez Microsoft (ou pas chez eux, mais Firefox ne gère pas facilement multiples profils, c’est plus compliqué). C’est une nécessité pour un hacktiviste ou un conseiller numérique comme moi qui gère l’informatique de dizaines de “petits” clients et associations. Mais c’est une très bonne pratique d’avoir 1 email PRO, 1 email Perso, et 1 email “poubelle”, et encore 1 email Perso “mon association ou parti”. Autant de profils/emails que de séquences de présences numériques avec des habitudes différentes.
- Tu synchronises tes mots de passe (non critiques) séparément.
- Tu synchronises tes favoris (et barre de favoris => dans le contexte)
- Tu enregistres, mais aussi tu enseignes à YouTube les bonnes vidéos à retrouver dans chacun de tes 4+ contextes de vie différents.
- Quand tu as fini, tu peux “déconnecter” le profil (et rendre étanche la sécurité associée) pour passer au suivant:
Ce n’est pas simplement pratique pour passer de Pierre à Paul, puis à Françoise, sur le même ordinateur (ce qui n’est pas une bonne idée, mieux vaut faire des sessions différentes). C’est fait pour changer “ta facade numérique” et organiser ton travail et tes favoris d’un “monde” à un autre.
Utiliser en mode login SSO
Du coup, tu peux exploiter ce profil pour t’identifier sur un sous-ensemble réduit de services. Pratique pour un compte d’association générique partagé à plusieurs dans un comité. Cependant, tu fais gaffe à laisser les “contacts” vides (ne pas y mettre tes membres, dont tu es responsable de protéger les données), ou alors gaffe aux applications souscrites, et aux droits accordés à celles-ci.
Mémoriser les mots de passe
Du coup, tu peux aussi exploiter le coffre intégré à mots de passe, pour les services qui ne supportent pas le Single Sign On (SSO), ou qui en abuserait trop… (Car tu as mis tes membres dans la liste des contacts, je t’avais dit de pas le faire!)
Et un coffre pour les trucs sensibles
Mais tu gardes un “Bitwarden” accessible par 2 personnes seulement, pour les trucs sensibles (Trésorier + DPO/secrétaire).
Des outils utiles
Le Checktool de mon email chez MELANI
On y donne juste son email, pour vérifier qu’il n’est pas actuellement en vente sur le Darkweb, avec le mot de passe que les “bots” ont trouvés… (C’est à dire, un réseau d’ordinateurs zombies, automatiques, sous le contrôle d’un réseau de cybercriminel, soit environ 2% des ordinateurs de la planète, ceux qui n’avaient pas une très bonne hygiène digitale!)
L’outil ne donne pas la taille de “sa base”? Bon honnêtement, il va falloir regarder plus sérieux, plus loin… Car j’ai des emails compromis (et mot de passe changé), non détectés par Mélanie.
Est-ce que mon de mot de passe, est assez “secure”
https://howsecureismypassword.net/
Alors, maintenant que tu viens de donner ton mot de passe en clair sur ce site web, tu n’as plus qu’à espérer, qu’il ne s’était pas fait “hacker”…
J’ai vérifié, la dernière fois que je l’ai utilisé, les checkers d’URL ci-dessous était confiants… Mais bon, c’est bien de vérifier le vieux mot de passe que tu viens de changer, pas le nouveau… Juste par curiosité!
Checkeur d’URL
htpp://www.WOT.org est INDISPENSABLE, mais il exploite tes données (c’est jamais gratuit…)
Checkeur de fichiers
https://www.virustotal.com/fr/ au cas où tu as un gros doute sur le jeux piraté que tu viens de télécharger, avant de le lancer, vérifie le ici (max 64MB)
En fait, tu dois douter de tout package d’installation téléchargé, y compris venant d’un fournisseur connu. Il peut se faire “hacker”! Tu vérifies avant d’installer!
Mais le Top, souvent réutilisé via des API par les navigateurs sympa qui te proposent de vérifier régulièrement s’il faudrait que tu changes ton mot de passe, car ton email vient d’apparaître dans une “brèche” reconnue! C’est la version “Globale” du checktool de Mélanie: https://checktool.ch/
Vérification si ton email est compromis et en vente, ou pas…
‘; — have i been pwned?
Si c’est le cas, dès que tu es informé du site de la fuite, et le site t’envoie généralement aussi un email pour t’avertir: Alors plus qu’à changer ton mot de passe sur ce site… (et activer 2FA, si pas fait!)
Quoi, tu as réutilisé ce même mot de passe, associé à ce même email, sur plein d’autres sites? Si tu en as la liste, plus qu’à tous les changer!
- Tu n’es pas sûr de te rappeler tous les sites? Ah… Pas bon! J’espère pas des machins compromettants…
Est-ce que tu commences à comprendre pourquoi on te répète de ne pas mettre le même mot de passe “partout” ??? Avec un coffre à mots de passe, tu génères un mot “complexe” à décoder, et ce n’est du coup pas grave s’il est “découvert”.
cybernews.com
Update 2021–02–12 — une base plus grande que HaveIBeenPwned?
Collections de fuites…
2016
2018
2019
2020
2021
Attention: En aucune façon cet article ne sera exhaustif sur des failles, ou brèches reconnues.
SolarWinds : ses failles ont également été exploitées par des hackers chinois (01net.com)
Microsoft a été piraté : des hackers ont volé les données de 30000 organisations (phonandroid.com)
