Faisant écho à une vieille chronique que j’avais fait à M. Net concernant les logiciels de gestion de mot de passe, j’ai décidé d’ajouter certains détails ici. En effet, il est parfois difficile de mettre la somme d’informations voulues en six minutes de direct. Voici donc quelques éléments qui méritent d’être présentés.
Dans tous les bons logiciels de gestion de mots de passe, nous trouvons généralement quatre caractéristiques. Premièrement, un élément de gestion des identifiants numériques sur le Web – cela va s’intégrer dans le fureteur Web comme « plug-in ». Ce plug-in sera exploité à chaque fois que vous tentez d’accéder à un service Web que le logiciel a préenregistré. Cet enregistrement se fait soit lors de l’inscription au service, soit lorsque l’on se connecte à l’aide d’un identifiant existant. Dans le second cas, le logiciel va simplement noter votre nom d’utilisateur et votre mot de passe.
1Password a une interface conviviale
Deuxièmement, il y a présence d’un mécanisme de chiffrement de la base de données des mots de passe; un mot de passe « maître » permet de déchiffrer la base de données et d’avoir accès aux informations. Cela permet ainsi de conserver vos mots de passe en sécurité, même si votre ordinateur se fait voler. Il faut en effet un mot de passe maître permettant de bloquer l’accès à cette base de données – il est évidemment recommandé de le choisir long, complexe et difficile à deviner.
Troisièmement, il y a généralement un générateur de mots de passe complexe dans ces logiciels. Ces générateurs vous permettent de fournir des mots de passe très longs et très complexes dans vos identifiants numériques. Ces générateurs peuvent vous fournir des mots de passe avec toutes les combinaisons possibles. Vous pouvez vous générer des mots de passe ultra complexes (ex : 901Hx|lJW^AZ,lIG) ou des mots de passe plus lisibles (ex : Jrky_B33f pour Jerky beef).
Dernier aspect de genre de logiciels : ils peuvent généralement contenir d’autres informations. Souvent, il y a possibilité d’y inscrire des notes sécurisées, comme des numéros de carte de crédit, ou votre numéro de passeport par exemple. Bref, tout dépendant des logiciels, vous avez des catégories de notes plus ou moins élaborées.
RoboForm : seulement disponible sur Windows
Les avantages de ce type de logiciels sont indéniables. Tout d’abord, cela permet de multiplier la complexité et le nombre de mots de passe utilisés dans les activités Web. Personnellement, je peux dire que j’ai 130 identifiants numériques différents me permettant d’accéder à différents services sur le Web. Ma capacité cérébrale étant grandement limitée par la rédaction de ma thèse – j’ai de la misère à me souvenir de mon nom -, je n’aurais jamais pu me permettre de retenir autant de mots de passe.
Ensuite, il est intéressant de constater que ce les logiciels du genre protègent de trois attaques pouvant être menées par des individus malintentionnés : le hameçonnage, la capture de frappes et le « shoulder surfing ». Dans le premier cas, la solution est relativement simple. Étant donné que le logiciel reconnaît la page sur laquelle l’identifiant numérique a été entré, c’est seulement sur cette page qu’il fonctionnera. Donc, si une tentative d’hameçonnage est faite, elle ne fonctionnera tout simplement pas, car le logiciel ne reconnaitra pas la page comme étant la bonne.
Dans le second cas, le logiciel fait le remplissage lui-même. Cela veut donc dire que si votre ordinateur se fait surveiller par un élément physique ou un logiciel de capture de frappe, le seul mot de passe que l’attaquant pourra avoir est votre mot de passe maître – le reste se trouvant dans une base de données chiffrée. Il faudrait donc que l’attaquant puisse mettre la main sur votre base de données – toujours possible via des chevaux de Troie, mais cela implique que votre ordinateur est visé par une attaque multiniveaux, ce qui rendrait la chose plus complexe, tant pour l’attaquant que pour la victime.
Le troisième cas est beaucoup plus rare, mais peut tout de même se produire : le « shoulder surfing ». Il s’agit d’une méthode qui, comme le nom l’indique, consiste à regarder « au-dessus de l’épaule » pour noter les mots de passe que vous entrez. C’est plutôt rudimentaire et pas vraiment fréquent, mais c’est toujours possible. Or, étant donné que vous ne tapez pas vos mots de passe, mais que c’est le logiciel qui les tape à votre place, fini les indiscrétions!
Qui plus est, les logiciels de gestion de mots de passe ont l’avantage de vous inciter à utiliser des mots de passe complexes. En effet, leur facilité d’utilisation, et le fait qu’il soit si facile de générer des mots de passe ont généralement pour conséquence de pousser inconsciemment l’utilisateur à augmenter la sécurité de son utilisation du Web tout simplement en le conditionnant à générer des accès difficiles à briser.
KeyPass : un logiciel open source
Par contre, il y a un défaut à ce genre de logiciel : vous demeurez esclave du logiciel. Donc, si vous allez à l’extérieur de chez vous, et que vous utilisez un ordinateur « étranger », vous n’aurez évidemment pas accès à votre base de données et conséquemment à vos mots de passe. Beaucoup diront que c’est un moindre mal, car il n’est généralement pas conseillé d’utiliser un ordinateur « inconnu » pour accéder à des services demandant un identifiant numérique.
Autre irritant : la copie de sauvegarde fréquente et à plusieurs endroits est de mise. Étant donné que les disques durs sont bien souvent plus fragiles qu’on le pense, et étant donné que le vol de votre ordinateur est toujours possible, il est nécessaire d’assurer la redondance de votre base de données. Ainsi, il est de mise de s’assurer qu’elle soit en copie de sauvegarde à deux endroits différents, dont une se trouvant à l’extérieur de votre domicile.
Lors de mon passage à M. Net, j’avais présenté le logiciel 1Password – je suis sincèrement désolé pour les utilisateurs de Windows, mais je crois que c’est le logiciel du genre qui le plus aboutit. Non seulement l’interface est conviviale, mais le logiciel est simple d’utilisation. De plus, l’activité de l’application s’intègre parfaitement aux tâches quotidiennes que l’on fait avec notre machine. Bref, l’ergonomie est superbement pensée.
De plus, fait intéressant à mentionner, il existe une application iPhone de 1Password. Cela permet de synchroniser vos informations sur le iPhone et ainsi de transporter vos précieux mots de passe avec vous, au cas où vous en auriez besoin de manière urgente. Encore une fois, un mot de passe maître sert à verrouiller l’accès à votre base de données de mots de passe. À noter qu’il est tout de même recommandé de verrouiller votre iPhone à l’aide d’un mot de passe, juste pour éviter d’avoir directement accès à vos informations en cas de vol ou de perte. Seule ombre au tableau : son prix. Toutefois, comme je l’ai précédemment mentionné, c’est le logiciel que j’utilise le plus. Son prix en vaut donc immanquablement la peine! De plus, les développeurs sont au Canada.
Il existe également des applications du genre pour PC. Celui qui me semble le plus intéressant est RoboForm. Le logiciel offre toutes les options que vous pouvez désirer d’un gestionnaire de mots de passe. De plus, il offre également la synchronisation entre ordinateurs. Le logiciel est payant, mais légèrement moins dispendieux que 1Password. Malgré tout, il est légèrement moins convivial que 1Password et l’utilisateur moyen sera peut-être rebuté par son interface qui peut sembler lourde.
Finalement, il existe également une solution multiplateforme avec les logiciels KeyPass (Windows) et KeyPassX (Mac et Linux). Encore une fois, les interfaces sont moins lisses que ce nous pouvons trouver avec 1Password. Néanmoins, notons qu’il s’agit d’une plateforme « open source ». Cela permet donc aux programmeurs de mettre les mains dans le cambouis, et surtout d’offrir une solution gratuite aux utilisateurs.
Bref, peu importe votre solution en ce qui concerne la gestion de vos mots de passe, il importe de se souvenir qu’un mot de passe, c’est comme une brosse à dents : ça ne se prête pas, ça s’utilise qu’à un seul « endroit » et il faut la changer fréquemment.
Loading ...
L’extension Firefox Password Masker [ https://addons.mozilla.org/fr/firefox/addon/469 ] permet de générer de MdP complexes sans avoir à les conserver sur le disque ou en mémoire. Il suffit de créer un MdP principal et PM va générer le MdP complexe au besoin. Détails là: http://climenole.wordpress.com/securite-confidentialite-comment-faire/password-maker-authentification-2-de-3/
Pour l’utiliser sur un autre ordinateur la solution serait sans doute Firefox + l’ext. PM sur une clé USB…
Merci pour l’article! J’utilisais l’application portable open source PasswordSafe depuis 2004 (algorithme « Blowfish ») et je n’avais pas vraiment mis à jour depuis. Je crois que je suis mûr…
http://passwordsafe.sourceforge.net/
Moi je trouve que c’est mettre un peu tous ses oeufs dans le même panier.
Ca sera pas joli le jour ou une application du genre souffrira d’une faille de sécurité, ou le jour où une personne mal intentionné réussira à trouver le master password ( et oui, suffit simplement d’être mal chanceux, et de tomber sur quelqu’un de chanceux qui lui arrivera à faire une corrélation ).
Bref, sympa pour les mots de passe de base, si vous voulez en utiliser des distinct, mais bon, je n’utiliserais pas ca pour mes trucs plus important.
De plus, si vous avez vraiment beaucoup de mot de passe, et que vous formatez, ou partez en voyage, ou peu-importe.. Vous risquez de ne plus être en mesure de vous connecter, et avoir de la difficulté à retrouver tous ces mots de passe que vous n’avez jamais appris.
Bref, j’arrête, les cornes et la toge commence à me pousser…