Un gestionnaire de mot de passe est un logiciel administrant une base de données sécurisée. Il a pour principale mission de stocker vos identifiants et tous les mots de passe associés et de vous permettre de vous connecter automatiquement sur chacun des sites sécurisés auxquels vous êtes abonné. Ces programmes peuvent être présents sur le disque dur de votre ordinateur, mais également en ligne (cloud), ce qui présente l’avantage d’en permettre l’accès à partir de n’importe quelle machine. Ces outils sont, le plus souvent, utilisables à partir d’un ordinateur, mais également d’une tablette ou d’un smartphone.
Tous les gestionnaires de mots de passe utilisent des systèmes d’encodage très puissants pour interdire l’accès aux données qu’ils abritent. Par ailleurs, certains de ces logiciels proposent également des systèmes anti-intrusion commandant l’effacement de l’ensemble des identifiants et mot de passe au-delà d’un certain nombre de tentatives infructueuses d’ouverture. D’autres offrent aussi des claviers virtuels pour saisir les mots de passe à l’abri des « keyloggers » (logiciel espion enregistrant les frappes du clavier). D’autres, enfin, intègrent un générateur de mots de passe robuste et un système permettant d’administrer leur durée de vie. La création et le changement des mots de passe peut ainsi être « délégué » à cet outil.
Quel gestionnaire de mot de passe ?
Il existe des dizaines de gestionnaires de mots de passe. Le plus souvent, ces outils sont téléchargeables sur le site de leur éditeur sur les plates-formes proposant des utilitaires pour ordinateurs (Clubic, 01Net, Comment ça marche ?...) et pour smartphones (iTunes, Play…). Les plus connus sont Dashlane, LastPass, 1Password et KeePass. Les 3 premiers sont payants (du moins en version non limitée) et le dernier est gratuit. KeePass est en effet un logiciel open source (mis à jour par une communauté d’informaticiens très active) qui, en outre, présente l’avantage d’être certifié par l’Agence nationale de la sécurité des systèmes d’information (Anssi).
Le gestionnaire se charge d’administrer tous vos mots de passe. Il vous revient, en revanche, de protéger l’accès à sa base de données. Vous pouvez, si votre smartphone ou votre ordinateur le permet, utiliser une serrure biométrique (lecteur d’empreinte digitale, par exemple) ou un mot de passe. Ce dernier devra, bien entendu être à la fois très robuste, mais aussi assez simple à retenir. Pour parvenir à concevoir de tels mots de passe, la Cnil précise :
Pour ne pas les oublier, la Cnil conseille :
WebAuthn est un protocole qui a été, au début du mois de mars 2019, élevé au rang de standard par le World Wild Web Consortium (W3C), un organisme international chargé de promouvoir la compatibilité des technologies du Web regroupant plus de 300 entreprises high tech.
WebAuthn, lui-même porté par une alliance (baptisée FIDO) de plus de 200 entreprises, s’appuie sur un système de reconnaissance biométrique (empreinte digitale, forme du visage...). Concrètement, l’utilisateur sera identifié par la machine qu’il utilise grâce à ce système. Puis, via un échange crypté, le site Web identifiera, à son tour, la machine comme étant celle de l’utilisateur. Ce système permettra de produire autant de clés cryptées que de sites Web utilisés par l’internaute. En outre, il garantira une protection forte des données biométriques dans la mesure où elles ne seront jamais transférées lors d’une connexion sur un site sécurisé. Plus de risque de perdre ses mots de passe suite à une attaque par phishing, donc. Reste à savoir si ce nouveau protocole sera largement adopté, notamment par les sites marchands et les sites publics, et à quelle échéance.
Recourir aux gestionnaires de mots de passe