Les mots de passe constituent le principal moyen d’authentification à une majorité de services. Pour lire vos emails, le serveur de messagerie vous demande votre mot de passe. Pour déverrouiller votre session sur votre poste de travail, mot de passe. Pour se connecter à n’importe quel service en ligne, mot de passe... les mots de passe sont bien omniprésents.
Un bon mot de passe est robuste et unique
Un mot de passe sûr est un mot de passe difficile à deviner – et les plus faciles à retenir sont souvent les plus faciles à deviner. Avec la croissance ininterrompu de la puissance de calcul disponible, la frontière entre mot de passe trop simple et mot de passe robuste est constamment repoussée. A ce jour, il faut au moins une douzaine de caractères pris au hasard combinant lettres, chiffres et symboles pour produire un mot de passe solide.
Face à ce constat, on pourrait penser que la solution est simplement de générer un mot de passe réellement aléatoire et complexe, de le retenir une fois pour toute puis de l’utiliser partout. La faiblesse évidente de cette méthode réside dans le fait que la fuite du mot de passe par un seul service entraîne la compromission de tout les services. Plus le précieux mot de passe est utilisé largement plus la probabilité qu’un site web manquant de rigueur le divulgue augmente. Un acteur malveillant aura alors tôt fait d’essayer cette combinaison utilisateur - mot de passe sur autant de sites web que possible.
Le gestionnaire de mot de passe, coffre-fort en ligne
Il existe des logiciels de gestion de mots de passe, ou password manager, dont le rôle est de générer des mots de passe aléatoires forts, puis de les conserver à la fois en sécurité et facilement accessibles.
Un gestionnaire de mot de passe se comportera donc comme un coffre-fort contenant tous les identifiants de l’utilisateur : lors de la création du coffre, l’utilisateur choisit un mot de passe dit mot de passe maître, jouant le rôle de clé pour déchiffrer le coffre. Il est crucial de choisir un code long et complexe, dédié à ce seul usage et de ne pas le perdre – car il sera alors impossible de lire le contenu du coffre-fort.
Voici trois gestionnaires de mots de passe :
Bitwarden
Bitwarden est un gestionnaire de mots de passe gratuit, disponible pour un usage individuel et dont le code source est libre. Il n’y a pas de limite au nombre de mots de passe ni au nombre d’appareils connectés. Des extensions et des applications existent pour consulter les mots de passe pour la quasi totalité des appareils.
Les fonctionnalités permettant le partage de mots de passe au sein d’une même organisation sont disponible en option soit payante, lorsque les serveurs officiels Bitwarden sont utilisés, soit gratuitement dès lors que le service est hébergé en interne. Comme alternative à Bitwarden, citons notamment Passbolt.
Comme l’hébergeur ne connaît pas le mot de passe maître, il ne peut pas lire les mots des passe des utilisateurs du service.
Pour l'installer :
- Rendez vous sur https://bitwarden.com/download, puis descendez jusqu'à la section extension pour navigateur web :
- Choisissez l'extension qui correspond à votre navigateur actuel puis cliquez sur le lien pour installer l'extension. Une fois installé, accédez au menu en cliquant sur l'icône de l'extension Bitwarden se trouvant généralement en haut à droite de votre navigateur :
- Choisissez Créer un compte puis renseignez une adresse email et un mot de passe. Ce mot de passe sera votre mot de passe maître, le seul que vous aurez à retenir, il doit impérativement être complexe et il ne faut pas réutiliser ce mot de passe pour s'inscrire à d'autres services. Enfin, cliquez sur Soumettre :
- Le compte est maintenant crée et vous pouvez également télécharger l'application mobile correspondante et vous connecter pour consulter votre coffre sur d'autres appareils.
À ce stade, le coffre-fort est vide et il faut donc ajouter vos identifiants existants. Si vous utilisiez le même mot de passe un peu partout, c'est le bon moment pour vous connecter à ces services et générer des mots de passe uniques et forts. Bitwarden permet d'importer les identifiants enregistrés avec les navigateurs Chrome et Firefox. Des instructions détaillées sont disponibles ici. Dans les grandes lignes, il faut en premier lieu exporter les identifiants stockés par le navigateur dans un fichier. Pour ce faire, rendez-vous dans les options puis dans la section gestion des identifiants et des mots de passe. Dans le cas de Chrome : Paramètres > Saisie automatique > Gestionnaire de mots de passe > Cliquez sur les 3 points verticaux à droite de Mots de passe enregistrés > Exporter les mots de passe > Sauvegarder le fichier .csv. Connectez vous ensuite à l'interface web de votre coffre en suivant ce lien. Allez dans l'onglet « Outils » puis « Importer des données », sélectionnez le format de fichier à importer, indiquez l'emplacement du fichier contenant vos mots de passe puis cliquez « Importer des données » :
Pour ajouter des identifiants individuellement, ouvrez l'add-on Bitwarden dans votre navigateur lorsque vous êtes sur la page de connexion du service en question (en cliquant sur l'icône bleu Bitwarden en haut à droite comme lors de la création de votre compte). Renseignez vos identifiants puis sauvegardez. Pour vous connecter sur un site dont vous avez enregistré les identifiants, il vous suffit d'ouvrir l'add-on et de cliquer sur l'entrée correspondante :
Pour un usage individuel, c'est terminé ! Si vous souhaitez également inviter vos collaborateurs, échanger des mots de passe avec eux et superviser leurs paramètres de sécurité, reste à créer une "Organisation". Dans l'interface web de votre coffre, cliquez sur "+ Nouvelle organisation" puis sélectionnez l'offre équipe ou entreprise selon vos besoins.
Si vous avez opté pour une offre payante, il est possible de sauvegarder les secrets de certains de vos seconds facteurs d'authentification directement au sein de votre coffre. C'est notamment possible pour les TOTP (Time based One Time Password), ce sont ≈6 chiffres renouvelés chaque ≈30 secondes qui vous sont parfois demandés pour accéder à un service sensible. Comme ces secrets sont en général conservés par une application sur votre téléphone, ils sont souvent présentés sous la forme d'un QR code lors de leur mise en place. Pour pouvoir les ajouter à Bitwarden depuis votre navigateur, il vous faut une extension pour extraire l'URL du code QR. Pour Chrome, vous pouvez installer et utiliser l'extension suivante et obtenir une URL de cette forme lorsque vous serez sur une page présentant un QR code TOTP : otpauth://totp/google.com?secret=this_is_a_random_secret&issuer=Google. Il vous suffit ensuite de le renseigner dans Bitwarden pour le compte correspondant.
Dashlane
Fonctionnant selon les mêmes principes que ceux exposés dans la section précédente, Dashlane propose des extensions pour navigateurs ainsi que des applications pour téléphone mobile permettant d'accéder à un coffre-fort synchronisé de mots de passe dont la sécurité dépendra de la qualité du mot de passe maître choisit.
Contrairement à Bitwarden ou PassBolt, le code source de Dashlane n'est pas libre et il n'est donc pas possible d'héberger soi-même le serveur. De plus, de nombreuses fonctionnalités ne sont accessibles que par abonnement.
Pour l'installer :
- Rendez-vous sur le site de Dashlane ;
- Le site vous redirige alors pour télécharger l'extension appropriée : installez l'extension :
- Une fois l'extension installée, vous êtes redirigé vers la page de connexion de Dashlane. En haut à droite, cliquez sur Créer un compte :
- Renseignez votre adresse email puis choisissez un mot de passe maître. Par la suite, ce sera le seul mot de passe qu'il vous faudra retenir, il doit être complexe et utilisé dans le seul but d'accéder à votre coffre. Consultez les conditions d'utilisation puis cliquez sur Créer mon compte.
Le coffre-fort est prêt, reste à y stocker vos identifiants. Des instructions vous invitent à ajouter vos premiers mot de passe. Si vous enregistriez vos mots de passe dans votre navigateur, comme pour Bitwarden, vous pouvez importer vos identifiants, préalablement exportés au format .CSV, dans votre coffre Dashlane. Sans fermer l'onglet actuel, rendez-vous dans les paramètres de votre navigateur et sauvegardez vos mots de passe dans un fichier .cvs puis accédez aux options de Dashlane : Mon compte > Paramètres > Importer et sélectionner votre fichier :
Maintenant que vos mots de passe sont enregistrés, peut-être avez vous besoin d'en partager certains avec vos collaborateurs. Dashlane permet de faire cela facilement en envoyant un email au destinataire l'invitant à se connecter ou à créer un compte via lequel le mot de passe partagé sera accessible.
Depuis votre interface web, rendez-vous dans le « Centre de partage », sélectionnez l'identifiant à partager, renseignez l'adresse email du destinataire, choisissez « Ajouter un nouveau contact » puis partagez :
KeePass
Si stocker vos identifiants, même chiffrés, sur un serveur tiers vous inquiète, il existe également des solutions de gestion de mots de passe entièrement hors-lignes. Dans ce cas, un utilisateur voulant accéder à ses mots de passe depuis plusieurs appareils devra lui même synchroniser son coffre fort entre ses appareils.
Dans ce cas, optez pour KeePass. Suivez ce lien pour télécharger la version du logiciel correspondant à votre système d'exploitation. Installez, ouvrez l'application puis créez un nouveau coffre fort : 
Il est crucial que le mot de passe maître choisit soit complexe, c'est-à-dire d'une qualité supérieure à 100 bits.
Votre coffre-fort est crée, reste maintenant à le remplir. Comme exposé dans la section Bitwarden, vous pouvez aussi avec KeePass importer des identifiants stockés précédemment dans votre navigateur. Pour cela, exportez tout d'abord ces identifiants au format .csv puis choisissez File > Import dans Keepass. Pour ajouter des identifiants individuellement à votre coffre, cliquez sur la clé :
