Futura procède à un tour d’horizon des meilleurs logiciels pour gérer ses mots de passe. ©Mohamed Hassan

Tech

Quels sont les meilleurs logiciels pour gérer ses mots de passe ?

Question/RéponseClassé sous :Sécurité , mot de passe , Internet

Vous êtes inscrit sur une multitude de sites et vous cliquez trop souvent sur « mot de passe oublié » à votre goût ? Vous cherchez une solution permettant de vous connecter plus rapidement à vos comptes ? Futura vous présente sa sélection des meilleurs logiciels pour gérer ses mots de passe.

Commençons cet article par une question : parmi nos lecteurs n'utilisant aucun outil pour administrer ou générer des mots de passe, quelle peut être la proportion de ceux ayant un mot de passe différent pour chaque compte créé sur un site, logiciel ou application ? Assurément une infime partie. 

Il faut dire qu'à l'heure actuelle, le nombre de fois où l'on doit se connecter à un compte dans une journée est important : messageries (Gmail, Outlook, etc.), réseaux sociaux (Facebook, Twitter, Instagram, Snapchat, etc.), streaming vidéo (Netflix, YouTube, etc.), musique (Spotify, Deezer, etc.), sites marchands (Amazon), forums et sites correspondant à ses centres d'intérêt. Si l'on ajoute à cela le fait que, depuis l'application du Règlement général sur la protection des données (RGPD) en mai 2018, la majorité des sites ont contraint leurs utilisateurs à changer leur mot de passe pour qu'il soit plus sécurisé (majuscule, chiffre et/ou caractère spécial obligatoires), alors on comprend vite qu'il est très facile de s'y perdre.

Dans la pratique, la plupart des personnes emploient un nombre restreint de mots de passe dont il se servent sur plusieurs comptes différents. D'autres ne se déconnectent tout simplement pas de certains sites pour éviter de devoir s'identifier à nouveau plus tard (même si, heureusement, les sites les plus sensibles, comme ceux des banques, procèdent à une déconnexion automatique après une courte durée). Sur le plan de la sécurité, on peut difficilement faire pire. Il existe pourtant des outils créés spécialement pour administrer ses données de connexion. Ces logiciels sont avant tout des gestionnaires de mots de passe, mais peuvent aussi proposer des fonctionnalités intéressantes pour rendre plus rapide l'identification. Futura a procédé à une large revue d'effectif et vous présente les meilleurs d'entre eux. 

LastPass

LastPass est une référence des gestionnaires de mots de passe, c'est même probablement le logiciel de ce type le plus connu. Disponible sous la forme d'un logiciel (pour Windows, macOS X, Linux), d'une extension pour navigateur (Chrome, Firefox, Safari, Opera, Internet Explorer et Edge) ou d'une application pour smartphone sous iOS, Android ou Windows Mobile, LastPass repose sur un principe d'une extrême simplicité : l'utilisateur crée un compte LastPass avec un mot de passe maître et le logiciel centralise entièrement les données. Concrètement, l'utilisateur dispose d'un coffre-fort dans lequel il stocke les données de connexion des sites qu'il visite. Il existe plusieurs manières de le remplir : 

  • en laissant LastPass enregistrer les sites auxquels l'utilisateur se connecte ;
  • en important des sites depuis ses emails ;
  • en important des données depuis un autre gestionnaire de mots de passe.

Pour chaque site, l'utilisateur a la possibilité d'ajouter des notes et des remarques. Il peut aussi se servir du générateur de mots de passe aléatoires pour créer un identifiant unique plus difficile à pirater. Ce générateur est particulièrement pratique si l'audit réalisé par la fonction « Challenge de sécurité » estime que certains mots de passe sont faibles. Une fois que les sites sont ajoutés au coffre-fort et que l'application est active (pensez à démarrer l'extension de navigateur en début de session en cliquant sur l'icône associée), les champs réservés aux mots de passe se remplissent automatiquement quand l'utilisateur veut se connecter à l'un de ses comptes. Pour ses achats en ligne, il peut même créer différents profils (formulaires de carte de crédit, d'adresse de facturation, d'adresse de livraison, etc.) afin de renseigner en quelques secondes les champs demandés. LastPass permet aussi de partager ses données sensibles en toute sécurité par l'envoi de mots de passe chiffrés. Dans ce cas-là, l'utilisateur peut synchroniser les modifications puis supprimer l'accès ensuite.

Sur le plan de la protection, LastPass emploie le chiffrement AES 256 bits avec SHA-256 PBKDF2 et le salage (méthode qui permet de renforcer la sécurité des informations qui sont destinées à être hachées en y adjoignant une donnée supplémentaire afin d'empêcher que deux informations similaires conduisent à la même empreinte). Le chiffrement est opéré uniquement en local, ce qui signifie que le mot de passe maître et les clés de chiffrement ne sont jamais communiqués aux serveurs de LastPass. Enfin, le logiciel propose une authentification à deux facteurs : s'il le souhaite, l'utilisateur peut définir une méthode d'identification additionnelle comme une empreinte digitale, un code envoyé par SMS, un code généré par une application, etc. Ce deuxième facteur peut provenir de LastPass Authenticator, mais aussi d'autres logiciels (Duo Security, Google Authenticator, Microsoft Authenticator, Salesforce Authenticator, SecureAuth et Symantec VIP) ou d'un jeton d'authentification. 

LastPass est gratuit, mais propose des versions payantes (à partir de 2,63 euros par mois) intégrant, entre autres, de nouveaux outils d'administration, des options multifacteurs supplémentaires ainsi que l'accès à un service clientèle dédié.

LastPass est la référence des gestionnaires de mots de passe. © LogMeIn Inc.

Dashlane Free

Dashlane Free repose sur le même principe que LastPass, mais il possède quelques limitations par rapport à ce dernier. L'utilisateur stocke de manière sécurisée jusqu'à 50 mots de passe sur son appareil et Dashlane Free prend ensuite le relais. Le logiciel opère après une saisie automatique des données personnelles et des informations de paiement en un clic, chaque fois que c'est nécessaire. 

L'utilisateur dispose aussi d'un générateur de mots de passe complexes quand il crée un compte ou qu'il modifie les anciennes données de ses comptes. Grâce à la fonction « Password Changer », il peut remplacer des dizaines de vieux mots de passe par de nouveaux, qui sont sauvegardés automatiquement par le Dashlane Free. Il peut ajouter des notes sécurisées pour mieux protéger ses informations et ses pièces jointes. 

En ce qui concerne la sécurité, le chiffrement effectué est complexe et Dashlane Free propose une double authentification standard. Le logiciel scanne également le Web pour détecter si certaines données personnelles ont été volées ou divulguées. Si c'est le cas, il alerte l'intéressé afin que celui-ci puisse réagir le plus rapidement possible. Dashlane Free permet enfin de définir un ou plusieurs contacts de confiance pouvant avoir accès aux informations de l'utilisateur en cas d'urgence. 

Si Dashlane Free semble un peu inférieur à la version gratuite de LastPass, sa version Premium à 3,33 euros par mois présente des fonctionnalités additionnelles intéressantes. Le logiciel embarque à ce moment-là un outil de surveillance spécifique du dark web, un VPN, un espace de stockage de fichiers sécurisé, un accès au compte à distance et une assistance prioritaire. Le nombre de mots de passe sauvegardés devient illimité, la synchronisation se fait sur tous les appareils et la double authentification se fait en U2F avec prise en charge de la YubiKey (dispositif d'authentification électronique fabriqué par Yubico).

Si vous hésitez encore, le fait que l'éditeur soit français peut finir de vous convaincre. Dashlane est disponible sous Windows, macOS X, iOS et Android.

Dashlane Free peut changer des dizaines d’anciens mots de passe en un clic. © Dashlane Inc.

Keepass

Keepass est un gestionnaire de mots de passe gratuit, libre et certifié par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Depuis 2012, le logiciel est déployé dans toutes les administrations publiques françaises. Son fonctionnement ressemble à celui de ses concurrents : Keepass sauvegarde tous les mots de passe dans une base de données qui lui est propre sous la forme d'un fichier chiffré. Cette base de données n'est accessible qu'aux personnes disposant du mot de passe principal. Pour renforcer sa sécurité, l'utilisateur peut ajouter une clé (au moyen d'un fichier .key). Le chiffrement est opéré au choix par l'un des deux algorithmes les plus performants à l'heure actuelle : 

  • sécurisation par chiffrement AES (clé de 256 bits) ;
  • sécurisation par chiffrement TwoFish (clé de 256 bits + blocs de 128 bits).

Si l'interface semble un peu austère, ce qui est souvent le cas des logiciels libres, elle est facile à appréhender. Toutes les entrées de la base de données peuvent être complétées par un glisser/déposer. L'exécution automatique de la saisie des mots de passe s'active simplement par le menu contextuel des dossiers après un clic droit. Les utilisateurs changeant régulièrement leurs mots de passe peuvent en garder une trace grâce à l'historique des entrées de la base de données. 

Keepass propose des fonctionnalités appréciables et absentes chez la concurrence. Tout d'abord existe la possibilité de synchroniser ses données entre ses différents appareils depuis un site distant en FTP à la place d'un cloud. Cette alternative plaira probablement aux utilisateurs ayant une confiance modérée dans le stockage en ligne. Ensuite, Keepass pallie à l'une des failles de sécurité majeures en ce qui nous concerne : la gestion du presse-papier lorsqu'un mot de passe est copié/collé. Dans ce cas, le logiciel chiffre les mots de passe contenus dans la mémoire vive et ne conserve en mémoire que 12 secondes un mot de passe copié/collé. 

Keepass est disponible en version classique et en version portable. Cette dernière permet d'installer Keepass sur un support de stockage amovible comme une clé USB ou une carte SD. À l'origine, Keepass a été conçu pour Windows, mais de nombreux portages ont été réalisés pour une multitude de plateformes : macOS X, Linux, FreeBSD, Android, iOS, Windows Phone, Windows Mobile, Chromebook, BlackBerry 10, etc. Enfin, on peut mentionner l'existence de multiples plugins développés par des membres de la communauté pour améliorer l'expérience générale : 

  • enregistrement d'une sauvegarde de la base de données à chaque mise à jour ;
  • utilisation de Keepass sur Chrome, Firefox et Internet Explorer ;
  • protection par un certificat à la place d'un mot de passe.

Toutefois, n'oubliez pas que ces plugins ne sont pas officiels, assurez-vous donc qu'ils ont été testés ou certifiés avant. 

Keepass est le gestionnaire de mots de passe employé dans les administrations publiques françaises. © Dominik Reichl
Abonnez-vous à la lettre d'information La question de la semaine : notre réponse à une question que vous vous posez, forcément.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi