S’il y a bien un outil absolument nécessaire à votre hygiène numérique quotidienne, c’est le gestionnaire de mots de passe. Véritable coffre-fort sécurisé, il vous permettra de stocker vos mails, identifiants, mots de passe et autres informations en sécurité pour les utiliser sur toutes vos machines.
Pourquoi faire?
Mails, pseudos, mots de passe, ces informations nous sont demandées absolument partout sur internet et en toute situation. Chez VNP, on recommande l’utilisation d’adresses mails et de mots de passe le plus unique possible. Dans un souci de préservation de votre vie privée et de votre sécurité numérique, il est nécessaire de multiplier au maximum ces informations. L’objectif est d’éviter de faire converger toutes vos informations personnelles vers un seul identifiant unique.
Oui, mais c’est ingérable !
C’est tout à fait gérable si vous utilisez un gestionnaire de mots de passe.
L’objectif est d’éviter que la compromission d’une information telle qu’un mot de passe n’entraîne la compromission de tous vos comptes en ligne. Des informations personnelles telles que les mots de passe sont régulièrement piratées sur divers sites ou services en ligne où vous possédez peut-être un compte.
Le pire scénario serait qu’un pirate accède à votre mot de passe et à d’autres informations et les utilise pour accéder à d’autres sites sur lesquels vous utilisez ces mêmes identifiants. C’est la catastrophe en chaîne.
Attention aux recherches en source ouverte
L’autre risque d’utiliser les mêmes identifiants partout sur internet est de permettre à un attaquant potentiel de vous cibler plus facilement. Grâce aux techniques d’OSINT/ROSO (Open Source Intelligence ou renseignement avec des sources ouvertes), des personnes mal intentionnées peuvent se renseigner précisément sur vous grâce aux données que vous aurez créées et qui seront liées à cette adresse.
Un hacker ou toute personne malveillante peut acquérir des renseignements vous concernant par le biais de votre mail, d’un pseudo ou d’une autre donnée personnelle. Prudence donc.
Au fait c’est quoi déjà un bon mot de passe?
Première remarque: quand il s’agit de retenir le mot de passe, nous ne devrions plus parler de mots de passe, mais de phrases de passe. Les phrases de passe sont plus longues, plus faciles à retenir du fait de leur construction logique.
- Si vous devez le mémoriser, utilisez une citation et transformez la en phrase de passe avec un minimum de 12 mots.
- Le mot de passe doit être long, le plus long possible. Bien souvent, c’est le formulaire du site qui vous limitera.
- Il doit mélanger des lettres majuscules, minuscules, des chiffres et des caractères spéciaux.
- Enfin, il doit être unique et propre à une seule utilisation. Un compte=un mot de passe.
Les autres utilisations d’un gestionnaire de mots de passe
Au-delà des mots de passe et des pseudonymes, un service peut vous donner d’autres informations telles que des codes de récupération, des adresses de contact etc. Les informations peuvent être très nombreuses. Le gestionnaire de mots de passe permet de stocker ces informations.
L’erreur commune serait de créer un fichier excel, d’insérer toutes ces précieuses informations et de les laisser dans un dossier discret de votre ordinateur. L’autre erreur courante souvent vue dans les bureaux consiste à écrire le mot de passe sur un post-it collé à l’écran… Pour le plus grand bonheur des responsables informatiques.
Au-delà de ces utilisations, le gestionnaire de mots de passe vous permet de connaître et de mémoriser tous les comptes que vous avez créés. Dans un souci de protection de ses données personnelles, cela peut par exemple vous aider à faire le ménage dans vos comptes inutilisés et les supprimer le cas échéant. Il n’y a rien de mieux pour éviter un vol à posteriori de vos données.
N’enregistrez pas vos mots de passe n’importe où!
Les plus paresseux d’entre vous se demanderont s’il est bien utile d’installer un gestionnaire de mot de passe quand on les stocke tous dans son navigateur. Certes c’est bien pratique au quotidien mais c’est risqué. Certains malwares sont conçus pour récupérer ces mots de passe qui peuvent parfois être enregistrés en clair, avec une sécurité minime. Par ailleurs, beaucoup d’utilisateurs ne sécurisent pas cet enregistrement avec un mot de passe maître.
Si vous n’avez pas la patience d’ouvrir votre gestionnaire de mot de passe à chaque utilisation, sachez qu’il existe probablement une extensions pour navigateur pour faciliter l’intégration des mots de passe au navigateur. Ces extensions existent pour les navigateurs Chrome et Firefox.
D’accord mais quel logiciel faut-il utiliser?
Excellente question. Tous ne se valent pas, loin de là. Le marché des gestionnaires de mots de passe est pléthorique. Mais mieux vaut passer un peu de temps à bien choisir sa solution. En utilisant un tel logiciel, vous lui confiez potentiellement toute votre vie : banques, assurance commerces en ligne, sites divers etc. Celui qui parviendra à mettre la main sur ces données sera le roi du pétrole… Mieux vaut donc ne pas plaisanter avec ça.
Sur VNP, on privilégie toujours les solutions libres et open-source, surtout quand elles sont recommandées par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) : Keepass.
Keepass est disponible pour Windows, Mac, Linux , Android et IOS. Téléchargez le logiciel depuis le site officiel.
Logiciel libre oblige, vous y trouverez aussi une longue liste des applications développées sur Android et IOS pour ouvrir de façon sécurisée votre base de données de mots de passe. La liste est longue. Chez VNP on vous renvoie toujours vers le store F-Droid pour trouver l’application Keepass qui vous conviendra. A vous de voir.
Contrairement à d’autres solutions, Keepass ne stocke pas vos données dans le cloud mais bien dans un fichier chiffré que vous stockez sur votre machine. Libre à vous de le stocker dans votre cloud personnel pour partager la base de données entre différentes machines.
Ensuite, Keepass n’étant pas un projet commercial, les applications ne contiennent aucun traqueur/pisteur. Pas d’intrusion de ce côté là donc.
Contrairement à d’autres solutions, Keepass n’est pas très esthétique, ces fonctions sont basiques mais c’est aussi ce qui en fait sa robustesse. Pas de cloud, pas de stockage ailleurs que sur votre machine, et pas besoin de créer un compte.
Comment ça fonctionne? (Tutoriel)
Lorsque vous ouvrez le logiciel pour la première fois, il va vous demander de créer un mot de passe « maître ». C’est ce mot de passe qui vous permettra d’ouvrir toute la base de donnée. Sans ce mot de passe, impossible d’ouvrir quoi que ce soit (Sécurité AES 256!).
Allons-y étape par étape :
- Une fois le logiciel ouvert, vous allez devoir générer une nouvelle base de données de mots de passe. « fichier », « nouveau ».
- Créez une clé maître. Cette clé est très importante, c’est elle qui permettra d’ouvrir votre coffre-fort et donc d’accéder à tous vos mots de passe qui y sont stockés. Mémorisez un mot de passe avec les caractéristiques énoncées plus haut.
- Nommez cette base de données (par défaut « database.kdbx »).
- Vous pouvez ensuite imprimer votre mot de passe maître sur papier. Cela peut constituer une bonne solution si vous avez la capacité de protéger physiquement ce mot de passe, dans un coffre-fort physique par exemple.
- Organisez ensuite les différentes rubriques selon vos besoins: forum/commerce/banque/assurance etc.
- Pour créer une fiche de mots de passe : ajoutez le nom de la fiche, nom d’utilisateur et mot de passe. Vous avez aussi la possibilité décrire dans la rubrique « note » de la fiche pour ajouter des détails importants.
- Sur cette fiche, vous pouvez générer un mot de passe, sélectionnez les critères: nombre de caractères, majuscule, minuscule, nombres, caractères spéciaux etc.
- Une fois le mot de passe généré, copiez-collez le dans votre formulaire/sur le site qui le demande, enregistrez la fiche et fermez le logiciel.
- Notre ultime conseil, peut-être le plus important : stockez le fichier en lieu sûr : disque dur chiffré, cloud sécurisé etc.
