L’utilisation d’un gestionnaire de mot de passe est une très bonne pratique, à condition de choisir un bon outil. Je ne dirai pas le bon outil, car selon ses exigences, ses usages, différents outils peuvent convenir.
Les critères de choix
Il faut souvent faire des compromis sur les points suivants :
- L‘ergonomie question de goût et de facilité d’utilisation, sans incidence sur la sécurité (sauf si cela vous incite à faire de fausses manip’) ;
- La sécurité intrinsèque, qui peut être bonne ou mauvaise, en utilisant de bons algorithmes ou de mauvais, ou en les employant mal, etc.
- L‘intégration avec le système d’exploitation, les navigateurs web, etc. Autant cela facilite l’usage, autant cela nuit à la sécurité puisque cela multiplie la surface d’attaques.
- Le type de stockage en local ou en ligne. La différence est énorme : en ligne, vous avez plus de fonctionnalités et de facilité à l’utiliser, mais vous augmentez considérablement le risque de vol de vos mots de passe.
- Le mode de licence ouvert ou non. En sécurité, on considère qu’un code accessible (à défaut d’être open source) a l’avantage de pouvoir être examiné, amélioré et audité. Avec un code propriétaire, il faut faire confiance à l’éditeur.
Après, tout dépend de si vous êtes paranoïaque ou pas. Sur le site Pixel1 (du journal Le Monde), cinq outils ont été regardés, en se basant sur un article de NextInpact2. Étonnamment, le meilleur en termes de sécurité est le moins bon en termes d’ergonomie, et réciproquement. En pratique, la facilité d’usage et l’ergonomie sont souvent inversement proportionnels au niveau de sécurité.
Le niveau de sécurité maximal n’est pas non plus automatiquement la solution la plus adaptée : une ergonomie simple et efficace peut faciliter l’adoption d’un outil et, même si son niveau de sécurité intrinsèque est insuffisant, cela peut permettre de lutter contre de mauvaises pratiques et réduire malgré tout le risque résiduel. Cela peut également convenir si l’impact d’une compromission reste faible et limité.
Il faut donc bien définir ses priorités lors du choix d’un outil, et donc savoir quel est le ou les risques que l’on souhaite couvrir.
Quelques éléments
DashLane et LastPass font partie de la catégorie des outils en ligne. Un spécialiste de sécurité a dézingué3 la qualité de leurs codes (au niveau sécurité), ce qui n’est guère rassurant, alors que KeePass ne présentait pas de faille apparente, et a même eu droit à plusieurs inspections (un audit de code encadré par la commission européenne4 et une certification de premier niveau par l’ANSSI, sur une version ancienne).
Du point de vue d’un attaquant, un gestionnaire de mots de passe en ligne est une cible de choix ! LastPass en a fait les frais en 20155 puis en 20176, en plusieurs temps78, au travers des extensions pour navigateurs web. Plus anecdotique, une nouvelle faille assez gênante a été vue (et corrigée) en 20199.
Keeper met l’accent sur une solution dite « sans connaissance », mais des chercheurs en sécurité10 remettent en cause ces affirmations. Keeper aussi a eu les mêmes ennuis que LastPass dans son extension pour navigateur en 201611 ainsi qu’en 201712, en même temps que LastPass. Il est également connu pour ne pas être enclin à aider les chercheurs en sécurité, en les poursuivants en justice pour diffamation13, ce qui n’est pas pour entretenir un climat serein pour les échanges avec la communauté SSI.
Encore des failles
- http://eprints.whiterose.ac.uk/158056/
- https://www.welivesecurity.com/2020/03/19/security-flaws-found-in-popular-password-managers/
Liste d’outils
| Outil | Editeur | Licence | OS | Client lourd ou web | Stockage | Intégration navigateur |
| LastPass | LogMeIn | Commerciale | Smartphones, PC | Client | Externe | Oui |
| DashLane | DashLane | Commerciale | PC (Mac, OS) | Client | Local + cloud sync | Oui |
| KeePass | D. Reichl | GPL v2+ | PC | Client | Local | Non |
| Keeper | Keeper Security | Commerciale | Smartphones, PC | Client | Local + cloud sync | Oui |
| RoboForm | Siber Systems | Commerciale | Smartphones, PC | Client | Local, Externe | Oui |
| Sticky Password | Lamantine Software | Commerciale | Smartphones, PC | Client, web | Local, Externe | Oui |
| EnPass | Sinew Software Systems | Moteur AES open source | Smartphones, PC | Client | Local + cloud sync | Oui |
| 1Password | AgileBits | Commerciale | Smartphones, PC | Client | Local + cloud sync | Oui |
| Norton Identity Safe | Norton | Commerciale | nc | Web | Externe | Oui |
| Intuitive Password | Smartphones, PC | Web | Externe | Oui | ||
| Encryptr | SpiderOak | GPL v3 | Smartphones, PC | Client nodejs | Externe | Non |
| LockPass | LockSelf | Commerciale | Ubuntu, CentOS (serveur) | Web | Externe, Interne | Oui |
| PassBolt | PassBolt | AGPL v3 | nc | Web (PHP) | Local, Externe |
Outils moins pertinents
| Outil | Editeur | Commentaires |
| Password Manager Pro | Manage Engine | Solution d’authentification et de protection, trop riche. |
| RED identity mngt | Lieberman Software | Solution d’authentification, trop complète (et trop complexe). |
Sources
- https://www.techadvisor.fr/banc-essai/ordinateurs/meilleur-gestionnaire-de-mot-de-passe-gratuit-3666137/
- http://www.lemonde.fr/pixels/article/2017/09/04/quel-gestionnaire-de-mots-de-passe-est-fait-pour-vous_5180822_4408996.html
- https://www.csoonline.com/article/3198507/security/the-6-best-password-managers.html
- https://darkwebnews.com/anonymity-tools/password-managers/?data2=dwnres
- Forrester « Meilleures pratiques : Sélection, déploiement et gestion des gestionnaires de mots de passe d’entreprise », 2018-01-08, Merritt Maxim et Andras Cser