Gestionnaire de mots de passe

L’utilisation d’un gestionnaire de mot de passe est une très bonne pratique, à condition de choisir un bon outil. Je ne dirai pas le bon outil, car selon ses exigences, ses usages, différents outils peuvent convenir.

Les critères de choix

Il faut souvent faire des compromis sur les points suivants :

  • L‘ergonomie question de goût et de facilité d’utilisation, sans incidence sur la sécurité (sauf si cela vous incite à faire de fausses manip’) ;
  • La sécurité intrinsèque, qui peut être bonne ou mauvaise, en utilisant de bons algorithmes ou de mauvais, ou en les employant mal, etc.
  • L‘intégration avec le système d’exploitation, les navigateurs web, etc. Autant cela facilite l’usage, autant cela nuit à la sécurité puisque cela multiplie la surface d’attaques.
  • Le type de stockage en local ou en ligne. La différence est énorme : en ligne, vous avez plus de fonctionnalités et de facilité à l’utiliser, mais vous augmentez considérablement le risque de vol de vos mots de passe.
  • Le mode de licence ouvert ou non. En sécurité, on considère qu’un code accessible (à défaut d’être open source) a l’avantage de pouvoir être examiné, amélioré et audité. Avec un code propriétaire, il faut faire confiance à l’éditeur.

Après, tout dépend de si vous êtes paranoïaque ou pas. Sur le site Pixel1 (du journal Le Monde), cinq outils ont été regardés, en se basant sur un article de NextInpact2. Étonnamment, le meilleur en termes de sécurité est le moins bon en termes d’ergonomie, et réciproquement. En pratique, la facilité d’usage et l’ergonomie sont souvent inversement proportionnels au niveau de sécurité.

Le niveau de sécurité maximal n’est pas non plus automatiquement la solution la plus adaptée : une ergonomie simple et efficace peut faciliter l’adoption d’un outil et, même si son niveau de sécurité intrinsèque est insuffisant, cela peut permettre de lutter contre de mauvaises pratiques et réduire malgré tout le risque résiduel. Cela peut également convenir si l’impact d’une compromission reste faible et limité.

Il faut donc bien définir ses priorités lors du choix d’un outil, et donc savoir quel est le ou les risques que l’on souhaite couvrir.

Quelques éléments

DashLane et LastPass font partie de la catégorie des outils en ligne. Un spécialiste de sécurité a dézingué3 la qualité de leurs codes (au niveau sécurité), ce qui n’est guère rassurant, alors que KeePass ne présentait pas de faille apparente, et a même eu droit à plusieurs inspections (un audit de code encadré par la commission européenne4 et une certification de premier niveau par l’ANSSI, sur une version ancienne).

Du point de vue d’un attaquant, un gestionnaire de mots de passe en ligne est une cible de choix ! LastPass en a fait les frais en 20155 puis en 20176, en plusieurs temps78, au travers des extensions pour navigateurs web. Plus anecdotique, une nouvelle faille assez gênante a été vue (et corrigée) en 20199.

Keeper met l’accent sur une solution dite « sans connaissance », mais des chercheurs en sécurité10 remettent en cause ces affirmations. Keeper aussi a eu les mêmes ennuis que LastPass dans son extension pour navigateur en 201611 ainsi qu’en 201712, en même temps que LastPass. Il est également connu pour ne pas être enclin à aider les chercheurs en sécurité, en les poursuivants en justice pour diffamation13, ce qui n’est pas pour entretenir un climat serein pour les échanges avec la communauté SSI.

Encore des failles

Liste d’outils

Outil Editeur Licence OS Client lourd ou web Stockage Intégration navigateur
LastPass LogMeIn Commerciale Smartphones, PC Client Externe Oui
DashLane DashLane Commerciale PC (Mac, OS) Client Local + cloud sync Oui
KeePass D. Reichl GPL v2+ PC Client Local Non
Keeper Keeper Security Commerciale Smartphones, PC Client Local + cloud sync Oui
RoboForm Siber Systems Commerciale Smartphones, PC Client Local, Externe Oui
Sticky Password Lamantine Software Commerciale Smartphones, PC Client, web Local, Externe Oui
EnPass Sinew Software Systems Moteur AES open source Smartphones, PC Client Local + cloud sync Oui
1Password AgileBits Commerciale Smartphones, PC Client Local + cloud sync Oui
Norton Identity Safe Norton Commerciale nc Web Externe Oui
Intuitive Password     Smartphones, PC Web Externe Oui
Encryptr SpiderOak GPL v3 Smartphones, PC Client nodejs Externe Non
LockPass LockSelf Commerciale Ubuntu, CentOS (serveur) Web Externe, Interne Oui
PassBolt PassBolt AGPL v3 nc Web (PHP) Local, Externe  

Outils moins pertinents

Outil Editeur Commentaires
Password Manager Pro Manage Engine Solution d’authentification et de protection, trop riche.
RED identity mngt Lieberman Software Solution d’authentification, trop complète (et trop complexe).

Sources