Le Gestionnaire de mots de passe : un essentiel de la cybersécurité !
Qu’est-ce qu’un gestionnaire de mots de passe ? En quoi est-ce devenu un élément nécessaire pour toute organisation ?
Cet article va vous guider à travers les aspects clés d’un gestionnaire de mots de passe.
Qu’est-ce qu’un gestionnaire de mots de passe ?
De quoi parlons-nous ?
Comme son nom l’indique, le gestionnaire de mots de passe va vous aider à gérer vos mots de passe.
C’est un outil qui stocke de manière plus sécurisée dans un coffre fort virtuel qui centralise l’ensemble de vos credentials (identifiants / mots de passe).
Il existe aujourd’hui de nombreux gestionnaires différents avec des fonctionnalités différentes qui s’adapteront plus ou moins bien à vos usages et vos besoins.
Nous appellerons credentials, le duo identifiant + mot de passe pour la suite de l’article.
Deux types de gestionnaires de mots de passe
Il est important de faire la distinction entre les gestionnaires de mots de passe qui permettent un gain de temps et les gestionnaires de mots de passe qui permettent un gain de sécurité. On entend par gestionnaire qui permettent un gain de temps, les gestionnaires tels que les gestionnaires de mots de passe intégrés dans les navigateurs internet. Ceux-ci ne sont pas sécurisés et ne stockent pas les mots de passe de manière chiffrée !
C’est à dire que n’importe qui ayant accès à la machine (voire même simplement à son disque dur) sera en mesure de récupérer les mots de passe stockés dans le navigateur internet. Certes ces gestionnaires sont pratiques d’un point de vue utilisation, gain de temps et intuitivité mais sont une catastrophe d’un point de vue sécurité. Voyez ici un screen d’un outil permettant la récupération de mots de passes stockés dans un navigateur :
Pourquoi en avoir un ?
Avec le nombre conséquent de comptes que l’on utilise au quotidien, avoir un mot de passe différent pour tous nos comptes devient crucial mais peut s’avérer difficile.
Si quand bien même vous utilisez des mots de passe différents, il arrive de ne plus se souvenir de celui-ci et de devoir réinitialiser mon mot de passe. Des démarches par mails ou par SMS peuvent prendre du temps, voire ne jamais fonctionner.
En quoi est-ce plus sécurisé ?
Ce coffre virtuel accroît la sécurité de vos identifiants et de vos mots de passe grâce à des générations de mots de passe complexes. Ces mots de passe complexes contiennent des chaînes de caractères aléatoires incluant des lettres majuscules et minuscules, des chiffres et des caractères spéciaux avec une taille qui peut aller jusqu’à 128 caractères parfois.
Cela évite d’avoir le même mot de passe partout !
Vos credentials sont stockés indépendamment des autres. Cela veut dire que si vous vous faites pirater un identifiant ou un mot de passe, uniquement celui-ci sera affecté au lieu de l’entièreté de vos credentials. Il n’y a aucun lien entre chacun de vos mots de passe.
L’authentification multifacteur est pour la plupart des gestionnaires de mots de passe nativement disponible. Cette fonctionnalité oblige la personne qui tente de se connecter avec votre compte de posséder un code aléatoire qui change toutes les minutes. De cette manière, vous n’avez plus besoin d’aller dans vos mails, SMS ou autres applications d’authentification.
Le partage et l’envoi de mots de passe ou de notes sécurisées. C’est en général une option supplémentaire qui peut être très pratique pour partager un document ou des notes à quelqu’un de confiance.
Certains gestionnaires de mots de passe permettent de créer des bibliothèques communes. C’est une fonctionnalité très appréciée des entreprises pour partager uniquement les mots de passe à un groupe de personnes définies.
Quelles sont les fonctionnalités les plus recherchées ?
Chaque gestionnaire de mots de passe possède ses propres fonctionnalités, quand bien même, certaines fonctionnalités sont des critères de choix dans l’utilisation d’un gestionnaire de mots de passe.
Le chiffrement fort
AES-256 (ou supérieur). Le chiffrement garantit une sécurité dans le chiffrement de votre coffre fort virtuel. Cela signifie qu’un attaquant baissera probablement les bras s’il essaye de “bruteforce” votre mot de passe, puisque ce “crackage” de mot de passe lui prendra des jours, des mois, des années.
Votre gestionnaire de mots de passes sur mobile.
Comme décrit plus tôt, la MFA (Multi Factor Authentication) vous permettra de regrouper vos éléments de connexion dans un seul outil tout en augmentant la sécurité de connexion de vos comptes. Cela permet d’avoir un autre facteur d’authentification en plus de votre mot de passe, ce qui renforce la sécurité de votre compte, notamment en cas de fuite de ce dernier.
Un article dédié à l’authentification multifacteur est accessible ici.
La génération de mots de passe complexes
Créer et retenir des mots de passe complexes pour tous vos comptes peut devenir compliqué voir impossible. De nos jours, cracker un mot de passe ordinaire est facile pour un attaquant. Des listes complètes de mots de passe sont disponibles sur internet. Parmi ces listes, on observe facilement des paternes de mots de passe. Par exemple, les majuscules sont généralement situées en début de mots de passe, les chiffres et caractères spéciaux (s’il y en a) sont plutôt situés à la fin du mot de passe. On sait aussi que certaines lettres sont plus souvent remplacées que d’autres par des chiffres, comme le chiffre ‘4’ pour remplacer un ‘A’ ou pour signifier le mot ‘for’ dans une phrase.
Le générateur ne tient pas compte de ses paternes ‘humains’, ce qui rend impossible de comprendre la logique d’un mot de passe pour un humain et par conséquent le crackage de ce mot de passe.
La synchronisation multi-appareils (cloud)
C’est une fonctionnalité qui semble inutile à certains égards, mais pouvoir utiliser son gestionnaire de mots de passe sur plusieurs appareils évite bien des embarras pour les personnes mobiles.
Vérification de compromission
Certains gestionnaires de mots de passe permettent de vérifier si vos mots de passe ont fuité publiquement. Cela peut s’avérer utile pour vérifier si l’un de vos mots de passe a fuité, il vous suffit d’en générer un nouveau.
Quelles sont les bonnes pratiques et les conseils d’utilisation ?
Nous vous recommandons d’ajouter vos mots de passe au fur et à mesure de vos usages pour ne pas se perdre avec la multitude d’informations. Cela évite de tout stocker dans son navigateur, qui est hautement déconseillé.
L’activation de la MFA pour vous connecter à votre gestionnaire de mots de passe est FORTEMENT recommandée. Le gestionnaire de mots de passe est une solution de cybersécurité, si toutefois votre mot de passe principal est simple, ce sont tous vos mots de passe qui sont compromis.
Mettre à jour votre gestionnaire de mots de passe (application mobile, logiciel de bureau ou extension) vous protégera plus durablement.
Configurer votre gestionnaire de mots de passe en fonction de vos usages et de vos habitudes. Par exemple, désactiver le gestionnaire de mots de passe de votre navigateur et paramétrer votre nouveau gestionnaire par défaut. L’activation du lecteur d’empreinte pour accéder à votre coffre fort virtuel vous fera gagner du temps et en sécurité également.
Conduite de changement, s’habituer à l’outil
Le but d’un gestionnaire de mots de passe n’est pas de vous ralentir dans votre travail, tout au contraire. C’est pourquoi une conduite de changement s’avérera utile à l’adoption de ce nouvel outil.
L’utilisation d’un gestionnaire de mots de passe peut s’avérer anodine mais peut devenir un frein au quotidien des utilisateurs si l’usage n’est pas cadré. (cf notre article Réussir votre sensibilisation à la sécurité des systèmes d’information)
Des démonstrations ou des formations des utilisateurs finaux et des administrateurs de la solution mettront les utilisateurs en confiance avec ce nouvel usage. Comment partager mon mot de passe à mon équipe ?
Établir des règles internes pour le bon fonctionnement de la solution choisie est indispensable. Par exemple, expliquer aux utilisateurs qui ils doivent contacter en cas de problème avec leur gestionnaire de mots de passe.
L’intégration continue d’une nouvelle solution au sein d’une infrastructure déjà existante est possible. Le paramétrage du SSO est un excellent exemple. Les utilisateurs pourront se connecter avec leurs comptes professionnels à leur coffre fort numérique.
Organiser des réunions avec les différentes équipes pour échanger du gestionnaire de mots de passe afin de comprendre les difficultés de chacun ou paramétrages à affiner pour pérenniser l’utilisation de l’outil et son administration est également un moyen de rassurer les utilisateurs et d’ajuster le curseur pour les administrateurs.
Quelles peuvent-être les conséquences si vous n’utilisez pas de gestionnaire de mots de passe ?
En évitant d’utiliser un gestionnaire de mots de passe, vous risquez probablement d’utiliser des mots de passe similaires sur plusieurs comptes en ligne. Ce qui veut dire qu’un attaquant, en trouvant un seul mot de passe, trouvera en réalité plusieurs de vos comptes.
De manière générale, lorsqu’un attaquant trouve un compte utilisateur, il teste sa trouvaille sur un ensemble de sites ou logiciels, qui dans beaucoup de cas, sont des succès pour l’attaquant.
De manière moins dramatique, vous risquez d’oublier vos mots de passe, tout simplement. En particulier si vous utilisez déjà des mots de passe complexes sur vos comptes.
Quels gestionnaires de mots de passe recommandons-nous ?
En évitant d’utiliser un gestionnaire de mots de passe, vous risquez probablement d’utiliser des mots de passe similaires sur plusieurs comptes en ligne. Ce qui veut dire qu’un attaquant, en trouvant un seul mot de passe, trouvera en réalité plusieurs de vos comptes.
De manière générale, lorsqu’un attaquant trouve un compte utilisateur, il teste sa trouvaille sur un ensemble de sites ou logiciels, qui dans beaucoup de cas, sont des succès pour l’attaquant.
De manière moins dramatique, vous risquez d’oublier vos mots de passe, tout simplement. En particulier si vous utilisez déjà des mots de passe complexes sur vos comptes.
Allistic est partenaire avec Bitwarden, un des leaders du marché des gestionnaires de mots de passe. Nous sommes en capacité de vous accompagner sur la mise en place de la solution : Provisionnement, conseils, intégration, formations utilisateurs, formations administrateurs et révisions régulières.
Bitwarden est très apprécié des particuliers et des professionnels.
Ses points forts :
- Disponible en cloud, en local ou en hybride
- Partage des credentials en équipe
- Création de groupes / bibliothèques d’équipe
- Envoi de notes ou de documents sécurisé
- Facilité d’utilisation
- SSO
Nous sommes également partenaire de la solution française de gestionnaire de mots de passe, certifiée par l’ANSSI : LockSelf.
LockSelf propose une plateforme tout-en-un appelée LockSelf Vault qui permet de centraliser et de sécuriser les informations sensibles et les données d’entreprise. Cette solution intégrée facilite la gestion des mots de passe, des documents, et des identités numériques de manière centralisée et sécurisée.
Ses points forts :
- Partage des credentials en équipe
- Gestion du versionning des mots de passe
- Facilité d’utilisation
- SSO
- Gestion fine des accès
- Gestion des logs
Allistic est en mesure de vous accompagner dans l’intégration de ces outils au sein de votre organisation.
Vous souhaitez en savoir plus ? Contactez-nous ! Un expert se fera un plaisir de vous accompagner.
Cet article a été rédigé avec ❤️ par Anthony.