Piratages des gestionnaires de mots de passe : comment s’en prémunir ?
Grâce à une solution toute simple.
Au courant des dernières semaines, plusieurs gestionnaires de mot de passe de grande renommée ont déclaré avoir été victime de piratage. La première affaire a concernée LastPass. Selon son CEO, des pirates ont réussi à voler des informations confidentielles dans la base de données utilisateurs. Autre affaire, plus récente, concernant cette fois-ci Norton, l’une des sociétés phares en matière de sécurité informatique. Celle-ci a avoué avoir été pillée par des pirates, qui ont pioché dans les bases de données des utilisateurs de Norton Password Manager, le gestionnaire de mot de passe maison.
Tout ceci n’est pas rassurant, d’autant plus quand on est utilisateur régulier d’un tel programme de gestion de mot de passe. Sachant qu’en plus, celui-ci, bien souvent payant, contient généralement des informations extrêmement sensibles, comptes bancaires, cryptomonnaies, secrets professionnels, etc.
Une même faiblesse : le stockage en ligne
Il faut bien comprendre qu’une grande partie de ces services de gestion de mot de passe partage un même talon d’Achille : le stockage des coffres-forts des utilisateurs sur leurs propres serveurs. Quelle meilleure cible pour un pirate : un serveur rempli de données sensibles de milliers de personnes, à déchiffrer, certes, mais parfois sans grands efforts nécessaires. D’où l’intérêt, déjà, de choisir un mot de passe pour son gestionnaire le plus long et complexe possible.
Voilà en tout cas pourquoi, si vous voulez minimiser les chances de voir vos coordonnées bancaires fuiter dans la nature suite à une brèche de sécurité sur l’une ou l’autre plateforme, la solution est toute simple : héberger ses mots de passe en local.
Des alternatives plus sécurisées
Il existe des applications alternatives aux 1Password, LastPass et autres Dashlane, qui proposent tout autant de possibilités, mais qui permettent surtout de stocker le coffre-fort en local. Prenez le cas d’Enpass par exemple, mon application de gestion de mots de passe préférée. Elle offre plusieurs solutions pour synchroniser son coffre-fort entre un Mac et un iPhone : vous pouvez choisir plusieurs services cloud pour y placer votre fichier chiffré, Dropbox, Google Drive, Box, par exemple. Mais vous pouvez aussi choisir la fonctionnalité de synchronisation en local via Wi-Fi. Ainsi, aucune donnée n’est transmise sur un quelconque serveur tiers. Le transfert se fait entre votre Mac et votre iPhone en liaison directe.
Autre solution alternative envisageable, l’utilisation d’un serveur maison. Enpass peut en effet synchroniser le coffre-fort via serveur WebDAV ou bien même NextCloud.
Enpass est disponible sur macOS et iOS. Et même si c’est selon moi l’un des meilleurs gestionnaires du marché, il ne s’agit pas de la seule solution permettant une synchronisation des coffres-forts sans passer par des serveurs tiers. En voici d’autres que l’on conseillera toujours plus qu’un 1Password, Lastpass, Dashlane ou service équivalent stockant les coffres-forts des utilisateurs sur des serveurs dédiés :
Et n’oubliez pas d’utiliser des mots de passe forts, complexes et surtout longs (au moins 25 caractères).
music2105
6 février 2023 à 17 h 20 min
Et que pensez-vous de « oneSafe »??
Grin.Cheux
6 février 2023 à 18 h 28 min
One Safe serait très bien s’il n’y avait pas une pratique commerciale désastreuse, à la limite de l’arnaque. Enfin, je ne vois pas autrement comment justifier qu’une mise à jour d’ « amélioration » désactive discrètement des fonctionnalités sur une version achetée pour inciter à acheter une nouvelle version de l’app….
krystof1978
6 février 2023 à 20 h 22 min
Est-ce que vous classeriez la solution d’Apple dans les mêmes rangs que les solutions mentionnées dans cet article ?
antipub
6 février 2023 à 21 h 27 min
Très bonne question
Pierre Otin
7 février 2023 à 9 h 41 min
@krystof1978 : vous avez la possibilité d’utiliser le Trousseau d’Apple en local seulement. Autrement, le Trousseau est synchronisé via iCloud. À vous d’estimer les risques de voir Apple se faire pirater pour un accès aux trousseaux des utilisateurs. À titre personnel, je juge moins probable un piratage réussi d’iCloud d’Apple pour un accès aux trousseaux qu’un piratage réussi d’un service tiers dédié spécifiquement à la gestion des mots de passe.
Arduino
7 février 2023 à 23 h 42 min
Vous considérez qu’il est plus fiable de gérer et sécuriser un serveur maison ou fichier en local que de sous traiter ce service a des personnes dont c’est le métier ?
Au passage les mot de passe ne sont pas stockés en clair sur ces serveurs, quand bien même un hacker y aurait eu accès, vous avez largement le temps de changer vos mots de passe.
Pierre Otin
8 février 2023 à 9 h 37 min
À votre première question : oui exactement. Mais avec Enpass, par exemple ou les autres alternatives citées, vous sous-traitez la gestion du coffre-fort (via l’application proposée) et en bonus, vos données restent en local. C’est bien le meilleur des deux mondes selon moi.
Pour votre deuxième question : sauf qu’un grand nombre d’utilisateurs, pour leur mot de passe principal du coffre-fort, choisissent un mot de passe faible, forcé en quelques heures en force brute… En outre, il suffit qu’une faille soit détectée sur les serveurs tiers, dans la base de données des coffres-forts, par exemple, et c’est cuit pour le chiffrement de votre coffre-fort. Au moins en local, votre coffre-fort, même faiblement protégé (par un mot de passe court), reste beaucoup moins exposé, voire pas du tout exposé aux attaques à distance dans certains cas.
Perlimpinpin
6 février 2023 à 22 h 03 min
J’utilise Enpass depuis de nombreuses, achetée bien avant son passage à l’abonnement.
Excellente application. Mais même si c’est du stockage en local, il ne faut pas faire confiance ce genre d’application.
J’ai rajouté une couche de protection supplémentaire de manière à ce que les login et mot de passe ne servent à rien même s’ils venaient à tomber entre de mauvaises mains
Pierre Otin
7 février 2023 à 9 h 39 min
@ Perlimpinpin : “mais même si c’est du stockage en local, il ne faut pas faire confiance ce genre d’application.” Je ne vois pas non plus de raisons de sur-réagir. Pourquoi ne faudrait-il pas faire confiance à ce genre d’applications, même en local ?
antoine
6 février 2023 à 22 h 35 min
Pour ceux qui en ont besoin, j’ai créé il y a peu Haslo.me. C’est basé sur la référence,Keepass qui est recommandé par la CNIL et l’ANSIS. Disponible sur iOS et Android.
bernie9517
7 février 2023 à 18 h 58 min
Personnellement j’utilise Keepass, sur Windows et iOS. C’est gratuit, opensource, recommandé par l’ANSIS et la CNIL, qui stocke les données en local (mais synchronisable sur n’importe quel service cloud supporté sur iOS) mais, bizarrement, absent de vos articles sur la question…
Pierre Otin
8 février 2023 à 9 h 31 min
Keepass est une bonne alternative également, mais je porte beaucoup d’importance à l’interface d’un logiciel et Keepass n’est pas le meilleur en la matière…
iGigo
13 février 2023 à 8 h 36 min
eWallet est une excellente application qui stock en local et utilise iCloud ou Dropbox pour synchroniser le fichier crypté entre plusieurs appareils.