Applications
Piratages des gestionnaires de mots de passe : comment s’en prémunir ?
Grâce à une solution toute simple.
Au courant des dernières semaines, plusieurs gestionnaires de mot de passe de grande renommée ont déclaré avoir été victime de piratage. La première affaire a concernée LastPass. Selon son CEO, des pirates ont réussi à voler des informations confidentielles dans la base de données utilisateurs. Autre affaire, plus récente, concernant cette fois-ci Norton, l’une des sociétés phares en matière de sécurité informatique. Celle-ci a avoué avoir été pillée par des pirates, qui ont pioché dans les bases de données des utilisateurs de Norton Password Manager, le gestionnaire de mot de passe maison.
Tout ceci n’est pas rassurant, d’autant plus quand on est utilisateur régulier d’un tel programme de gestion de mot de passe. Sachant qu’en plus, celui-ci, bien souvent payant, contient généralement des informations extrêmement sensibles, comptes bancaires, cryptomonnaies, secrets professionnels, etc.
Une même faiblesse : le stockage en ligne
Il faut bien comprendre qu’une grande partie de ces services de gestion de mot de passe partage un même talon d’Achille : le stockage des coffres-forts des utilisateurs sur leurs propres serveurs. Quelle meilleure cible pour un pirate : un serveur rempli de données sensibles de milliers de personnes, à déchiffrer, certes, mais parfois sans grands efforts nécessaires. D’où l’intérêt, déjà, de choisir un mot de passe pour son gestionnaire le plus long et complexe possible.
Voilà en tout cas pourquoi, si vous voulez minimiser les chances de voir vos coordonnées bancaires fuiter dans la nature suite à une brèche de sécurité sur l’une ou l’autre plateforme, la solution est toute simple : héberger ses mots de passe en local.
Des alternatives plus sécurisées
Il existe des applications alternatives aux 1Password, LastPass et autres Dashlane, qui proposent tout autant de possibilités, mais qui permettent surtout de stocker le coffre-fort en local. Prenez le cas d’Enpass par exemple, mon application de gestion de mots de passe préférée. Elle offre plusieurs solutions pour synchroniser son coffre-fort entre un Mac et un iPhone : vous pouvez choisir plusieurs services cloud pour y placer votre fichier chiffré, Dropbox, Google Drive, Box, par exemple. Mais vous pouvez aussi choisir la fonctionnalité de synchronisation en local via Wi-Fi. Ainsi, aucune donnée n’est transmise sur un quelconque serveur tiers. Le transfert se fait entre votre Mac et votre iPhone en liaison directe.
Autre solution alternative envisageable, l’utilisation d’un serveur maison. Enpass peut en effet synchroniser le coffre-fort via serveur WebDAV ou bien même NextCloud.
Enpass est disponible sur macOS et iOS. Et même si c’est selon moi l’un des meilleurs gestionnaires du marché, il ne s’agit pas de la seule solution permettant une synchronisation des coffres-forts sans passer par des serveurs tiers. En voici d’autres que l’on conseillera toujours plus qu’un 1Password, Lastpass, Dashlane ou service équivalent stockant les coffres-forts des utilisateurs sur des serveurs dédiés :
Et n’oubliez pas d’utiliser des mots de passe forts, complexes et surtout longs (au moins 25 caractères).