Malgré l'apparition de nouvelles solutions depuis quelques mois ou années (lecteur d'empreintes digitales, mots de passe à usage unique, authentification double-facteur...), force est de constater que les mots de passe resteront pendant encore un moment la solution la plus utilisée pour s'identifier et protéger l'accès à des ressources.
Parallèlement à cela, les attaques informatiques et les fuites de base de données se multiplient, en témoignent les affaires Dailymotion, LinkedIn, Yahoo, Dropbox, Twitter et Tumblr... d'où l’importance de sensibiliser à la cybersécurité et de mettre en place une stratégie de mot passe efficace.
Les critères de mots de passe... ça soûle !
Jusqu'à récemment, le conseil fourni aux utilisateurs était de choisir son mot de passe avec "intelligence" : majuscules, minuscules, chiffres, caractères spéciaux... Cette solution est très gênante pour les utilisateurs, et ne règle pas le problème de la réutilisation d'un mot de passe entre plusieurs services. D'autres solutions existent (comme des dés de génération de mots de passe, ou diceware) mais ne nous paraissent pas pratiques non plus.
Qu'est-ce qu'un gestionnaire de mots de passe ?
Un gestionnaire de mots de passe est un système qui va gérer pour vous :
- la génération de mots de passe suffisamment complexes ;
- le stockage sécurisé de ces mots de passe ;
- l'expiration des mots de passe, pour vous rappeler d'en changer régulièrement.
Le principe est simple : vous n'avez à vous rappeler que d'un mot de passe, celui qui déverrouille le gestionnaire, choisi avec des critères sécurisés et ennuyeux... mais au moins, il n'y en a qu'un à se souvenir.
De plus, il vous permet de recenser à un même endroit tous les comptes que vous avez sur différents sites, et donc de mieux maîtriser votre présence en ligne et vos données.
Deux types de gestionnaires existent : les gestionnaires en ligne (DashLane, LastPass, 1password...) et les gestionnaires hors-ligne (KeePass, Enpass, Roboform...). À l'heure où l'on s'inquiète de voir partir toutes nos données dans "le cloud" ainsi que de la sécurité et de la confidentialité de celles-ci, confier à un service externe la gestion de tous ses mots de passe est pour nous un non-sens. D'autant plus que vu le type de données qu'ils stockent, ils sont davantage la proie des attaquants que d'autres services (LastPass s'est déjà fait pirater).
Nous privilégions donc l'utilisation d'un gestionnaire de mots de passe hors-ligne, stocké sur votre ordinateur.
Nous avons choisi KeePass, car il est gratuit et surtout open-source, c'est à dire que tout le monde peut inspecter le code du logiciel afin de l'améliorer et corriger les failles de sécurité, un principe qui nous est cher à AlgoSecure. De plus, il est simple d'utilisation et existe sur toutes les plateformes (Windows, Mac, Linux, Android et iOS).
Pourquoi ne pas enregistrer ses mots de passe dans son navigateur ?
Il est très déconseillé d'enregistrer ses mots de passe dans son navigateur. D'une part, pour des raisons pratiques : que se passe-t-il si l'ordinateur est volé, perdu, ou qu'il ne fonctionne plus ? D'autres part, stocker ses mots de passe dans son navigateur encourage l'utilisateur à ne pas à utiliser des mots de passe différents et complexes pour chaque service. Enfin, des outils permettent de voler les mots de passe stockés dans les navigateurs ou d'autres logiciels. Ci-dessous, l'un de ces logiciels a récupéré des mots de passe dans Internet Explorer et Firefox :
Installer KeePass
La première chose à faire est donc d'installer la version de KeePass correspondant à votre système :
- Windows : télécharger et installer la Professional Edition, version Installer
- Linux : installer le paquet
keepass2
oukeepassx
(généralement avecsudo apt-get install keepass2
) - Mac (KeePassX) : télécharger et installer KeePassX, avec le lien Binary bundle
- Android (Keepass2Android) depuis Google Play
- iOS (KeePass Touch) sous iOS
Dans ce guide, nos captures seront réalisées sous Windows, mais le principe est le même pour les autres systèmes.
Créer une base
Au premier lancement du logiciel, rien ne s'affiche. Il va falloir créer une base de données, c'est à dire le fichier où seront stockés les mots de passe sur l'ordinateur. Pour cela, cliquer sur File, New, et indiquer l'endroit où enregistrer le fichier sur votre ordinateur.
S'affiche ensuite une fenêtre vous demandant de choisir un mot de passe principal (ou master password). N'oubliez pas que c'est le seul mot de passe que vous aurez à retenir dorénavant, celui qui protègera tous vos autres mots de passe. Nous insistons donc sur le fait qu'il faut qu'il soit long et complexe.
Pour ce faire, nous recommandons aujourd'hui de choisir 4 ou 5 mots, plutôt longs, n'ayant pas de rapport entre eux ou avec vous-même. Par exemple : bataille, attendre, dentifrice, orbite. Ensuite, vous appliquez une petite variation afin d'introduire une complexité : par exemple, les séparer par un chiffre, un symbole, mettre une des lettres de chaque mot en majuscules... Ce qui pourrait ainsi donner : batailLe3attendRe3dentifriCe3orbiTe, ou encore Bataille#Attendre#Dentifrice#Orbite. Nous estimons que ce genre de mot de passe est plus facile à retenir que, par exemple, #b;&j7]znR-!>F9.
Vous pouvez également choisir une citation, une maxime, un vers, un refrain, ou une réplique de film que vous aimez bien, en changeant certains caractères (les espaces par un point d'exclamation, les "o" par le chiffre 0, etc). Quelle que soit la méthode retenue, la barre Estimated quality doit devenir verte.
Ne notez ce mot de passe nulle part, conservez-le en lieu sûr dans votre mémoire.
Après avoir cliqué sur OK, une deuxième fenêtre vous propose de choisir un nom et une description pour la base de mots de passe. Entrez des informations vous permettant d'identifier votre base.
Allez ensuite dans l'onglet Security, puis cliquez sur le bouton 1 Second Delay. KeePass choisira automatiquement les paramètres mathématiques les plus adaptés à votre ordinateur pour protéger votre base de mots de passe.
Cliquez ensuite sur OK pour créer la base de mots de passe ! Le logiciel se décompose en deux parties : une colonne sur la gauche qui vous permet de créer des groupes pour classer vos identifiants (par exemple, un groupe Site d'achats, un autre Email, etc), et une partie sur la droite qui présente les identifiants du groupe.
Par défaut, deux entrées ont été créées afin de tester le principe de fonctionnement du logiciel, Sample Entry et Sample Entry #2. Vous pouvez les supprimer en faisant un clic droit sur la ligne de ces entrées, et en choisissant Delete Entry. Les entrées se placent dans un nouveau groupe, Recycle Bin, l'équivalent de la corbeille.
Ajouter des identifiants
Nous allons ajouter de nouveaux identifiants dans la base, en commençant par le plus important des comptes : votre compte email. Celui-ci vous permet en effet de réinitialiser les mots de passe de tous les sites sur lesquels vous avez des comptes, il est donc à protéger en priorité.
Rendez-vous sur le site de votre fournisseur d'email et lancez une procédure de changement de mot de passe, généralement dans les options ou paramètres du compte. Par exemple, pour Gmail, il faut se rendre sur ce lien. Le premier mot de passe qui vous est demandé est votre mot de passe actuel, puis vous arrivez sur cet écran :
Retournez dans la fenêtre de KeePass, cliquez sur le groupe eMail sur la gauche, faites un clic droit sur la partie de droite et choisissez Add Entry afin d'ajouter de nouveaux identifiants (une "entrée").
Dans la fênetre qui s'affiche, vous devrez indiquer :
- un titre (le nom de votre fournisseur d'emails, par exemple Gmail)
- votre nom d'utilisateur (généralement votre adresse email)
- l'URL du formulaire de connexion du site (vous pourrez éditer l'entrée pour la rajouter plus tard)
- l'expiration automatique du mot de passe, pour avoir un rappel et donc le changer dans 6 mois (par exemple)
Comme vous pourrez le voir, KeePass vous a déjà généré un mot de passe : vous n'avez qu'à cliquer sur le bouton avec les trois petits points, tout à droite de la ligne Password, pour l'afficher.
Vous pouvez alors copier le mot de passe qui vous a été généré, cliquer sur OK, puis coller le mot de passe dans le formulaire de changement de mot de passe que vous avez ouvert dans votre navigateur Internet. Après validation du formulaire, votre mot de passe sera modifié.
Se connecter à un site
Se connecter à un site est alors très simple : ouvrez votre base KeePass (File, Open, Open file) ainsi que le formulaire de connexion au site dans votre navigateur. Faites un clic gauche de la souris sur le champ "Nom d'utilisateur" (ou login, adresse email...) du formulaire de connexion dans votre navigateur, puis basculez sur la fenêtre de KeePass.
Sélectionnez l'entrée correspondant à vos identifiants, puis appuyez sur Ctrl + V (ou Pomme + V sous Mac) sur les touches de votre clavier. KeePass va automatiquement basculer sur la fenêtre de votre navigateur, saisir vos identifiants dans le formulaire, et cliquer sur le buton "Se connecter". Magique !
Il se peut que certains (rares) formulaires de connexion soient mal conçus et que le Ctrl + V ne fonctionne pas. Il faut dans ce cas copier-coller manuellement les informations depuis KeePass : un double-clic sur votre adresse email ou sur les ******** de votre mot de passe suffit à copier l'information dans le presse-papier pour une durée d'une dizaine de secondes, afin que vous puissiez le coller (Ctrl + V ou Pomme + V sous Mac) dans le formulaire.
Réglages "avancés"
Les réglages suivants amélioreront votre usage du logiciel.
- Ce guide du site PC Astuces vous indiquera comment passer en français l'interface de KeePass.
- En double-cliquant sur l'URL d'une entrée dans KeePass, votre navigateur s'ouvre directement sur cette URL.
- Cet article de NextInpact explique comment configurer une YubiKey avec KeyPass. Une YubiKey est une petite clé USB d'une quarantaine d'euros qui déverrouillera votre fichier KeyPass, ou même d'autres comptes type Facebook ou Gmail, seulement lorsqu'elle sera branchée à votre ordinateur (ou proche de votre smartphone avec la version Neo et un smartphone disposant d'une puce NFC).
- Vous pouvez durcir les paramètres de mots de passe par défaut. Allez dans Tools, Generate Password. Dans la section Generate using character set, indiquez 16 caractères, sélectionnez toutes les cases sauf Space (qui peut parfois poser problème). Dans l'onglet Advanced, cochez les deux cases (Each character must occur at most once et Exclude look-alike characters). Revenez dans l'onglet Settings et cliquez sur l'icône de disquette, sur la même ligne que Profile à droite, puis sélectionnez (Automatically generated passwords for new entries).
Quels sont les inconvénients d'un gestionnaire de mots de passe ?
La solution miracle n'existe pas, et chaque solution possède ses défauts.
D'un point de vue pratique, le fonctionnement par fichier nécessite que vous copiiez ou synchronisiez le fichier entre votre ordinateur et votre smartphone si vous avez l'habitude de vous connecter à vos comptes en mobilité.
D'un point de vue sécurité, il est possible pour un attaquant ayant piraté votre ordinateur de lire le contenu du fichier en mémoire, si vous avez votre base de mots de passe ouverte. C'est notamment possible via un outil, et également via les failles Spectre et Meltdown. Aussi, nous recommandons de fermer KeePass après avoir récupéré le mot de passe souhaité, et de ne pas laisser sa base ouverte. Toutefois, si un attaquant accède à votre ordinateur, cela signifie que votre sécurité est déjà compromise, gestionnaire de mots de passe ou non !
Il est également possible de récupérer le fichier et tenter de bruteforcer le mot de passe principal (tester très vite toutes les combinaisons possibles), si vous avez choisi un mot de passe principal faible, d'où l'intérêt de choisir une phrase de passe solide comme nous le suggérons.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Damien, Enzo, Eugénie, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Sébastien, Tristan, Yann, et bonne visite !