Ces derniers temps, nous avons entendu plusieurs histoires sur les vulnérabilités des gestionnaires de mots de passe les plus populaires. Par le passé, il y a également eu des failles de sécurité où les informations de plus de deux millions d'utilisateurs ont été dévoilés. Et malheureusement, ce ne sont là que quelques exemples récents. Alors naturellement, avant de se tourner vers un gestionnaire de mots de passe, en particulier les services gratuits, les utilisateurs doivent s'informer sur la sécurité.
Contenu
Qu’est-ce qu’un gestionnaire de mots de passe ?
Si vous ne maîtrisez pas encore le sujet, un gestionnaire de mots de passe est un logiciel qui stocke vos mots de passe et autres informations d'identification dans un coffre-fort chiffré. Vous pouvez accéder à ce coffre-fort chiffré grâce à votre mot de passe principal. Et c'est là que les utilisateurs commencent à s'interroger sur la sécurité du gestionnaire de mots de passe.
Que se passe-t-il si quelqu'un met la main sur mon mot de passe principal ? Et si j'oublie mon mot de passe principal ? Le fournisseur du gestionnaire de mots de passe détient-il ma clé de déchiffrement ? Il peut y avoir encore bien d'autres questions, en fonction du degré de maîtrise technique de l'utilisateur.
Alors pourquoi la sécurité est-elle importante ?
La sécurité de vos informations d'identification stockées dans le coffre-fort dépend des réponses aux questions ci-dessus. Si votre mot de passe principal est dévoilé ou chiffré de manière non professionnelle, tous les autres noms d'utilisateur et mots de passe sont également compromis. Voilà pourquoi la sécurité d'un gestionnaire de mots de passe est si importante. Découvrez ci-dessous les éléments de sécurité essentiels à prendre en considération avant de vous engager avec un gestionnaire de mots de passe. Bien sûr, il pourrait y avoir d'autres facteurs susceptibles d'affecter la sécurité de vos informations d'identification. Néanmoins, ceux ci-dessous constituent un bon point de départ.
Les principaux facteurs de sécurité
La sécurité doit être comparée à la facilité d'utilisation et à la variété des fonctions offertes par les différents gestionnaires de mots de passe. En effet, plus de fonctionnalités pourraient aussi signifier plus de vulnérabilités. Toutefois, en cas de doute sur la sécurité, assurez-vous de prendre en considération les points ci-dessous.
Chiffrement côté client.Le chiffrement côté client garantit un niveau de sécurité maximal, car les informations sont déjà chiffrées avant de quitter les appareils des utilisateurs. Les données sensibles sont chiffrées localement dans un coffre-fort stocké sur l'appareil de l'utilisateur final et sur les serveurs du gestionnaire de mots de passe. Dans ce cas, le gestionnaire de mots de passe ignore tout des informations que vous stockez sur ses serveurs. Les données n'ont de sens que pour vous, en tant qu'utilisateur, car la clé de déchiffrement est avec vous. Personne d'autre ne pourra déchiffrer les données et vérifier le contenu, même si votre gestionnaire de mots de passe est compromis.
Le mot de passe principal et sa récupération.Un mot de passe principal génère les clés de chiffrement et authentifie l'accès à votre coffre-fort sécurisé. En d'autres termes, il s'agit d'une passerelle vers votre stockage de mots de passe. Et c'est pourquoi il est important que votre gestionnaire de mots de passe n'en ait aucune connaissance. Cela concerne aussi la récupération de votre mot de passe. En effet, le fournisseur ne sera pas capable de rechercher votre mot de passe principal, de le réinitialiser ou d'en créer un nouveau. Mais parallèlement, cela accroît le niveau de sécurité et vous avez l'assurance que le service prend au sérieux la sécurité de vos données. La récupération est toujours possible, mais pas de la manière habituelle "indiquez votre adresse électronique et nous vous enverrons un e-mail". Assurez-vous donc d'avoir bien étudié les choses et vérifiez le processus de récupération du mot de passe principal. Si un gestionnaire de mots de passe propose de vous envoyer par e-mail les récupérations de votre mot de passe principal, il y a de fortes chances que vos données ne soient pas en sécurité.
Authentification multifacteur.Il s'agit d'une méthode de confirmation des identités revendiquées par les utilisateurs qui combine deux facteurs différents, notamment : quelque chose que vous savez, quelque chose que vous avez ou quelque chose que vous êtes. Elle nécessite une deuxième information à laquelle vous seul pouvez accéder, comme un code numérique, afin de vérifier votre identité à chaque fois que vous vous connectez. Dans certains cas, au lieu de la 2FA, les fournisseurs utilisent l'authentification de votre appareil ou de votre emplacement. Cette solution offre une couche de sécurité supplémentaire. Les fournisseurs qui encouragent leurs utilisateurs à activer l'authentification multifacteur consituent un signe positif. Cela signifie que l'entreprise applique les meilleures pratiques de sécurité. Et si quelqu'un découvre d'une manière ou d'une autre votre mot de passe principal, il est peu probable qu'il ait également accès à un jeton 2FA valide. L'authentification multifacteur minimise les chances d'accès non autorisé au compte d'un gestionnaire de mots de passe.
Algorithmes de chiffrement.C'est un élément essentiel auquel les utilisateurs doivent prêter attention, les gestionnaires de mots de passe utilisent la méthode du chiffrement pour protéger les coffres de leurs utilisateurs. Il existe un grand nombre d'algorithmes différents. Cependant, la plupart des gestionnaires de mots de passe tendent à s'en tenir à la norme : AES. L'AES est un algorithme symétrique, le plus souvent utilisé avec les clés de 128 et 256 bits. Par exemple, le gouvernement américain utilise AES-128 pour les informations secrètes (non classifiées) et AES-256 pour les informations top secrètes (classifiées). Par conséquent, il est courant de l'appeler "chiffrement de qualité militaire". Il s'agit de l'un des algorithmes les plus utilisés parmi les services chiffrés. Cependant, les géants de la technologie ont récemment commencé à troquer l'AES pour un algorithme inédit : le ChaCha20. Ce dernier offre également des clés de 256 bits, il s'avère donc tout aussi sûr que l'AES. Toutefois, comme le ChaCha20 est basé sur un logiciel, il est relativement plus rapide. Vous pouvez en savoir plus sur les algorithmes de chiffrement dans notre article.
Pourquoi NordPass ?
Un gestionnaire de mots de passe sûr est celui qui ne sait rien de vous. Notre politique de connaissance nulle garantit que vous serez le seul à savoir ce qui se trouve dans votre coffre-fort. NordPass propose également de façon optionnelle l'authentification à deux facteurs, ce qui ajoute une couche supplémentaire de sécurité. En outre, vous ne pourrez pas accéder à votre coffre-fort si vous ne disposez pas de votre mot de passe principal ou du code de récupération.
Il est essentiel de prendre en compte toutes ces caractéristiques lors du choix d'un gestionnaire de mots de passe. Mais la chose la plus importante à laquelle vous devez prêter attention est le chiffrement. La majorité des gestionnaires de mots de passe utilisent l'AES-256, et bien qu'il s'agisse d'un algorithme fiable et pratiquement inviolable, nous pensons que le ChaCha20 représente l'avenir. Il est rapide, sûr et résiste aux attaques temporelles, à la différence de l'AES.
Il n'existe pas de moyen infaillible qui garantisse que vous ne serez jamais piraté. Mais si vous choisissez un gestionnaire de mots de passe digne de confiance, vos comptes en ligne seront toujours sécurisés.