Gestionnaires de mots de passe

L’avantage d’un gestionnaire de mots de passe consiste à vous décharger

• Soit d’avoir à retenir un ensemble de combinaisons,
• Soit de réutiliser une combinaison identique sur plusieurs plateformes.

Un bon gestionnaire de mots de passe pourrait même croiser vos informations avec des bases de données recensant les fuites de données connues, pour vous informer des risques.

Comme on l’a déjà vu, LastPass n’est clairement [[https://www.theverge.com/2022/12/28/23529547/lastpass-vault-breach-disclosure-encryption-cybersecurity-rebuttal|pas digne de confiance]] (et est même [[https://www.clubic.com/lastpass/actualite-455277-lastpass-le-piratage-de-novembre-est-bien-plus-large-que-ce-qu-on-croyait.html|un peu pire qu’estimé]].

De ce que je connais un peu, il reste :

• [[https://1password.com/fr|1Password]], qui propose une offre individuelle à 3€/mois ou à 5€/mois pour 5 membres d’une même famille. Des greffons pour les navigateurs principaux sont disponibles, tandis que la sécurité est clairement au rendez-vous. Les avis sur [[https://news.ycombinator.com/|HackerNews]] sont souvent très bons. De mon côté, je le trouve un peu trop intrusif, mais clairement efficace.
• Trousseau d’accès sur iCloud - parfaitement intégré à tout l’écosystème Apple - ce qui a ses pours et ses contres. Il s’agit de la solution la plus simple à mettre en place pour un néophyte, au prix d’un ticket d’entrée relativement élevé (Mac + iPhone + …).
• Une solution maison, basée sur [[https://keepassxc.org/|KeepassXC]] et stockée sur un nuage quelconque - DropBox, iCloud, … Les mots de passe sont gérées dans une base de données centralisée (mais protégée par un mot de passe principal - à retenir ! -), qui peut ensuite être ouverte //via// plusieurs applications tierces. L’ergonomie de cette solution laisse à désirer et peut être à recommander pour des utilisateurs déjà un peu aguerris.

:!: J’utilise indépendamment “mot de passe” et “phrases de passe” dans le texte ci-dessous. L’idée est juste de pointer sur un “mécanisme permettant de demander une information que seul vous devriez connaître”. :!:

//A priori//, même la plateforme sur laquelle vous vous connectez ne doit pas connaître ce mot de passe ; elle est juste sensée appliquer une fonction qui applique, pour une chaîne de caractères, un résultat alphanumérique, qui deviendra l’empreinte de cette chaîne de caractères. Cette fonction est appelée “[[https://fr.wikipedia.org/wiki/Fonction_de_hachage|fonction de hachage]]”. Ainsi, la plateforme sur laquelle vous vous connectez doit juste savoir que X@Y.org est associé à un mot de passe dont l’empreinte est ABCDEFGH, sans avoir à enregistrer ce même mot de passe.

Ceci limite déjà la surface d’attaque possible, puisqu’avoir accès à la base de données ne donne pas pour autant le mot de passe associé à chaque compte connu. Cependant, cette fonction de hachage :

• Ne doit pas avoir de collisions (deux mots de passe ont la même empreinte : cela signifie qu’en entrant le mot de passe B à la place du A, vous pourriez quand même montrer patte blanche),
• Ne doit pas permettre de recomposer le mot de passe initiale à partir de son empreinte,
• Ne doit pas être trop rapide à calculer, sans quoi un attaquant pourrait tenter de trouver une combinaison, simplement en essayant plusieurs associations, notamment grâce à la puissance de calcul de nos machines actuelles.

Il est impossible d’avoir une bonne gestion de mots ou phrases de passe sans l’aide d’une application. Les machines tendent à avoir une puissance de calcul de plus en plus grande, et il devient de plus en plus facile de trouver un mot de passe, surtout s’il a été utilisé ailleurs.

De même, se baser sur un service en ligne peut être considéré comme une mauvaise pratique, dans la mesure où ce même service pourrait lui-même être piraté ou victime d’une fuite de données (Par exemple, la [[https://www.theverge.com/2022/12/28/23529547/lastpass-vault-breach-disclosure-encryption-cybersecurity-rebuttal|fuite rencontrée par LastPass fin 2022]]).

Le site [[https://haveibeenpwned.com/|Have I been Pwned]] permet de vérifier si une adresse s’est retrouvée dans la nature. Ainsi, en entrant une ancienne adresse, je peux constater qu’elle a été piratée dans le cadre de trois fuites de données :

• La “Collection #1” qui date de 2019, et qui a vu fuiter 773 millions de combinaisons,
• Une faille DropBox de 2012,
• Exploit.in, qui date de 2016.

On peut aussi y trouver des failles LinkedIn (2016, puis 2021), Deezer (fin 2022), Gravatar (octobre 2020), … Ce qu’il faut retenir, c’est qu’au plus on utilise une adresse e-mail comme identifiant de connexion à une plateforme, au plus la probabilité grandit que cette adresse soit exposée.

Conclusions

• Choisissez un [[password-manager|gestionnaire de mot de passe]],
• Autant que possible, [[:hide-my-email|masquer votre adresse email]].