Les gestionnaires de mots de passe en ligne : une menace ?

Introduction

Si vous avez lu notre article concernant les mots de passe forts et que vous avez adopté cette bonne habitude pour sécuriser vos comptes aux maximum, vous allez rapidement être confronté à la question du stockage de vos mots de passe.

Car s’il est facile de se souvenir de mots de passe très peu sécurisés tels que « 12345 », il est quasi impossible de se rappeler de tous les mots de passe forts que vous utilisez. Surtout si, et c’est la bonne chose à faire, vous décidez d’en utilisez un différent pour chacun de vos comptes.

Dans ce cas, vous allez rapidement rechercher des solutions pour sauvegarder vos codes secrets et pouvoir y accéder rapidement et depuis n’importe où.

De fait, la sauvegarde en clair dans un carnet de notes , outre le fait qu’elle n’est pas sécurisée, n’est pas non plus adaptée à une utilisation nomade. Alors que nous sommes de plus en plus souvent amenés à nous connecter depuis nos téléphones portables.

Cette évolution amène la plupart des gens qui s’intéressent à la question à adopter un gestionnaire de mots de passe.

Les gestionnaires de mots de passe

Pour des raisons de praticité et de sécurité, nous vous déconseillons d’utiliser le gestionnaire de mots de passe intégré à votre navigateur internet. Il est bien plus pratique de pouvoir stocker vos codes secrets dans une solution qui vous permet d’y accéder de n’importe où, sans dépendre d’un navigateur en particulier. De plus, gardez-en tête qu’un navigateur internet ne fait pas partie des logiciels les plus sécurisés installés sur votre machine.

Pour répondre à ce besoin, il existe de nombreuses solutions de gestionnaires de mots de passe qui vous proposent de stocker vos secrets dans le cloud. De sorte que ces derniers soient accessibles depuis tous vos appareils, où que vous vous trouviez dans le monde. Il est toujours plus sécurisant d’utiliser des applications dédiées à une fonction afin de pouvoir bénéficier d’une sécurité maximale, même si cela se fait parfois au détriment du confort d’utilisation. Cela dit, copier coller un mot de passe depuis un gestionnaire de mot de passe n’est pas non plus une contrainte insurmontable.

Mais ces solutions, aussi pratiques soient-elles, sont elles réellement sécurisées ?

Des gestionnaires faillibles

Nous allons voir que : pas tant que ça. Et c’est la raison pour laquelle nous mettons en avant la pratique de la gestion personnelle des mots de passe. Une notion que nous avons déjà évoqué dans cet autre article .

La société qui a fait le plus parler d’elle dans ce domaine est sans aucun doute LastPass. A priori, l’offre offerte par LastPass est intéressante. Elle permet de stocker un grands nombre de secrets, de les partager, et d’y accéder de n’importe où dans le monde, de façon synchronisée entre vos appareils. La société propose même une offre famille pour que chaque membre de votre foyer bénéficie de son propre coffre sécurisé pour ses identifiants et autres secrets.

Problème : pour une société dont le coeur de métier doit être la sécurité des données qui lui sont confiées, LastPass a été victime de plusieurs failles importantes qui font qu’aujourd’hui, nous vous déconseillons fortement d’avoir recours à ses services.

Au cours de la dernière attaque, un nombre très important de données (chiffrées et en clair) ont été dérobées. Bien que les données chiffrées (le contenu du coffre-fort numérique de l’utilisateur) ne puissent pas être lues par les attaquants, ces derniers pourraient être motivés et tenter de bruteforcer le mot de passe maître (la clé du coffre) de l’utilisateur. Cette importante fuite de données a été rendu possible par le hack de l’ordinateur personnel d’un développeur de LastPass sur lequel était installé un logiciel vulnérable. Cette faille a permis aux attaquants d’installer un keylogger et de récupérer les accès à un stockage cloud réservé à une poignée d’employés de LastPass.

Inutile de dire que même si les données récoltées ne sont pas tout de suite utilisable par les pirates, de nombreux utilisateurs ont dû avoir des sueurs froide en lisant le rapport officiel de la société sur cette attaque

En réalité, l’utilisation de ces gestionnaires de mots de passe est toujours risquée. Puisque vous devez faire suffisamment confiance à la société qui vous propose cette solution sur ses méthodes de conservation et de sécurité interne.

De plus, l’interconnexion de ces logiciels avec vos téléphones pose également problème. Plusieurs chercheurs ont ainsi mis en garde des risques liée à une faille touchant la fonction d’auto-remplissage (autospill) d’Android qui pouvait aboutir à une captation de vos identifiants par une tierce partie. Cette faille touchait de nombreux programmes très populaires dans la gestion des mots de passe tels que LastPass (encore lui), Dahslane, 1Password, Enpass et Keepass2Android.

La solution : le self-custody de vos mots de passe

Dans ces conditions, il apparaît que la seule véritable solution pour conserver vos mots de passe est de les stocker et gérer vous-mêmes.

C’est ce que nous vous proposons de par l’utilisation de Seedkeeper. Conserver vos secrets dans un appareil dédié, sécurisé, et dans un stockage offline qui rend vos données biens moins vulnérables à la plupart des attaques standards.

Seedkeeper est un device physique protégé par un code PIN et qui chiffre l’intégralité de vos données sur un secure element. Vos mots de passe bénéficient ainsi de la même sécurité que celles de vos wallets crypto lorsque vous utilisez un hardware wallet à la sécurité reconnue, comme Satochip.

Vous pouvez stocker plusieurs centaines de mots de passe dans votre SeedKeeper. Et vous pouvez également y sauvegarder vos secrets les plus importants, qu’il s’agisse des seedphrases de vos portefeuilles crypto ou tout autre donnée importante au format texte.

Ainsi, vous restez maître de vos données et de vos secrets. Le code de Seedkeeper est open-source et vous pouvez toujours le consulter de manière transparente.

Avec Seedkeeper, redevenez propriétaire de vos secrets.