Skip to main content

Un auto-entrepreneur passionné à votre service,

Pour votre projet de site internet et vos dépannages informatiques

Protégez votre vie numérique

Article publié le 18 Juin 2019
Dernière modification 3 Janvier 2024

Page 6 sur 8: Installer un gestionnaire de mots de passe

Page 6 sur 9

Installer un gestionnaire de mots de passe

La rédac a beau jeu de vous conseiller des mots de passe complexes et uniques à chaque site ou service, ce n'est pas elle qui devra s'en souvenir et les saisir à chaque fois ! Pour suivre nos conseils à la lettre sans se prendre la tête, installez un gestionnaire de mots de passe. Ce sont des applications pratiques et sécurisantes à la fois. Comme le nom l'indique, ces logiciels sont dédiés au stockage des mots de passe, ils sont eux-mêmes protégés par un mot de passe qu'on appelle le mot de passe maître (master password). Ainsi, vous n'avez plus qu'à mémoriser un seul mot de passe complexe, le gestionnaire gérant lui­ même les dizaines voire les centaines d'autres mots de passe de votre quotidien qui peuvent alors devenir très complexes (longs, avec des caractères alphanumériques, des majuscules et minuscules, etc). De plus, ils offrent de nombreuses options de confort comme la saisie automatique des mots de passe sur les sites Web, le remplissage de formulaire et la synchronisation des mots de passe entre vos appareils (PC et smartphones). Après un tour de marché exhaustif et de multiples tests, nous sommes en mesure de vous conseiller deux gestionnaires de mot de passe très performants, un gratuit, l'autre payant : LastPass (lastpass.com/fr) et Dashlane Premium (40 € par an, dashlane.com/fr).

Garantir la sécurité

Vu l'importance des données qu'on s'apprête à confier au gestionnaire de mot de passe, sa propre sécurité apparaît comme essentielle. Le fonctionnement de LastPass et Dashlane en la matière est globalement similaire. Le premier principe de base, qui est d'importance : le mot de passe maître n'est pas stocké sur les serveurs de ces derniers et ne transite jamais par Internet. Chez Dashlane, il n'est même pas stocké localement sur votre PC, sauf si vous en faites la demande dans les options (pour automatiser le login sur un PC assemblé qui ne sort jamais de chez vous par exemple). Même quand vous le saisissez, pour accéder à votre coffre-fort, ce n'est pas ce master password qui est communiqué aux serveurs, mais seulement un hash, c'est-à-dire une sorte de version chiffrée d'autorisation ; pour en savoir plus, voici un très bon article en français pour comprendre les hashs : blog.emsisoft.com/ fr/6799/qu-est-ce-qu-un-hash. Votre coffre-fort justement, celui qui contient tous vos login/mot de passe et autres données privées, est bel et bien stocké sur les serveurs de LastPass ou Dashlane, du moins si vous utilisez la fonction de synchronisation entre appareils, c'est si pratique. Mais ces serveurs utilisent les meilleurs systèmes de chiffrement et de sécurité qui soit (AES-256 avec SHA- 256 PBKDF2, à vos souhaits). Même les échanges, entre votre PC et leurs serveurs, qui sont en HTTPS exclusivement, n'exploitent que des données chiffrées en AES-256 et sécurisées par une clé unique à votre appareil. Vous serez sans doute rassuré d'apprendre que, alors que nous assistions à une formation sur la sécurité numérique donnée dans une agence bancaire de la Société Générale, Dashlane était recommandé comme solution à recommander à ses clients par l'entreprise spécialisée intervenant ce jour-là. Dashlane publie d'ailleurs un dossier technique complet expliquant ses méthodes de sécurisation (en anglais) à l'adresse https://www.dashlane.com/download/Dashlane_SecurityWhitePaper_October2018.pdf et vous pourrez en apprendre d'avantage au sujet de celle de LastPass sur https://support.logmeininc.com/lastpass (en anglais aussi).

A la découverte de LastPass

Lastpass prend la forme, sur PC, d'une extension pour navigateur. Elle existe pour Chrome, Firefox, Edge et Opera, ainsi que Safari sur Mac. Son rôle premier est bien sûr le stockage de vos données d'identification (noms d'utilisateurs et mots de passe), site par site, mais le coffre-fort (vault) peut également stocker des notes personnelles, vos coordonnées postales (adresses), vos moyens de paiements (cartes et comptes bancaires), des documents d'identités et même les mots de passe Wi-Fi. On trouve aussi des fonctions supplémentaires comme la génération de mots de passe si vous êtes en panne d'inspiration et le remplissage automatique, que ce soit des logins/mots de passe quand il faut s'authentifier sur un site ou les formulaires à remplir, par exemple pour créer un compte et payer sur un site marchand ; selon nos tests, ça fonctionne très bien, peu importe la technologie du site (HTML 5, Java... ), nous n'avons quasiment pas rencontré d'incompatibilité. En revanche, ça ne fonctionne pas en dehors du browser (dans une popup Windows ou d'application par exemple), d'ailleurs ça ne permet pas de s'authentifier sous Windows. LastPass est surtout le seul (des bons gestionnaires de mot de passe) à proposer la synchronisation entre plusieurs appareils dans sa version gratuite, depuis 2016. C'est d'autant plus pratique que LastPass existe aussi sous la forme d'une app pour Android, iOS et même Windows Mobile. La version gratuite propose aussi la 2FA, dont plusieurs variantes existent, il y a même une App LastPass Authenticator des fois que vous n'ayez pas adopté celle de Google ou Authy qui sont les plus populaires. Enfin, LastPass évalue votre sécurité globale en affichant des statistiques sur les doublons de mot de passe.

Ce qu'apporte Dashlane Prenium

Dashlane offre peu ou prou les mêmes fonctionnalités que Lastpass, sauf que la synchronisation entre appareils et le stockage de plus de 50 mots de passe réclament l'abonnement payant, baptisé Premium. Mais à quoi bon payer 40 € par an quand LastPass fait tout ça gratuitement et que même LastPass Premium est à 36 $ par an, soit 32 €) ? Les versions premium offrent quelques fonctionnalités intéressantes. Notamment le partage de' mot de passe et le(s) tiers de confiance ; ces deux fonctions s'adressent exclusivement à d'autres abonnés. Ça vous permet de confier l'accès à un site à un proche avec votre compte sans avoir à lui donner le mot de passe. Ainsi, si l'accès n'est que temporaire, il suffit de supprimer le partage, vous n'aurez pas à changer le mot de passe par la suite. Quant au tiers de confiance, c'est une solution pour donner un accès intégral à votre coffre­ fort. A notre époque du tout numérique, y compris pour les impôts, la sécu ou la retraite, c'est une sécurité en cas de pépin grave (accident ou, pire, décès) LastPass Premium et DashLane Premium proposent d'ailleurs de personnaliser le temps avant de donner l'accès au tiers de confiance, pour éviter que celui-ci ne puisse consulter votre coffre-fort quand bon lui semble. Dans la pratique , le tiers de confiance déclaré dans ces logiciels doit faire une demande d'accès dont vous recevez notification par email et via l'application . En l'absence de réponse de votre part (refus) dans le laps de temps que vous aurez défini (par exemple 2 ou 3 jours), alors il gagne l'accès. Par rapport à LastPass, DashLane existe sous la forme d'une véritable application sur ordi. Pour Windows, MacOS et même Linux. Celle-ci offre une meilleure ergonomie globale, il est d'ailleurs possible de s'authentifier avec Windows Hello ; pour taper un simple pin à 4 chiffres par exemple plutôt que votre mot de passe maître qui se doit d'être complexe. Bien que des extensions existent façon LastPass, l'application principale fonctionnera automatiquement dans vos multiples browsers. La principale fonctionnalité qui distingue Dashlane Premium est le changeur de mot de passe automatique, à l'unité et même en lot. Si un de vos comptes est compromis suite à une attaque, vous n'avez qu'à cliquer sur un bouton dans Dashlane qui s' en occupe tout seul ! Et pour les maniaques de la sécurité qui n'aiment pas que leurs mots de passe restent trop longtemps les mêmes, vous pouvez automatiser cette tâche pour remplacer ceux-ci sur des dizaines de sites d'un coup ! Nous avons essayé sur de nombreux ténors comme Facebook, Microsoft, Amazon ou eBay, c'est une vraie merveille. On termine par le fait que Dashlane pousse encore plus loin la surveillance, ce qui se traduit de plusieurs manières. Pour commencer, l'audit de votre sécurité est plus poussé. Notamment, en plus des doublons, l'application indique le nombre de mots de passe compromis pour vous inciter à les changer. Dashlane scrute en permanence l'activité du Dark Web et vous envoie, si vous le souhaitez, des bulletins de sécurité. D'expérience, ce n'est pas intrusif du tout, mais en cas de piratage majeur d'une grande entreprise chez qui vous avez un compte, vous serez prévenu. Signalons aussi que Dashlane Premium comprend un accès VPN. Le débit de quelques Mb/s seulement ne permet pas de s'en servir 24h/24, mais c'est une sécurité pour surfer depuis un réseau Wi-Fi public , à l'aéroport par exemple.

Auditer son réseau de manière autonome
Page