Aujourd’hui, il n’y a pas de réponse simple à la question posée dans le titre de cet article. Récemment, il y a eu plusieurs actualités liées aux différents gestionnaires de mots de passe que nous allons détailler ci-dessous. Mais tout d’abord, il est nécessaire de remettre en contexte et d’expliquer ce qu’est un gestionnaire de mots de passe.
Selon Wikipedia, les gestionnaires de mots de passe sont:
« Un gestionnaire de mots de passe ou password manager est un programme informatique utilisé pour stocker un grand nombre de couples utilisateur/mot de passe. La base de données où sont stockées ces informations est cryptée à l’aide d’un seul mot de passe principal (mot de passe maître, en anglais master password), de sorte que l’utilisateur ne doit mémoriser qu’un seul mot de passe pour accéder à tous les autres. Cela facilite la gestion des mots de passe et encourage les utilisateurs à choisir des mots de passe complexes sans craindre de ne pas pouvoir s’en souvenir par la suite. »”[1]
Avec cette explication, nous pouvons comprendre que le gestionnaire de mots de passe est un programme ou un logiciel dans lequel nous stockons les mots de passe et nous devons seulement nous souvenir d’un mot de passe qui nous permettra d’avoir accès au reste des mots de passe, ce mot de passe que nous devons nous souvenir est le mot de passe principal comme indiqué et sans lui nous n’aurons pas accès à notre base de données de mots de passe.
Mais depuis quelque temps, certains gestionnaires de mots de passe ne nécessitent pas ce mot de passe principal, ces gestionnaires sont ceux qui sont déjà incorporés dans les navigateurs web de nos appareils. Récemment, un malware appelé « Redline Stealer » a fait la une des journaux. Il exploite la base de données utilisée par certains navigateurs pour stocker les mots de passe. Dans cette base de données, on peut trouver l’utilisateur et le mot de passe, l’URL du site web, ainsi que la date de la dernière connexion de l’utilisateur ou même le nombre de fois qu’un site web a été consulté.
Ce malware est utilisé par les cybercriminels dans certaines des campagnes que l’on peut observer en ce moment où les informations sur la dernière variante de Covid-19 appelée Omicron sont utilisées comme appât. FortiGuard Labs[2] a détecté ces campagnes et indique que même si l’effet causé par ce malware n’est pas catastrophique pour les ordinateurs infectés, les informations obtenues peuvent être très dangereuses car elles peuvent être utilisées pour des actions malveillantes ou vendues à des tiers.
Dans l’ensemble, nous pensons que vous devez être très prudent avec les gestionnaires de mots de passe intégrés aux navigateurs, car il a été démontré que l’accès aux mots de passe est très facile.
Comme alternative aux gestionnaires intégrés, nous disposons de gestionnaires logiciels, mais nous devons souligner que certains des gestionnaires de mots de passe les plus populaires ne sont pas exempts de nouvelles où leur sécurité est remise en question. Depuis la fin de l’année 2021, LastPass est soupçonné d’avoir subi une faille de sécurité dans laquelle les mots de passe maîtres des utilisateurs de ce logiciel ont été exposés.
La société affirme qu’il n’y a pas eu d’incident de sécurité de ce type et assure qu’aucune donnée n’a été compromise, rapporte The Verge[3] : « Notre enquête a depuis révélé que certaines de ces alertes de sécurité, qui ont été envoyées à un sous-ensemble limité d’utilisateurs de LastPass, ont probablement été déclenchées par erreur. En conséquence, nous avons ajusté nos systèmes d’alerte de sécurité et ce problème a depuis été résolu ».
Mais cela ne convainc pas les utilisateurs de LastPass, car le soupçon de fuite de données est toujours présent.
Comme recommandation, l’activation de l’authentification à deux facteurs est soulignée afin de pouvoir accéder aux informations d’identification stockées et ainsi toujours ajouter un autre facteur à l’authentification avec ce service, non seulement quelque chose que je connais comme le mot de passe principal, mais aussi quelque chose que je possède comme un code généré dans une application mobile.
Après tous ces « incidents » qui ont été mentionnés précédemment, je voudrais commenter mon expérience avec un de ces gestionnaires de mots de passe, depuis presque un an maintenant j’utilise un gestionnaire pour tous mes mots de passe, au début c’était un peu frustrant du fait que l’on nous conseille de ne pas réutiliser les mots de passe et petit à petit j’ai réinitialisé tous les mots de passe des différents services web que j’utilise quotidiennement ou que j’ai utilisé.
Tous les mots de passe sont générés de manière aléatoire par le gestionnaire et depuis presque 6 mois, je peux dire que je n’ai mémorisé que 3 mots de passe, le mot de passe principal, le mot de passe bancaire et le mot de passe du PC. Le reste des mots de passe, je l’ai délégué au gestionnaire de mots de passe. J’ai été surpris de constater que lorsque je vois le nombre de mots de passe que j’ai enregistrés aujourd’hui, j’ai 123 mots de passe enregistrés que je pense qu’il me serait impossible d’apprendre par cœur.
L’un des avantages des gestionnaires de mots de passe, surtout s’ils sont accessibles par abonnement, est qu’ils offrent des services de sécurité supplémentaires. Dans mon cas, le logiciel m’indique si je réutilise des mots de passe, si les mots de passe sont faibles, ou si mon mot de passe ou mon compte a été impliqué dans un incident de sécurité, auquel cas il est conseillé de changer le mot de passe dès que possible. Ce service utiliserait des recherches sur le dark web pour voir si nos comptes ont été compromis.
En conclusion, nous tenons à souligner que les gestionnaires de mots de passe sont un outil indispensable de nos jours, étant donné le nombre de comptes que nous possédons pour le travail, les achats, etc. Mais même s’il s’agit d’un outil essentiel, cela ne signifie pas qu’il ne nécessite pas d’entretien et de soins, car, comme nous l’avons expliqué, la sécurité à 100 % n’existe pas et nous devons toujours rester vigilants pour voir s’il y a eu une fuite d’informations.
Références :
[1] https://es.wikipedia.org/wiki/Gestor_de_contrase%C3%B1as
[2] https://www.fortinet.com/blog/threat-research/omicron-variant-lure-used-to-distribute-redline-stealer
[3] https://www.theverge.com/2021/12/28/22857485/lastpass-compromised-breach-scare
Si vous souhaitez plus d’informations sur Satec, n’hésitez pas à nous contacter ici 👈