L’idée de cet article m’est venue quand un de mes collègues d’une association locale m’a demandé si je connaissais une alternative à Dashlane pour stocker des mot de passes.
Je préfère d’y préciser car on ne sait jamais…
À nos jours, on a beaucoup de comptes ouverts et on a sûrement tous entendu quelqu’un assez bien rôdé en informatique dire qu’il ne faut pas mettre le même mot de passe partout.
Ne pas simplement mettre le nom de son animal de compagnie suivi de la date de naissance pour les réseaux sociaux ainsi que pour ouvrir la session de son propre ordinateur.
C’est cool, plusieurs solutions existent !
Les gestionnaires de mot de passes
Dashlane, 1Passwords, StickyPassword, Kepper, LastPass, … et j’en passe.
Pour tout vous dire, je ne fais strictement pas confiance à ces gestionnaires car pour le client final qui se lance, un peu dans le vide (pour certains), ne sait pas si ces données sensibles sont stockés localement (sur l’ordinateur).
Ou sur un serveur (qui peut se trouver au milieu de l’Océan Atlantique, qui sait…) ou encore qui est sous-traité chez la GAFAM (Google, Apple, Facebook, Amazon et Microsoft).
Le principe?
Donc on entre une première fois le mot de passe sur un site qui demande un login (disons, par exemple, que c’est pour aller sur Facebook).
À l’avenir le gestionnaire de mot de passe va reconnaître le site (Facebook) et va suggérer qu’il entre automatiquement les accès (après avoir validé via l’empreinte digitale ou un code).
Certains vont même plus loin que de simplement suggérer un mot de passe, il est possible d’enregistrer sa carte VISA ou MasterCard.
Enregistrer le mot de passe dans son navigateur
C’est assez fréquent que les navigateurs Webs demandent si on veut qu’il enregistre l’identifiant et le mot de passe et qu’on revient sur le même site après s’être déconnecté il suggère un login pré-rempli.
Là, également, pour un client final c’est pas clair si le mot de passe est enregistré localement (donc sur l’ordinateur), ou dans un datacenter (qui est potentiellement sous-traité par la GAFAM).
Comme par exemple, Apple, si on utilise deux appareils qui sont liés au même compte, comme par magie on retrouve tous les logins pré-remplis, alors c’est pratique, mais…
… la sécurité
Il se trouve que vous avez oublié de changer votre mot de passe qui a été compromis sur votre Mac, et quelqu’un arrive à y accéder.
A partir du moment où il est en possession du mot de passe de la session, il peut retrouver tout ce qu’il veut en moins de 10 secondes.
KeyChain Access chez Apple (qui est l’endroit où tous les mots de passes sont enregistrés) et qu’on clique sur “Montrer le mot de passe” il demande d’entrer le mot de passe de la session et il a le code qui est devant ses yeux.
C’est moche l’informatique… , mais conclusion ?
Non, clairement pas, car selon moi les “leaders” des gestionnaires de mot de passes ne sont pas assez transparents sur le stockage des accès (Sous traitement? Localement? Ou sur leurs propres serveurs?)
Pour moi, le plus simple c’est de faire un tableau ou plusieurs tableaux Excel avec tous les accès et les différents mot de passes qui soit bien protégé (cloud interne, éviter Dropbox ou Google Drive dans la mesure du possible).
Pour les plus avancés, ils peuvent utiliser Access (aussi dans la suite d’Office).
Moi, les plus fidèles du blog le savent, je fais confiance aveuglement à Infomaniak ou j’ai la majorité de ma vie informatique chez eux.
D’ailleurs, je fais un peu un avant-goût, la rentrée 2019 s’annonce très prometteuse pour eux :).