Mort et mots de passe : deux choses que nous ne pouvons tout simplement pas éviter. Avec une grande partie de notre vie liée aux services cloud de nos jours, il y a de bonnes raisons de s’inquiéter de ce qui arrivera à ces comptes si nous tombons morts demain. Pour beaucoup d’entre nous, les documents importants, les photos, les informations financières et autres données seront verrouillés derrière une invite de connexion. Vos méthodes de paiement expireront également peu de temps après, ce qui pourrait entraîner une perte de données si elles ne sont pas traitées rapidement. Le moyen le plus évident de résoudre ce problème est de donner un accès à une partie de confiance en cas d’urgence.

Une mauvaise solution

Commençons par la solution la plus simple : utiliser le même mot de passe partout. Super, tout ce que vous avez à faire est de le mettre sur un post-it, de le mettre dans une enveloppe et de dire à quelqu’un où le trouver. Malheureusement, utiliser un seul mot de passe pour de nombreux services est une très mauvaise idée. Des violations de mot de passe se produisent, et si vous utilisez un seul mot de passe sur Internet, elles peuvent être désastreuses.

Les violations de mot de passe sont généralement le résultat d’un attaquant trouvant une vulnérabilité qui permet de lire les données de mot de passe à partir de la base de données d’une application. Il y a de fortes chances que vos informations aient été divulguées dans l’une de ces violations. Vous pouvez vérifier si votre e-mail figure sur une liste de violations connues avec Have I Been Pwned. Ne vous sentez pas mal si vous avez été condamné, mon e-mail apparaît sur six violations différentes, et ce service n’indexe que les violations connues du public !

Selon la compétence de l’entreprise qui a été violée, votre mot de passe peut avoir été volé sous plusieurs formats différents. Dans le pire des cas, les mots de passe ont été stockés tels quels (c’est-à-dire en clair) et la violation contient votre mot de passe réel. De nos jours, le stockage des mots de passe en clair n’est jamais considéré comme acceptable. Un hachage du mot de passe est stocké à la place. Les attaquants doivent utiliser un outil tel que hashcat pour essayer de récupérer les mots de passe via le craquage de hachage par force brute. C’est lent pour les mots de passe complexes, mais cela devient toujours plus rapide à mesure que les GPU s’améliorent.

Nous devons donc vraiment utiliser des mots de passe différents partout, sinon notre compte Tumblr de 2013 pourrait donner accès à notre compte bancaire. Compte tenu du grand nombre de services que nous utilisons et de notre incapacité à mémoriser les mots de passe, nous allons devoir utiliser un gestionnaire de mots de passe.

Vous voulez un gestionnaire de mots de passe

Un gestionnaire de mots de passe est un outil qui vous permet de stocker en toute sécurité un grand nombre de mots de passe. Ceux-ci vous permettront de générer au hasard une phrase secrète longue et sécurisée dont vous ne voudriez jamais vous souvenir. Cela permet d’utiliser des mots de passe uniques pour chaque service et des mots de passe suffisamment complexes pour être difficiles à déchiffrer.

Il faudra aussi penser à l’accès d’urgence à ces outils. Comment quelqu’un pourra-t-il accéder à votre gestionnaire de mots de passe et comment pouvons-nous protéger ce processus ? L’objectif est de créer une porte dérobée vers tous vos comptes, puis de vous assurer qu’elle est raisonnablement bien protégée.

Il existe de nombreux gestionnaires de mots de passe, et il ne s’agit pas de les comparer. En fait, les experts en sécurité ne sont pas d’accord sur les meilleurs outils. Pour généraliser, ces outils se divisent en deux catégories : hébergés et autogérés.

Gestionnaires de mots de passe hébergés

Mot de passe sécurisé hébergé par Dashlane
L’interface utilisée par Dashlane pour stocker et accéder à vos mots de passe

Ce sont des outils Software-as-a-Service (SaaS) qui gèrent le stockage de vos mots de passe et fournissent un accès sur tous les appareils. La plupart auront des clients d’extension de bureau, mobiles et Web. Firefox et Chrome ont tous deux des gestionnaires de mots de passe intégrés qui entrent également dans ce camp. Les autres produits populaires incluent LastPass, 1Password et Dashlane.

Ces outils ont tendance à être les plus faciles à utiliser, car toutes les données sont gérées pour vous. Les inconvénients incluent les frais d’abonnement et la nécessité de faire confiance à un tiers avec vos données de mot de passe. Alors que la plupart des services de gestion sont conçus pour que vous seul puissiez déchiffrer la base de données de mots de passe, vous devez toujours faire confiance au logiciel qu’ils fournissent. En général, les extensions de navigateur pour ces services sont considérées comme moins sécurisées. Pour en savoir plus à ce sujet, consultez l’article de Tavis Ormandy sur les gestionnaires de mots de passe.

Lorsqu’il s’agit d’accès d’urgence, bon nombre de ces outils offrent des fonctionnalités d’aide. LassPass et Dashlane autorisent tous deux des « contacts d’urgence » qui peuvent demander l’accès à votre compte. Si vous ne refusez pas l’accès dans un délai donné, l’accès est accordé. 1Password utilise une solution low-tech, fournissant un document de kit d’urgence imprimable qui contient tout le nécessaire pour accéder à votre compte.

Gestionnaires de mots de passe autogérés

Gestionnaire de mots de passe auto-hébergé KeepassX
Interface KeepassX

L’autre option de gestion des mots de passe consiste à gérer vos propres données à l’aide d’un logiciel local. KeePass (et KeePassXC) et pass sont deux options open source populaires. Avec ces outils, c’est à vous de garder votre base de données de mots de passe en sécurité et synchronisée entre les appareils. C’est aussi à vous de déterminer l’accès d’urgence.

Si vous comptez utiliser ces outils, il vaut probablement la peine de penser à la personne qui y aura accès en cas d’urgence. Seront-ils capables d’identifier le logiciel requis, de l’installer, d’accéder au fichier de la base de données et de le déchiffrer ? Bien que l’outil pass fournisse des options intéressantes via gpg, telles que l’utilisation d’un jeton matériel pour le décryptage, cette complexité supplémentaire peut rendre l’accès d’urgence plus difficile.

Si vous utilisez une solution autogérée, vous souhaiterez créer votre propre version du kit d’urgence pour y accéder. Cela devrait inclure tout le nécessaire pour afficher les données de mot de passe et les instructions pour accéder à la base de données de mots de passe cryptés.

Confiance et stockage

Il va sans dire que vous devrez faire confiance à la personne à qui vous fournissez un accès d’urgence. Certains services hébergés fournissent des fonctionnalités pour minimiser cette confiance en exigeant un délai d’attente avant que l’accès ne soit accordé. Pour les services qui permettent un contact d’urgence, cela signifie vous faire confiance aux contacts désignés. Pour les solutions qui nécessitent le stockage d’un kit d’urgence, cela signifie s’assurer que seules les parties de confiance ont un accès physique.

Notification par e-mail LastPass
Les services hébergés comme LastPass incluent des e-mails de notification pour les connexions et lorsque les paramètres sont modifiés.

Une autre préoccupation est de savoir que l’accès d’urgence a été utilisé. Si un attaquant accède à votre gestionnaire de mots de passe à votre insu, il peut potentiellement maintenir l’accès indéfiniment. Les services hébergés fourniront des notifications sur les nouvelles connexions à partir d’appareils inconnus. Pour les services autogérés, c’est à vous de décider. Les enveloppes et les boîtes inviolables sont une option, mais elles ne sont jamais parfaites.

N’oubliez pas 2FA

Vous avez activé l’authentification à deux facteurs (2FA) sur vos comptes, n’est-ce pas ? Sinon, allez l’allumer, nous attendrons ici. Si oui, avez-vous déjà perdu l’accès à vos codes d’authentification ?

Certains services permettront de réinitialiser 2FA par e-mail. Ce n’est pas génial du point de vue de la sécurité, mais cela signifie que la perte de vos codes 2FA est un inconvénient mineur. D’autres services rendent ce processus beaucoup plus difficile. Par exemple, perdre tout accès à 2FA pour Google nécessite de passer par un processus d’assistance manuel qui peut prendre des jours. Cela vaut la peine de réfléchir à la façon dont quelqu’un pourrait accéder à vos codes de sauvegarde 2FA, au moins pour les comptes critiques.

Pas de solution parfaite

Fournir un accès d’urgence rendra toujours la gestion de vos mots de passe moins sécurisée, et ce n’est pas grave. Dans ce cas, nous compromettons la sécurité pour une raison précise et importante. Il n’y a pas de solution parfaite ici, mais l’objectif est d’équilibrer la sécurité et la convivialité. Cet équilibre délicat est malheureusement inévitable lors de la conception de systèmes sécurisés.