Faut-il utiliser un gestionnaire de mots de passe ? Évaluer les avantages et les risques

De nombreux experts en cybersécurité estiment que l’utilisation d’un gestionnaire de mots de passe est le meilleur moyen de garantir que vous avez Mot de passe fort et unique Pour chacun de vos comptes en ligne. Tandis que d'autres sous-estiment la valeur de ces outils.

Pour les adversaires, les gestionnaires de mots de passe représentent une vulnérabilité centrale : ils constituent un trésor d’informations hautement sensibles, protégées par un seul mot de passe principal qui peut être perdu, volé ou piraté.

• Le meilleur logiciel de gestion de mots de passe Pour protéger vos comptes en ligne.
• LastPass, 1Password et d’autres gestionnaires de mots de passe peuvent être piratés : que faire ?

Alors, qui a raison ? L'équipe de Tom's Guide a interrogé plusieurs experts en sécurité numérique sur les avantages et les inconvénients des solutions actuelles de gestion des mots de passe.

Voici ce qu'ils ont à dire sur ces outils technologiques controversés, ainsi que quelques conseils sur la façon d'atténuer les risques associés à la conservation de tous vos mots de passe au même endroit.

Les experts en sécurité font l'éloge des logiciels de gestion de mots de passe

Tous les experts en sécurité ne sont pas favorables aux gestionnaires de mots de passe, mais ceux qui les apprécient ne peuvent imaginer un monde sans eux. Robert Siciliano, analyste en sécurité basé à Boston et PDG de Safr.me, en est un parfait exemple. Il a déclaré qu'avec plus de 650 mots de passe utilisés, il ne pouvait tout simplement pas fonctionner sans un gestionnaire de mots de passe.

« Sans gestionnaire de mots de passe, les utilisateurs recourent à des mots de passe faibles, sans aucune gestion », a déclaré Siciliano dans un courriel. « Ils utiliseront le même mot de passe pour tous leurs comptes importants et seront inévitablement piratés. » Cela souligne l'importance d'utiliser des gestionnaires de mots de passe robustes pour protéger les données sensibles.

Mais même Siciliano, qui a souligné qu'il n'y avait aucun argument logique contre l'utilisation d'un gestionnaire de mots de passe, prend des mesures pour réduire le risque de regrouper tous ses mots de passe au même endroit. Ces précautions sont essentielles pour renforcer la sécurité des informations.

Il a expliqué qu'il mémorise les identifiants de ses comptes les plus importants (comme ses comptes bancaires en ligne), mais qu'il stocke les autres mots de passe dans un gestionnaire de mots de passe en ligne. Cet équilibre entre mémorisation et stockage constitue une stratégie de sécurité équilibrée.

« Personne ne peut se souvenir de tous les mots de passe. »

Morris Tabush, qui dirige sa propre société de conseil en informatique, Tabush Group, à New York, souligne les risques inhérents au recours aux seuls mots de passe pour se protéger. Votre identité numériqueIl estime que les utilisateurs devraient faire de leur mieux pour protéger leurs mots de passe dans cette réalité difficile.

Pour Taboush, la meilleure solution est d’utiliser un gestionnaire de mots de passe.

« Il est impossible d'utiliser un nom d'utilisateur et un mot de passe uniques pour tous les sites et services, car chaque site ou service a ses propres exigences en matière de mot de passe », explique Tabosh par courriel. « Personne ne peut se souvenir de chaque combinaison de noms d'utilisateur et de mots de passe. »

Tabosh souligne l'importance des gestionnaires de mots de passe pour lui-même et ses clients, souvent des PME possédant des dizaines de comptes en ligne. Il privilégie RoboForm de Siber Systems, une application de gestion de mots de passe disponible pour Windows et Mac, ainsi que pour les appareils mobiles iOS et Android.

Tapush RoboForm est un choix idéal car il fonctionne sur tous les appareils, y compris les ordinateurs de bureau, les ordinateurs portables, les iPhone et les iPad. Ce gestionnaire de mots de passe en ligne stockant les mots de passe dans des fichiers chiffrés, même en cas de vol de l'un de vos appareils Tapush, le voleur ne pourra pas accéder à vos identifiants. Cela offre une protection supplémentaire contre le piratage de compte et le vol de données.

Le côté obscur de la technologie numérique

Bien sûr, pour chaque expert qui affirme ne pas pouvoir vivre sans gestionnaire de mots de passe, il y en a un autre qui préférerait passer le reste de sa vie sans aucun gestionnaire. Cette divergence d'opinions reflète des préoccupations légitimes concernant la sécurité des données.

C'est le point de vue de Terry Cutler, cofondateur et directeur technique de Digital Locksmiths, une société de conseil en cybersécurité basée à Montréal.

Dans une interview par courriel, Cutler a déclaré : « Je ne suis pas du tout fan des gestionnaires de mots de passe. Si l'un d'eux est compromis, tout votre code est volé. » Cutler estime que les risques potentiels l'emportent sur les avantages, d'autant plus que les cyberattaques deviennent de plus en plus sophistiquées.

Tyler Regoli, directeur de la recherche et du développement en sécurité chez Tripwire, une entreprise de cybersécurité basée à Portland, dans l'Oregon, partage l'avis de Cutler. Il affirme que les gestionnaires de mots de passe peuvent faire plus de mal que de bien, en particulier pour les particuliers qui ne disposent pas toujours des compétences nécessaires pour les configurer en toute sécurité.

« Les gestionnaires de mots de passe sont un moyen pour la société de transférer les mauvaises habitudes sur l'ordinateur », ajoute Regoli. « Il est inacceptable de “noter” ses mots de passe, alors nous les “stockons” sur nos ordinateurs. Le “stockage” est tout simplement l'équivalent numérique de “noter”. » Regoli explique que s'appuyer sur un seul gestionnaire de mots de passe crée un point de vulnérabilité central, ce qui en fait une cible de choix pour les pirates. Il conseille plutôt d'adopter de meilleures pratiques de sécurité, comme l'utilisation de mots de passe forts et uniques pour chaque compte et l'activation de l'authentification à deux facteurs lorsque cela est possible.

« Je ne fais pas confiance aux gestionnaires de mots de passe en ligne. »

Déterminer quels outils sont sécurisés et lesquels ne le sont pas n'est pas toujours simple. Comme le souligne Ken Westin, directeur de la stratégie de sécurité chez ReliaQuest, il est difficile de déterminer le niveau de sécurité réel des gestionnaires de mots de passe.

« Personnellement, je ne fais pas confiance aux gestionnaires de mots de passe en ligne », a déclaré Westin dans un e-mail. « Ce n'est pas que je les trouve peu sûrs ; c'est que je ne sais pas à quel point ils sont sécurisés, comment ils stockent mes informations et si mes données sont correctement chiffrées. »

En raison de ce doute, Westin a déclaré qu'il ne stockerait pas ses informations les plus sensibles dans des gestionnaires de mots de passe en ligne. Pour la gestion des mots de passe de ses comptes financiers et de messagerie, Westin a recommandé d'utiliser un outil hors ligne, estimant que la sécurité des mots de passe sensibles nécessite une isolation contre les risques potentiels.

« Pour une sécurité maximale, les mots de passe de ces services [comptes financiers et de messagerie] doivent être stockés dans un gestionnaire de mots de passe chiffré et hors ligne, tel que KeePass, qui nécessite une authentification pour s'ouvrir et qui est sauvegardé régulièrement et en toute sécurité », a déclaré Westin. Cela garantit une protection adéquate de l'accès à ces informations vitales.

Christopher Burgess, PDG de Prevendra, une entreprise de sécurité et de confidentialité de la région de Seattle, a suggéré que toute personne ne faisant pas confiance aux gestionnaires de mots de passe pourrait plutôt suivre manuellement ses mots de passe. Cette méthode offre un contrôle total sur les données sensibles.

« Le système manuel est simple à mettre en œuvre [à l'aide de] deux carnets », a expliqué Burgess. « Dans le premier, inscrivez les informations de votre compte : le nom du service, l'URL, l'identifiant utilisateur et le numéro de série. Dans le second, à côté du numéro de série, inscrivez votre mot de passe et vos éventuelles notes d'authentification. Conservez le second carnet dans un endroit sûr et consultez-le en cas d'oubli de votre mot de passe. » Cette approche, bien que simple, constitue une alternative viable pour ceux qui préfèrent contrôler directement la sécurité de leurs mots de passe.

Précautions de sécurité à prendre

Si de nombreux experts interrogés ont des avis tranchés sur les gestionnaires de mots de passe, de nombreux experts en sécurité semblent adopter une position intermédiaire. Ils considèrent ces programmes comme des outils utiles, mais pas parfaits ni inviolables.

Comme l'a souligné Chester Wisniewski, chercheur principal chez Sophos, une multinationale spécialisée dans les antivirus, dans un courriel, les personnes qui ne choisissent pas judicieusement leurs gestionnaires de mots de passe pourraient finir par céder « l'anneau unique pour les gouverner tous ».

Wisniewski recommande de privilégier des applications connues et fiables. Ces applications doivent chiffrer les données localement et ne pas faire appel à des tiers pour le chiffrement. Personnellement, j'apprécie LastPass et KeePass.

Cédric Geno, fondateur et PDG d'APrivacy, une société de cybersécurité de Waterloo, en Ontario, a également souligné l'importance d'un cryptage fiable des données au moment de décider quel gestionnaire de mots de passe utiliser.

Gino a expliqué que si le gestionnaire de mots de passe que vous avez choisi stocke les données dans le cloud (plutôt que localement sur votre ordinateur), vous devez prêter une attention particulière au pays dans lequel vos informations sont stockées, à qui pourrait y avoir accès et au service de gestionnaire de mots de passe.

Lamar Bailey, responsable senior de la sécurité chez Tripwire, estime que les individus devraient rechercher des gestionnaires de mots de passe dotés de fonctionnalités de sécurité au-delà du cryptage, des fonctionnalités qui peuvent aider à sécuriser les identités en ligne des utilisateurs.

« De nombreux gestionnaires de mots de passe alertent les utilisateurs sur les sites Web qui ont été compromis ou qui sont affectés par de graves vulnérabilités comme Heartbleed », a ajouté Bailey dans un e-mail.

Bailey a poursuivi en disant que la chose la plus importante à retenir lorsqu'il s'agit de gestionnaires de mots de passe est le mot de passe principal que vous utilisez pour sécuriser l'outil.

Bailey a souligné que « la sécurité d'un gestionnaire de mots de passe dépend de celle de son mot de passe principal. Par conséquent, les utilisateurs doivent toujours s'assurer que le mot de passe de leur gestionnaire de mots de passe est très fort et le changer fréquemment. »