Mots de passe

La question des mots de passe ne relève pas directement de la vie privée, mais de la sécurité. Or, sans sécurité, pas de vie privée. Votre mail, votre cloud, vos notes (et le reste) doivent être protégés.

Il y a de fortes chances que vous n’utilisiez pas un gestionnaire de mots de passe. Et c’est une erreur, car vous utilisez très certainement le même mot de passe partout, avec quelques petites variations. Et ce mot de passe est faible car ne faisant certainement pas plus d’une dizaine de caractères, pour pouvoir s’en souvenir et le taper facilement pour se connecter.

Vous êtes addict à la fonction « mot de passe oublié »?

Et bien sachez que ce comportement est très risqué. Un mot de passe qui n’est pas « complexe » informatiquement est facilement hackable. Un simple exemple: il est plus facile de forcer toutes les combinaisons existantes au hasard et de pirater le mot de passe « chien« , que de trouver le mot de passe u8n?fSemL!7b2gk2vM9nHk73l4.

Aussi, il suffit qu’un hacker récupère votre mot de passe par une fuite sur un site, et il l’utilisera partout avec toutes les petites variations possibles. À cause du site de e-commerce des croquettes du chien (par exemple), votre email se fera pirater. Et c’est le début des ennuis, car le hacker va réinitialiser le mot de passe de tous vos comptes via votre email.

Et si on vous disait qu’il est possible d’avoir des mots de passe complexes, uniques pour chaque site, impossibles à oublier ? Et que l’on peut se connecter en 2 secondes chrono sur tous les sites via un gestionnaire de mots de passe ? Finies les histoires de mots de passe oubliés, et les histoires de hack.

Bitwarden :

Bitwarden mobile and desktop app
Capture d’écran officielle de Bitwarden.

C’est le gestionnaire de mots de passe le plus facile à prendre en main. Contrairement à LastPass, 1Password, et Dashlane, il est totalement gratuit et open-source. Une offre payante peu onéreuse existe, prenez-la si vous souhaitez soutenir le projet. Vos mots de passe seront synchronisés entre vos ordinateurs et vos smartphones. Bitwarden convient pour la plupart des gens. Bitwarden est disponible comme appli smartphone, comme logiciel d’ordinateur ou via un accès web (Firefox). Des extensions de navigateur web existent aussi sur ordinateur, vous permettant de vous connecter en 2 clics sans même ouvrir le logiciel de bureau.

Quand vous créez le mot de passe de votre compte Bitwarden, utilisez un mot de passe complexe que vous seul connaissez. Pour votre mot de passe Bitwarden, il est possible d’utiliser une phrase de passe. Entre « Sup3rM0tdep4sse » et « ChienCroquettesCarotteDePleineSaison », le deuxième mot de passe s’avère beaucoup plus sécurisé, bien que plus facile à retenir et moins complexe en apparence. Vous pouvez combiner votre phrase de passe avec un petit mot de passe facile à retenir juste avant, ou juste après.

Ce mot de passe (ou la phrase de passe choisie) sera désormais le seul mot de passe que vous devrez connaître. C’est votre mot de passe « maître ».

Ensuite, blindez votre compte Bitwarden via la 2FA TOTP (voir en bas de cette page). Et n’oubliez pas de sauvegarder de temps en temps votre compte Bitwarden en exportant vos mots de passe.

N’oubliez pas d’entrer l’URI de vos comptes. Kézako l’URI ? C’est seulement l’adresse web du site concerné. Pourquoi remplir les URI ? Car sur mobile, Bitwarden reconnaîtra les applications et vous permettra de vous connecter en 2 clics. Idem pour les extensions de navigateur web sur ordinateur. Et en bonus, le logo du site sera affiché dans votre liste de mots de passe.

Sur iOS/iPhone, pour que Bitwarden puisse vous connecter en 2 clics dans vos applications nativement sans ouvrir l’appli Bitwarden à chaque fois, il est nécessaire d’aller dans les Réglages de l’iPhone -> Mots de passe -> Préremplir les mots de passe -> Autoriser le remplissage par Bitwarden. Concernant le trousseau iCloud, il est sécurisé car chiffré de bout-en-bout, ce qui n’est pas le cas de tout sur iCloud. Mais le trousseau n’est pas adapté en dehors des appareils Apple. Et même sur Mac, le trousseau iCloud n’est disponible que sous Safari et pas sous Firefox. C’est pourquoi on préfère Bitwarden.

Utilisateurs avancés : si vous souhaitez maîtriser vos données et ne pas utiliser le serveur officiel de Bitwarden, vous pouvez héberger un serveur personnel Vaultwarden compatible avec les logiciels de Bitwarden. Pour un exemple de serveur Vaultwarden mis en place, voir ici : TeDomum.

Le cloud Cozy Cloud propose Cozy Pass, un gestionnaire de mots de passe basé sur Bitwarden.


KeepassXC

Database View
Capture d’écran officielle de KeePass XC

Contrairement à Bitwarden, ce gestionnaire de mots de passe est hors-ligne : vos mots de passes sont dans un fichier hors-ligne local, ce qui diminue théoriquement les risques de piratage. Keepass est assez embêtant pour synchroniser entre plusieurs appareils pour l’internaute lambda, on ne le conseille donc qu’aux utilisateurs avancés.

Le logiciel Keepass original ne fonctionne que sous Windows et a un aspect vieillot, c’est pourquoi nous recommandons Keepass XC qui est multi-plateforme (Windows/Mac/Linux) et qui est plus agréable à utiliser.

N’oubliez pas de sauvegarder votre base de données (le fichier .kdbx) sur plusieurs appareils pour ne jamais la perdre.

Sur iOS, nous recommandons les applications Keepassium et Strongbox. Sur Android, nous recommandons KeepassDX (si possible version F-Droid).

Mais comment gérer ses mots de passe ?

Une fois que vous avez mis en place votre Bitwarden ou KeepassXC, il est nécessaire de recenser vos comptes actuels et de les entrer dans votre gestionnaire. Ensuite, l’essentiel est de changer les mots de passes de ces comptes en générant aléatoirement un mot de passe « complexe » (plus de 20 caractères aléatoires avec symboles, majuscules minuscules etc) différent pour CHAQUE site.

Ainsi, si un site a une faille et un de vos comptes se fait pirater, le hacker ne pourra pas se connecter d’autres sites votre adresse email et le mot de passe qui n’existe que sur le site piraté.

Pourquoi utiliser des mots de passes complexes ? Utiliser un mot de passe complexe unique pour créer une adresse mail renforce encore plus la sécurité du compte, puisque les données des mails seront chiffrées via le mot de passe du compte. Et vu que vous pouvez générer des mots de passes sans effort, pourquoi se limiter à générer des mots de passe de 8 caractères sans majuscules ni chiffres ?

On est cash : ok, cette étape prend un peu de temps. Elle peut vous décourager. Débutez au moins par les comptes essentiels (banque, mail, réseaux sociaux, cloud…). Le gain de temps et de sécurité vous donnera envie de terminer cette étape pour tous vos comptes. Surtout, une fois qu’un compte est bien rentré dans votre gestionnaire, c’est fini. L’heure perdue sera très vite rentabilisée au quotidien.

Astuce indispensable (2FA TOTP) :

Rajoutez une authentification deuxième facteur TOTP 2FA (code à 6 chiffres qui change toutes les 30 secondes) a minima sur chaque compte important dont vous disposez sur internet si possible (mail, notes, e-commerce, etc). Sans ce code TOTP, un hacker ne pourra pas se connecter même si les identifiants du comptes tapés sont les bons. Votre compte Bitwarden doit lui-même être sécurisé par 2FA TOTP.

Il ne faut jamais utiliser la 2FA SMS, mais la 2FA TOTP via une application. Le SMS n’est pas sécurisé, et les entreprises se servent surtout de la 2FA SMS pour récupérer votre numéro de téléphone et vous tracer avec.

Quand vous générez un code 2FA TOTP sur un site, il vous donnera généralement une liste de codes permettant de se connecter en cas de perte de l’application 2FA TOTP. Notez précieusement ces codes pour ne pas vous retrouver coincé !

Une fois votre application 2FA TOTP remplie, n’oubliez pas de sauvegarder les codes TOTP qui y sont enregistrés. Cela varie en fonction de l’application utilisée, mais celles que nous conseillons permettent toutes d’effectuer une sauvegarde. Faites absolument cette sauvegarde, ça servira en cas de problème avec votre smartphone.

Comme applications TOTP, nous conseillons pour Android : AndOTP et Aegis Authenticator (Play Store ou F-Droid).

Pour iOS : OTP Auth ou Raivo OTP.

Résumé :

Base de données Keepass ou un compte Bitwarden avec « mot de passe maître » complexe (n’oubliez pas de blinder le mot de passe de la boite mail via laquelle vous avez créé le compte Bitwarden, et d’activer la 2FA TOTP de votre boite mail) + Activation de la 2FA TOTP du compte Bitwarden + Des mots de passes générés informatiquement via Bitwarden ou Keepass, uniques et complexes pour chaque site + Activation de la 2FA TOTP pour les sites importants + Sauvegarde de votre compte Bitwarden ou de votre base de données Keepass + Sauvegarde de l’application TOTP 2FA = vous serez blindé tout en vous connectant facilement en 2 clics sur vos sites préférés. Aucun risque de perte de vos données, puisque vous avez tout sauvegardé.

Évitez de sauvegarder vos mots de passe dans votre navigateur web, y compris Firefox : c’est très peu sécurisé, et ça peut faire l’objet d’un piratage en cas de faille du navigateur. Ne stockez vos mots de passe que dans votre Bitwarden ou dans votre Keepass.

Pour aller plus loin :

Les mots de passe unique par site renforcent infiniment votre sécurité. Mais il est possible d’utiliser en même temps des alias mail uniques par site, ce qui renforce d’autant plus votre sécurité. Aussi, votre vie privée sera améliorée, car les sites ne pourront pas relier votre adresse mail pour vous tracer.