La stratégie de cybersécurité de toute entreprise repose, entre autres, sur l’utilisation de mots de passe robustes. Les équipes de TI à travers le monde ont mis en place des politiques pour garantir la sécurité des mots de passe, mais visant surtout à assurer leur robustesse.
Face aux nombreux cas de violation de données sur les réseaux sociaux qui ont fait la une ces dernières années, la réutilisation des mots de passe est devenue un enjeu majeur. Comme beaucoup de personnes utilisent le même mot de passe pour leurs comptes personnels et professionnels, les failles de sécurité d’une autre entreprise peuvent rapidement devenir votre problème.
Même en utilisant des mots de passe robustes, votre organisation n’en demeure pas moins exposée au risque de violations du fait de la réutilisation des mots de passe sur différents comptes et sites Web. Lors d’une comparaison réalisée en 2019 entre ses bases de données de mots de passe et les bases de données d’identifiants ayant subi des violations, Microsoft a constaté que 44 millions de comptes utilisaient le même mot de passe. Tous ces utilisateurs ont été contraints de réinitialiser leur mot de passe.
Le meilleur moyen de s’assurer que les utilisateurs mémorisent et gèrent tous leurs mots de passe robustes dans l’ensemble de leur écosystème technologique est d’utiliser un gestionnaire de mots de passe. Dans ce billet, nous vous expliquons les principes de fonctionnement de base des gestionnaires de mots de passe et examinons les solutions les plus répandues.
Qu’est-ce qu’un gestionnaire de mots de passe ?
Un gestionnaire de mots de passe est une application qui mémorise les mots de passe et les noms d’utilisateur associés aux différents sites et logiciels que vous utilisez. Les plus performants vont plus loin en générant de robustes mots de passe aléatoires pour tous vos comptes. Et la plupart des solutions les plus prisées comportent également des extensions pour navigateur qui renseignent automatiquement votre nom d’utilisateur et votre mot de passe lorsque vous accédez à l’adresse URL correspondante. Certains possèdent des fonctionnalités avancées comme l’analyse du Dark Web pour rechercher les identifiants compromis publiés par les cybercriminels.
Quels types d’attaques les gestionnaires de mots de passe préviennent-ils ?
Les gestionnaires de mots de passe offrent non seulement un moyen plus pratique de mémoriser tous les mots de passe que vous devez entrer au cours d’une journée de travail habituelle, mais ils permettent aussi de prévenir trois types d’attaques courantes ciblant les mots de passe :
Bourrage d’identifiants
Exploitant le principe selon lequel la plupart des personnes réutilisent leurs mots de passe, les attaques par bourrage d’identifiants consistent à tester les mots de passe obtenus lors de violations de données sur différents comptes associés à cette adresse e-mail. L’utilisation d’un gestionnaire de mots de passe est la meilleure façon de se protéger contre ces attaques, car cela vous permet de gérer un mot de passe unique pour chaque compte et vous assure ainsi qu’un seul compte est compromis en cas de violation.
Attaques par dictionnaire
Ce type d’attaque par force brute consiste à tester, une à une, chaque lettre et chiffre possibles, jusqu’à ce que le mot de passe associé à un compte soit craqué. Elle devient d’autant plus facile et rapide à mener lorsque le mot de passe correspond à une série de chiffres ou à un mot courant. L’utilisation d’un gestionnaire de mots de passe permet de se prémunir aisément de ce type d’attaque en facilitant la gestion et l’utilisation de mots de passe forts, aléatoirement composés de lettres, de chiffres et de caractères spéciaux.
Piratage psychologique
Une étude réalisée en 2019 par Google révélait que 59 % des répondants utilisaient des renseignements personnels dans leur mot de passe, comme par exemple, le nom d’un animal de compagnie. Cette habitude facilite grandement la tâche des pirates informatiques qui peuvent aisément trouver ces informations sur les réseaux sociaux, souvent sans même devoir interagir avec l’utilisateur. Un bon gestionnaire de mots de passe vous avertit lorsque vous choisissez un mot de passe faible et à l’inverse, vous encourage et vous informe, à l’aide d’un retour d’information graphique, lorsque vous avez sélectionné un mot de passe fort.
L’essor des gestionnaires de mots de passe
Les gestionnaires de mots de passe connaissent un succès croissant ces dernières années et sont maintenant même proposés sur les appareils mobiles. Pourtant, selon un récent sondage, 65 % des Américains ne font pas confiance aux gestionnaires de mots de passe. Malgré les nombreuses idées fausses concernant ces applications, elles sont incontestablement la solution de gestion de mots de passe la plus sûre qui soit.
La préoccupation principale concernant les gestionnaires de mots de passe est simple : ils peuvent être piratés et les criminels auraient alors accès à toutes vos informations.
Or, cette préoccupation est infondée, et ce, pour plusieurs raisons. Les gestionnaires de mots de passe les plus courants utilisent le chiffrage AES-256, lequel prendrait, selon les estimations des experts, 6,4 quadrillions d’années à craquer au moyen d’attaques habituelles par force brute.
De plus, les éditeurs de gestionnaires de mots de passe utilisent une technique appelée connaissance nulle, selon laquelle votre fichier de mots de passe chiffré, le mot de passe principal et la clé de sécurité ne sont jamais conservés sur le même serveur. Pour accéder à ces informations, les pirates informatiques auraient à craquer ces trois couches de sécurité.
LastPass, un gestionnaire de mots de passe de premier plan, a subi une seule brèche de sécurité depuis son existence en 2015. Mais grâce à la technique de connaissance nulle, les pirates informatiques ne sont parvenus à accéder qu’aux adresses e-mail des utilisateurs, mais pas à leurs mots de passe ou données sensibles.
Florilège des gestionnaires de mots de passe les plus courants
Le marché des gestionnaires de mots de passe est divisé en deux catégories : les applications distinctes et les fonctions intégrées. Si leur fonctionnement est similaire, il est essentiel de comprendre les deux catégories pour faire le bon choix. Les trois premiers gestionnaires indiqués ci-dessous figurent au classement des meilleures solutions, selon PC Mag.
Keeper
Keeper est l’une des applications les plus prisées du marché des gestionnaires de mots de passe, et cela est justifié. Même si la version gratuite demeure limitée pour certains utilisateurs, elle possède des tonnes de fonctionnalités essentielles, comme l’authentification à deux facteurs, le partage sécurisé de mots de passe, ainsi qu’une option de stockage des fichiers et des messages critiques. Les principaux atouts de Keeper résident dans la conception et l’interfonctionnalité de ses applications, disponibles pour plusieurs appareils et systèmes d’exploitation, et de ses extensions pour navigateur. Outre de remplir les formulaires en ligne sur les sites que vous fréquentez le plus souvent, ces capacités vous permettent de créer ou d’enregistrer facilement vos mots de passe en quelques clics seulement.
Dashlane
Autre produit ayant fait ses preuves dans cette catégorie, Dashlane ne cesse de progresser en fournissant aux internautes une solution complète de gestion des mots de passe. Il offre l’ensemble des outils et des fonctions essentiels que vous attendez de ce type d’application, à l’instar de Keeper et LastPass. D’autres fonctions uniques, comme la protection par VPN et l’analyse du Dark Web, peuvent être un plus pour les utilisateurs avertis. On peut toutefois émettre quelques bémols. La fonction de synchronisation des mots de passe sur tous les appareils n’est offerte qu’au niveau de prix Premium, plus élevé que celui des solutions concurrentes. Certains utilisateurs ont également signalé des problèmes avec la fonctionnalité de connexion multipage. Dashlane reste toutefois une excellente solution de gestion des mots de passe.
LastPass
Parmi les pionniers en termes de lancement et de popularisation des gestionnaires de mots de passe, LastPass possède un ensemble de fonctions robuste. Son interface simple permet aux utilisateurs de classer leurs mots de passe par catégories et même de sécuriser d’autres documents, comme leur permis de conduire. LastPass est disponible en version bureau ou mobile et bien que la version gratuite offre une grande richesse fonctionnelle, c’est dans ses versions professionnelle et entreprise que la solution se distingue vraiment. Sa console d’administration vous permet de définir des politiques de sécurité, de vérifier la robustesse de mots de passe dans l’ensemble de votre organisation et de gérer l’authentification à plusieurs facteurs à l’échelle de toute l’entreprise.
1Password
1Password est l’autre acteur majeur du marché des gestionnaires de mots de passe, et quoique différent sur le plan de l’interface, il possède de nombreuses similitudes avec LastPass. Les fonctions de création de rapports et d’intégration d’1Password sont plus avancées et ce gestionnaire possède d’excellentes capacités pour tester la robustesse des mots de passe. 1Password bénéficie également de plusieurs partenariats avec des applications mobiles pour y intégrer directement ses fonctions, permettant aux utilisateurs de se connecter directement avec leur smartphone.
Gestionnaires de mots de passe pour navigateurs
Si vous utilisez Google Chrome ou Microsoft Edge, vous avez sans doute remarqué les invites pour enregistrer votre mot de passe dans le navigateur à chaque fois que vous vous connectez à un site Web. Quoiqu’offrant une option pratique, le problème principal est qu’il ne s’agit pas d’un vrai gestionnaire de mots de passe. Les navigateurs n’exigent pas la saisie d’un mot de passe principal avant d’accéder à tous vos mots de passe. Dès que vous ouvrez une fenêtre de navigateur et que vous accédez à un site, vous êtes automatiquement connecté. De plus, les navigateurs ne sont pas tous dotés d’une interface administrateur, à l’instar des gestionnaires de mots de passe, pour superviser les mots de passe des utilisateurs et évaluer leur robustesse.
Trousseaux d’accès d’Apple
L’application Trousseaux d’accès d’Apple est similaire au gestionnaire de mots de passe d’un navigateur, mais fonctionne hors ligne et sur mobile. Elle n’est pas associée à un navigateur et peut être utilisée pour se connecter également à la version bureau du logiciel. De même, elle n’exige pas de mot de passe principal pour accéder aux mots de passe, uniquement les identifiants de connexion de l’ordinateur ou le code PIN du smartphone. Elle offre des capacités d’administration minimales, probablement inadaptées pour la plupart des organisations. En revanche, elle génère de robustes mots de passe aléatoires pour les nouvelles entrées et connexions.
Bonne utilisation des gestionnaires de mots de passe
Volet crucial de toute politique de sécurité bien pensée, les gestionnaires de mots de passe doivent toutefois être correctement utilisés pour atteindre leur plein potentiel. Voici quelques bonnes pratiques à adopter lors de l’utilisation de gestionnaires de mots de passe :
1. Utilisez des mots de passe aléatoires
Le véritable attrait des gestionnaires de mots de passe ne réside pas dans leurs fonctions de stockage, mais dans leur capacité à créer des mots de passe forts pour toutes vos connexions. Veillez à ce que vos utilisateurs tirent profit de l’outil de création de mots de passe pour choisir des mots de passe forts et aléatoires propres à chaque compte.
2. Authentification à deux facteurs
La plupart des gestionnaires de mots de passe offrent différentes options d’authentification à deux facteurs, par SMS, à l’aide d’applications d’authentification distinctes ou par d’autres moyens. Même si cette étape supplémentaire peut sembler contraignante pour vos utilisateurs, elle accroît considérablement la sécurité.
3. Exécutez des tests
Autre fonction d’administration courante des gestionnaires de mots de passe : ils permettent de tester si les mots de passe de vos utilisateurs sont suffisamment robustes et s’ils peuvent être réutilisés. Il est conseillé d’exécuter ce test tous les mois pour déceler les failles éventuelles.
4. Mots de passe partagés
Dans un environnement TI où de nombreux utilisateurs doivent accéder à un compte partagé ou générique, on peut aussi recourir à des gestionnaires de mots de passe pour partager des mots de passe en toute sécurité avec les personnes autorisées à les utiliser.
Récapitulatif
Les gestionnaires de mots de passe ont évolué d’une simple solution pratique pour devenir un volet essentiel de la politique de cybersécurité des entreprises. Tous les mots de passe de votre entreprise doivent être gérés avec ce type de logiciel et idéalement, vous devriez encourager vos utilisateurs à recourir à l’une de ces applications pour gérer leurs comptes personnels et familiaux.
La réutilisation des mots de passe constitue une menace importante pour laquelle il existe une solution simple. Sans moyen facile de contrôler la robustesse des mots de passe de vos utilisateurs, il était autrefois contraignant d’assurer le maintien de bonnes pratiques en matière de mots de passe.
La mise en œuvre d’un gestionnaire de mots de passe vous aide non seulement à gagner du temps et à améliorer votre sécurité, mais vos utilisateurs se rendront également vite compte des avantages de ce type de solution pour gérer leurs identifiants de connexion et se doter constamment de mots de passe forts.
Trousse de cybersécurité pour un mot de passe robuste
Téléchargez la trousse pour des ressources supplémentaires à partager avec vos utilisateurs.