Avant-propos
Le mot de passe est souvent le seul rempart donnant accès à votre messagerie, votre réseau social préféré ou vos outils professionnels. C’est lui qui ouvre la porte de votre vie numérique. Il est donc nécessaire de bien le(s) choisir. Voici une définition de ce que devrait être un mot de passe : « Suite de caractère contenant des majuscules, des minuscule, des chiffres et des signes de ponctuation, le mot de passe se doit d’être différent d’une application à l’autre et d’un site à l’autre. »
Le coffre-fort de mot de passe : les concepts
La notion de l’outil numérique « coffre-fort » de mot de passe pourrait se résumer à un lieu de collecte et d’inventaire de tous vos mots de passe mais cet outil offre bien d’autres avantages : simplicité, auto complétion (plus besoin de taper le mot de passe), augmentation du niveau de sécurité, …
Le coffre-fort de mot de passe permet donc de lister tous les sites internet sécurisés que vous utilisez et de stocker l’identifiant et le mot de passe vous permettant de vous y connecter.
Un mot de passe pour les gouverner tous
Pour qu’il fonctionne, le coffre-fort de mot de passe est lui aussi protégé par code d’accès qu’il est primordiale de ne pas perdre. Mais ce code n’est pas un mot de passe de plus : Il devient le seul et l’unique à retenir car vous confiez ensuite au coffre-fort le soin de retenir les autres à votre place. Il doit être bien choisi pour être à la fois complexe et mémorisable.
Astuce : Dans un contexte professionnel, le mot de passe du coffre-fort peut être écrit sur un feuille et stocké dans un lieu sécurisé sous clé.
Auto complétion
La fonctionnalité la plus grisante des coffre-fort de mot de passe est l’auto complétion de l’identifiant et du mot de passe. Il permet de taper à votre place ces informations rapidement et de manière fiable.
Augmentation du niveau de sécurité
Le premier impact de l’usage d’un coffre-fort de mot de passe est l’augmentation du niveau de sécurité des sites que vous utilisez qui s’explique par trois points liés au faite qu‘il n’est plus nécessaire de ne plus retenir les mots de passe des sites que vous fréquentez :
- Vous pouvez utiliser un mot de passe différent pour chaque site que vous utilisez.
- Vous pouvez utiliser des mots de passe d’une complexité folle : 20 caractères aléatoires choisis parmi des majuscules, des minuscules, des chiffres et des signes de ponctuation.
- Vous ne confiez plus à votre navigateur la gestion des identifiants / mot de passe que vous utilisez.
Inventaire des sites sécurisés
Un autre avantage du coffre-fort de mot de passe, est de recenser tous les sites nécessitant un identifiant et un mot de passe. Il vous permet donc d’évaluer régulièrement l’utilité de tel ou tel service en ligne et parfois de fermer certains comptes inutiles pour limiter l’étendu de votre vie numérique.
Vous pouvez aussi évaluer pour chaque site ou service la criticité et l’impact qu’une perte du mot de passe pourrait avoir sur vos données personnelles. Un service en ligne très sensible nécessiterait peut-être le changement périodique du mot de passe. A vous de définir cette périodicité en fonction de votre « politique de gestion des mots de passe ».
Les outils possibles
Plusieurs solutions de coffre-fort de mot de passe existe. Nous allons comparer ici deux outils dignes de confiance, libre, et gratuit : Keepass et Bitwarden
Keepass https://keepass.info/ | Bitwarden https://bitwarden.com/ | |
Nombre de mots de passe stockés | 5 / 5 : Le classement par arborescence permet de classer finement un très grand nombre de mot de passe | 4 / 5 : Un classement plus simple que keepass mais suffisant pour une quantité de mot de passe raisonnable |
Disponibilité | 3 / 5 : Keepass utilisant un fichier pour le stockage, il est surtout disponible sur un seul ordinateur. Il peut néanmoins être couplé à un « drive » pour plus de portabilité. | 5 /5 : Bitwarden est synchronisé de manière transparente dans le cloud et l’application fonctionne aussi bien sur un ordinateur, ou un smartphone. |
Sécurité | 4/5 : Keepass crypte tous les mots de passe dans un seul et même fichier. C’est à l’utilisateur de s’assurer de ne pas perdre le fichier et de le sauvegarder régulièrement. | 4/5 : Bitwarden utilise des technologie très fiable et sécurisé garantissant la sauvegarde, et la synchronisation. Il est même accessible en ligne. Il faut néanmoins que l’utilisateur choisis un mot de passe fort. |
Utilisation | 4/5 : Keepass est peut-être plus austère que Bitwarden et peut être aussi légèrement plus complexe à utiliser. Cette complexité offre néanmoins des fonctionnalités supplémentaires aux utilisateurs exigeant. | 5/5 : Bitwarden est une application qui mise sur la simplicité et l’esthétisme tout en offrant un service performant. |
Confiance | 5/5 : C’est un outil Open source validé par l’ANSSI compatible avec le RGPD | 4/5 : C’est un outil Open source compatible avec le RGPD |
Bitwarden mise en route
L’installation se fait en deux étapes
- Création d’un compte sur le site :
Bitwarden est avant tout un service en ligne : https://bitwarden.com/
La première chose à faire est de passer sur la barrière de la langue et de se créer un compte en suivant le lien « Create Account ». C’est ici que vous allez définir l’adresse mail et le mot de passe de votre coffre-fort de mot de passe. Choisissez donc une adresse mail personnel ou professionnel pérenne ainsi qu’un mot de passe fort.
2. Installation du plugin dans le navigateur
Rendez-vous dans la partie « Download » du site : https://bitwarden.com/#download
Choisissez en suite dans la section « Web Browser » le navigateur que vous utilisez pour installer l’extension approprié. Vous pouvez bien sur installer l’extension sur plusieurs navigateurs et sur plusieurs ordinateurs car la synchronisation permet une portabilité confortable.
Après l’installation il faut bien sur « s’identifier » pour accéder à votre coffre-fort de mot de passe. En suite Bitwarden protège votre coffre-fort en vous demandant votre mot de passe si vous en avez besoin et se verrouille après la fermeture du navigateur.
Installation sur un smartphone (optionnel)
Rendez-vous sur votre store pour installer l’application Bitwarden : https://play.google.com/store/apps/details?id=com.x8bit.bitwarden
Elle aussi se synchronisera de manière transparente avec les données de votre navigateur. La sécurité de l’application peut être légèrement différente sur l’application smartphone et peut être déverrouillée par un simple code pin plutôt qu’un mot de passe. Cela permet un accès moins compliqué que via un mot de passe sur ordinateur mais il est préférable cependant que votre téléphone soit lui-même sécurisé (schémas, code pin, empreintes, …).
Alimentation de Bitwarden au fil de l’eau
L’alimentation des sites, identifiants et mot de passe dans bitwarden se fait petit à petit en autorisant l’enregistrement des informations de connexion lors de la visite d’un site.
Importation depuis un navigateur
Si vous avez déjà des mots de passe enregistré dans votre navigateur chrome, vous pouvez les importer dans Bitwarden en suivant la procédure suivante : https://help.bitwarden.com/article/import-from-chrome/
Pour d’autre navigateur ou type d’import, consultez la page dédié : https://help.bitwarden.com/article/import-data/
Utilisation de Bitwarden
Lorsque vous allez sur un site qui est référencé dans Bitwarden, un simple clique sur l’icone puis sur l’entrée Bitwarden suffit à compléter l’identifiant et le mot de passe. Vous pouvez aussi rechercher un site directement dans Bitwarden comme vous pourriez le faire avec vos favoris.
Générateur de mot de passe
Bitwarden propose de générer des mots de passe aléatoire pour vous aider à sécuriser vos services en ligne.
Classement dans des dossiers
Bitwarden permet aussi de classer les enregistrements dans des dossiers.
Interdir l’enregistrement des mots de passe par le navigateur
L’usage d’un Coffre-fort de mot de passe est incompatible (du point de vue de la sécurité) avec la fonctionnalité d’enregistrement des mots de passe par le navigateur. Il est important de désactiver cette fonctionnalité pour éviter que vos mots de passe soient exposés.
Pour Chrome : https://support.google.com/chrome/answer/95606?co=GENIE.Platform%3DDesktop&hl=fr
Pour Firefox : https://support.mozilla.org/fr/kb/gestionnaire-mots-passe#w_afficher-et-supprimer-les-mots-de-passe (Décochez « Enregistrer les identifiants et les mots de passe pour les sites web »)