Comparatif

Comparaison des gestionnaires de mots de passe existants et de leurs modes de fonctionnement

Menu principal

Page suivante : Solutions

Sommaire

Utilité du gestionnaire de mots de passe

Aller à la section suivante

Pourquoi devrais-je utiliser un gestionnaire de mots de passe ?

À l’ère d’Internet, le nombre de mots de passes utilisés par individu explose. Selon les sources, nous aurions au minimum 70 mots de passe par personne1. Pourtant, nos cerveaux de primates ne sont pas adaptés pour respecter les bonnes pratiques, recommandées notamment par l’ANSSI. Que fait-on dans ce cas ? On réutilise nos mots de passe, parfois en les modifiant légèrement.

D’après une enquête d’Avast en 20192, 93% des Français ne respectent pas les bonnes pratiques en terme de mots de passe.

Ces bonnes pratiques3 sont :

Et le point le plus important est le suivant :

Je respecte plusieurs points de la liste, ça suffit non ?

Absolument pas ! Il est primordial que chacun des points ci-dessus soient respectés, sans quoi vos mots de passe ne sont pas protégés.

Si jamais un attaquant souhaite s’en prendre à vous, afin de revendre des données sur vous par exemple, il suffit que l’un de ses points ne soit pas respecté pour qu’il puisse avoir accès à vos comptes personnels.

Les mots de passe de moins de 12 caractères dans un alphabet de 90 symboles (majuscules, minuscule, chiffres et caractères spéciaux communs comme #, $, * et %) sont considérés comme faibles par l’ANSSI4.

Pour remédier à cela, une seule solution : utiliser un gestionnaire de mots de passe !

Mais je n’ai pas envie de payer une solution ! Je préfère encore rester comme ça

Il est vrai que le marché des gestionnaires de mots de passe est juteux, et de nombreux acteurs du marché sont là pour en profiter.

En dehors du fait de payer une solution, se pose aussi le problème de la confiance : que se passe-t-il si jamais l’entreprise qui gère nos mots de passe a une fuite de données ? Comme vérifier que mes données sont sécurisées comme il m’a été promis qu’elles le sont ? Ce n’est pas possible.

Il existe des alternatives aux solutions payantes qui utilisent un tiers de confiance, mais elles sont trop souvent destinées à des connaisseurs, et inaccessibles au grand public.

Dans la suite, nous allons essayer de comprendre pourquoi la situation est ainsi, dans un monde où tout le monde devrait avoir accès à un gestionnaire de mots de passe.

Fonctionnement

Aller à la section suivante

Un gestionnaire de mots de passe est un logiciel permettant de stocker tous vos mots de passe de manière sécurisée. Pour cela, vous aurez besoin de ne retenir qu’un seul mot de passe, votre mot de passe maître (master password), celui-ci vous permettra d’accéder à vos autres mots de passe lorsque vous en aurez besoin. En plus de cela, de nombreux gestionnaires de mots de passe vous proposent aujourd’hui de générer aléatoirement des mots de passe sur mesure, que vous stockerez dans votre gestionnaire de mots de passe sans avoir besoin de les retenir.

Le gestionnaire de mots de passes est en quelque sorte un coffre-fort dans lequel vous pouvez déposer toutes vos clés sans avoir besoin de les protéger, et vous n’avez plus besoin que de faire attention à la clé de ce coffre-fort.

Tout d’abord, nous allons nous intéresser aux différents fonctionnements possibles d’un gestionnaire de mots de passe.

Cette partie n’est pas nécessaire si vous cherchez uniquement une alternative gratuite et facile d’accès, mais il est important de comprendre comment les gestionnaires de mots de passe fonctionnent pour ne pas faire confiance aveuglément dans une solution donnée.

Note : Dans les explications qui suivent, le fonctionnement des gestionnaires de mots de passe est simplifié, on n’abordera notamment pas les notions de salage cryptographique ou de fonction de dérivation de clé.

Fichier chiffré sur le disque

C’est le fonctionnement de base d’un gestionnaire de mots de passe. Tous vos mots de passe sont assemblés en un fichier chiffré sur votre disque dur grâce au mot de passe maître. De cette manière, une personne qui accéderait à votre ordinateur ne peut récupérer vos mots de passe sans connaître votre mot de passe maître.

Une fois que vous avez besoin d’accéder à vos mots de passe, pour vous connecter quelque part par exemple, il vous suffit de rentrer votre mot de passe maître dans votre gestionnaire de mots de passe pour déchiffrer le fichier qui contient tous vos mots de passe.

encrypted file

Exemple : KeePass

Désavantage :

Synchronisation via un serveur

Pour parvenir à synchroniser vos mots de passe entre différents appareils, de entreprises vous proposent de stocker pour vous le fichier chiffré qui contient tous vos mots de passe. Ils vous assurent que vos données sont bien protégées, mais ça à priori il n’y a pas de moyen de le vérifier.

Ici le service qui vous est vendu, c’est celui d’avoir à disposition, dans un serveur d’une entreprise privée, vos mots de passe sous la forme d’un fichier chiffré. Ainsi, n’importe où dans le monde et à n’importe quel moment, vous pouvez vous connecter à votre compte et récupérer vos mots de passe. De la même manière, quand vous ajoutez des nouveaux mots de passe, le fichier chiffré est mis à jour, la synchronisation est donc totale.

server stored

server pulled

Exemples : 1PassWord, BitWarden, NordPass, Dashlane, etc.

Désavantages :

Solution stateless

Puisque le problème est de stocker le fichier chiffré quelque part, les solutions stateless proposent une toute nouvelle approche : au lieu de stocker les mots de passe pour que vous puissiez y accéder pour vous connecter sur vos sites, il est question ici de calculer vos mots de passe à partir de votre mot de passe maître et d’informations comme le nom du site. Plus besoin de stocker vos mots de passe : comme le mot de passe de votre site est calculé, il vous suffit de fournir les mêmes informations d’une connexion sur l’autre avoir votre mot de passe.

stateless

Exemple : LessPass

Désavantages :

Basé sur un dépôt Git

Pour revenir sur la solution d’un fichier chiffré sans passer par un serveur payant, il faut trouver un moyen de décentraliser la synchronisation entre plusieurs appareils. La première solution pour ça est d’utiliser un gestionnaire de version, comme Git. Si vous ne connaissez pas Git, c’est un outil de gestion de version très répandu, qui permet notamment aux développeurs logiciels de gérer des implémentations complexes selon les fonctionnalités du code, seul ou en équipe.

Dans notre cas, nous allons créer un dépôt dans lequel nos mots de passe seront autant de fichiers chiffrés indépendamment, de telle sorte qu’il soit possible de modifier ou d’ajouter un mot de passe sans avoir à gérer des conflits entre les versions.

L’utilisation de Git permet de gérer facilement les versions pour garantir la synchronisation, mais ne résout pas du tout le problème d’accès au dépôt depuis un autre appareil.

Exemple : Pass

Désavantage :

Basé sur la Blockchain

Pour décentraliser la synchronisation, il est également possible d’utiliser la Blockchain, c’est-à-dire stocker dans l’espace public décentralisé qu’est la Blockchain le fichier chiffré qui contient vos mots de passe. Ce type de solution vous propose de créer un portefeuille, ou wallet, ce qui vous fournit une identité dans la Blockchain. Il n’est pas spécialement question d’utiliser ce portefeuille afin d’y stocker de l’argent. Grâce à cette identité, vous aurez le droit d’ajouter des informations dans la Blockchain. Comme la Blockchain est publique, l’idée est de l’utiliser pour stocker le fichier chiffré qui contient vos mots de passe.

Il faut cependant faire attention aux solutions basées sur la Blockchain. C’est une technologie très prometteuse dans le domaine de l’informatique, mais qui est très souvent liée au concept de cryptomonnaies. Il faut donc être bien conscient que lorsque vous utilisez une Blockchain publique, même si vous ne donnez pas vous-même d’argent, vous contribuez à l’utilisation de cette Blockchain et vous participez à des comportements spéculatifs.

Exemple : You.

Désavantages :

Comparaison

Assez parlé de théorie ! Dans cette section, nous allons nous intéresser aux critères qui permettent de comparer les gestionnaires de mots de passe, puis voir lesquels sont les plus adaptées selon ces critères.

Critères

Dans un premier temps, nous prenons pas en compte des critères trop élaborés en lien avec des fonctionnalités, nous nous limitons à des éléments basiques.

Voici quels sont nos critères pour cette comparaison :

Maintenant ces critères établis, passons à la comparaison à proprement parler.

Gestionnaires de mots de passe

Gestionnaire Licence Open Source Fonctionnement OS Accès public Synchronisation Vie privée
1Password propriétaire non serveur navigateur, Android, iOS, Linux, macOS, Windows connexion oui obligatoire
Bitwarden libre (AGPLv3 / GNU GPLv3) oui serveur navigateur, Android, iOS, Linux, macOS, Windows connexion oui obligatoire
Dashlane propriétaire / freemium non serveur navigateur, Android, iOS, macOS, Windows connexion oui obligatoire
Enpass propriétaire non serveur navigateur, Android, iOS, Linux, macOS, Windows connexion oui obligatoire
Entropass libre (MIT) oui stateless navigateur impossible oui inexistant
Firefox Lockwise libre (MPL 2.0) oui serveur navigateur, Android, iOS connexion oui obligatoire
Google Password propriétaire non serveur navigateur, Android connexion oui obligatoire
KeePass libre (GPLv2) oui local navigateur, Android, iOS (extensions), Linux, macOS, Windows impossible oui (extensions) inexistant
Keeper propriétaire / freemium non serveur navigateur, macOS, Linux, Windows connexion oui obligatoire
Keychain libre (GPLv2) non serveur iOS, macOS connexion oui obligatoire
LastPass propriétaire / freemium non serveur navigateur connexion oui obligatoire
LessPass libre (GPLv3) oui stateless navigateur impossible oui facultatif
LockPass propriétaire non serveur navigateur connexion oui obligatoire
NordPass propriétaire / freemium non serveur navigateur connexion oui obligatoire
Pass (Password store) libre (GPLv2+) oui git navigateur, Android, iOS, Windows (extensions), Linux connexion (selon configuration) oui (avec tiers) inexistant
PassBolt libre (AGPL-3) oui serveur (réseau local) navigateur connexion oui obligatoire (entreprise)
Password Safe libre (Artistic License 2.0) oui local maxOS, Linux, Windows impossible non inexistant
Remembear propriétaire non serveur navigateur, Android, iOS, Linux, macOS, Windows connexion oui obligatoire
Safeguard propriétaire non blockchain navigateur possible oui obligatoire
You. propriétaire non blockchain navigateur, Android, iOS possible oui obligatoire

Conclusion

Le résultat de cette comparaison est qu’il n’existe pas gestionnaires de mots de passe qui soit à la fois gratuit et simple d’utilisation, qui synchronise les mots de passe entre les appareils automatiquement et qui ne passe pas par un tiers de confiance.

  1. article de Newswire 

  2. article de Avast 

  3. recommandations de l’ANSSI 

  4. calculateur de force d’un mot de passe de l’ANSSI