Quel gestionnaire de mots de passe est fait pour vous ?
Quel gestionnaire de mots de passe est fait pour vous ?
Par Martin Untersinger
Nous avons comparé les cinq solutions les plus courantes pour gérer un grand nombre de mots de passe complexes.
Pour un être humain raisonnablement connecté (disposant donc d’une vingtaine de mots de passe), il est extrêmement difficile de créer et de retenir des mots de passe uniques et sécurisés pour chaque site. C’est pourquoi des outils ont fait leur apparition ces dernières années pour rendre cette tâche accessible au commun des mortels : les gestionnaires de mots de passe.
Il s’agit d’outils permettant de stocker à un seul endroit tous les mots de passe que vous utilisez. Ils peuvent prendre la forme d’un logiciel classique ou d’une simple extension dans le navigateur (ils s’utilisent alors comme un site web). Ils sont quasi systématiquement accompagnés d’une application mobile, dans laquelle les mots de passe sont synchronisés.
Le principe de base de quasi tous les gestionnaires de mots de passe est simple : lorsque vous entrez votre identifiant et votre mot de passe sur un site, le gestionnaire le détecte et vous propose de le stocker. Cette sauvegarde permet donc facilement d’avoir des mots de passe longs, complexes et même de les renouveler régulièrement ! Lorsque vous vous rendrez à nouveau sur le site, les champs de saisies seront préremplis.
Pour accéder à votre « coffre-fort », où sont rangés les mots de passe, le gestionnaire vous demandera un mot de passe maître, généralement au démarrage. Il faut le choisir avec soin et recourir si possible à une phrase de passe : ce sera la clé qui déverrouillera l’accès aux autres mots de passe. Il faut prendre bien soin de ne pas l’oublier car sans elle, vous perdrez l’accès à tous vos autres mots de passe. Tous les gestionnaires sécurisent les mots de passe en les chiffrant avant, le cas échéant, de les sauvegarder en ligne – ce qui signifie que même en cas de piratage, les mots de passe dérobés seraient illisibles par les pirates.
Outre le stockage et le préremplissage des mots de passe, les gestionnaires disposent d’une foule de fonctionnalités qui varient selon le logiciel choisi : évaluation de la robustesse des mots de passe, générateur de mots de passe solides, stockage des identités (pour ne pas avoir à remplir systématiquement son adresse, son numéro de téléphone ou de carte bancaire sur les sites de vente en ligne), partage sécurisé de mots de passe…
Equilibre de sécurité
Les gestionnaires de mots de passe sont-ils sûrs ? A première vue, il paraît risqué de mettre toutes les clés de sa vie numérique à un seul et même endroit, et les entreprises éditant ces gestionnaires ne seront jamais à l’abri d’un piratage. Mais il est également très risqué, et peut-être même plus, d’utiliser des mots de passe peu robustes et utilisés à l’identique sur plusieurs sites. Tout est question d’équilibre, mais pour l’usager lambda, le gestionnaire de mots de passe est un outil qui permet d’améliorer grandement « l’hygiène numérique », et donc la sécurité.
Les plus craintifs pourront par exemple s’abstenir de mettre le mot de passe de leur compte e-mail, clé de voûte de l’identité numérique, dans le gestionnaire de mot de passe. Les plus regardants quant à la sécurité pourront opter pour un gestionnaire de mots de passe libre ou open source, dont le code informatique a été examiné et vérifié, ou faire en sorte de désactiver la synchronisation entre les appareils des mots de passe, de façon à ce que ces derniers ne soient jamais transmis sur Internet.
Quid des fonctionnalités de mémorisation des mots de passe proposés par les navigateurs (comme Google Chrome) ou certains systèmes d’exploitation (comme le trousseau iCloud dans l’environnement Mac) ? Ils peuvent contribuer à varier et muscler ses mots de passe, mais généralement, ces outils ne disposent pas d’autant de fonctionnalités ni forcément des mêmes garanties de sécurité.
Comment choisir son gestionnaire de mots de passe ? Plusieurs critères sont à prendre en compte.
L’interface et l’ergonomie : certains gestionnaires de mots de passe ont mis l’accent sur la facilité d’usage.
Sa sécurité : un logiciel libre ou open source peut apporter des garanties supplémentaires en matière de sécurité. De même qu’un logiciel qui ne synchronise pas les mots de passe.
Sa disponibilité sur les différents systèmes d’exploitation.
Les principaux gestionnaires
Nous avons testé les cinq principaux gestionnaires de mots de passe en tentant de vous en donner les principales caractéristiques. Nos confrères de NextInpact ont réalisé des tests approfondis que nous recommandons chaudement.
Dashlane
Dashlane / Capture d'écran
Il s’agit sans doute du gestionnaire de mots de passe le plus simple à utiliser et le plus intuitif. Ses fonctionnalités sont classiques (gestion de l’identité, générateur de mots de passe, connexion automatique…) mais certaines sortent du lot : Dashlane propose par exemple un écran qui résume la sécurité de vos mots de passe, assorti d’un score que l’utilisateur est incité à augmenter, en changeant par exemple ses mots de passe, ou encore la possibilité de changer les mots de passe de certains services sans quitter le logiciel.
Appréciable également, la double authentification qui peut être activée pour ouvrir le logiciel au démarrage de l’ordinateur. Le modèle économique est intéressant : une version gratuite, limitée à un seul appareil, existe. Pour la version complète, il faut compter un peu plus de 3 euros par mois.
C’est pour vous si :
Vous voulez un logiciel clair et simple à utiliser.
Vous êtes pour le « made in France » (l’entreprise a été créée en France).
Ce n’est pas pour vous si :
Si vous préférez confier vos mots de passe à un logiciel libre ou open source.
Disponible sur : PC, Mac ; iOS, Android.
EnPass
EnPass / Capture d'écran
Très proche, là encore, des autres gestionnaires, il se situe à mi-chemin entre LastPass et 1Password. Il emprunte au premier son côté tout-terrain (il est disponible sur tous les systèmes d’exploitation et sur toutes les plates-formes mobiles) et au second, son interface agréable. Il dispose, comme d’autres, d’un petit panneau pour repérer d’un coup d’œil les mots de passe fragiles ou anciens.
Son modèle économique est plus complexe que ses rivaux : sa version pour ordinateur est gratuite à vie, la version mobile est gratuite mais limitée. Pour lever ces limitations, il faut débourser 9,99 dollars (une seule fois). Si vous utilisez par exemple une tablette Android et un iPhone, il faudra payer deux fois. Contrairement à certains de ses rivaux, la synchronisation en ligne n’est pas obligatoire. Son code est fermé, ce qui peut poser problème en matière de sécurité.
C’est plutôt pour vous si :
Vous voulez un logiciel gratuit qui dispose de quasiment de toutes les fonctionnalités.
Vous voulez un logiciel joli et facile à utiliser.
Ce n’est pas pour vous si :
Vous êtes à cheval sur la sécurité.
Vous voulez utiliser votre gestionnaire sur de multiples plates-formes sans payer à chaque fois.
Disponible sur : Windows, Mac, Linux, Android, iOS, BlackBerry.
Keepass
Keepass. / Le Monde
KeePass est à la sécurité informatique ce que le char Leclerc est à la sécurité automobile : ce n’est pas très beau, pas très pratique pour les créneaux, mais c’est fichtrement résistant. Ce gestionnaire est un logiciel libre, c’est-à-dire que son code source peut être inspecté. Ce qui a été fait : c’est le seul qui dispose, pour sa version 2.10, d’une certification de l’autorité française de sécurité informatique, l’Anssi. Il est donc très résistant aux attaques, et son utilisation est gratuite.
Problème : son interface est franchement austère et son utilisation nécessite un peu d’entraînement. De base, certaines fonctionnalités présentes chez ses compétiteurs n’existent pas (pas d’application mobile, pas de synchronisation entre appareils, pas d’extension pour le navigateur…).
Mais, comme c’est un logiciel libre, de nombreuses extensions ou variations peuvent être installées moyennant quelques manipulations.
C’est pour vous si :
Un logiciel austère et peu ergonomique ne vous fait pas peur.
La sécurité est un critère très important.
Bidouiller un peu pour que ça marche, vous aimez bien.
Vous ne pouvez pas vous permettre un gestionnaire payant.
Ce n’est pas pour vous si :
Si vous avez besoin d’un logiciel clair et facile à utiliser.
Vous devez l’utiliser sur plusieurs plates-formes facilement.
La bidouille, ça vous fait peur.
Disponible sur : Mac, PC, Linux ; sur mobile via des applications tierces.
Lastpass
Lastpass / Capture d'écran
LastPass est un gestionnaire dont le fonctionnement et l’ergonomie sont plutôt classiques. Son point fort réside dans sa grande compatibilité avec de nombreuses plates-formes : sa version bureautique se présente sous la forme d’une extension pour navigateur Internet et une version mobile est disponible pour iOS, Android et Windows Phone.
Il est même possible d’accéder à tous ses mots de passe depuis un autre ordinateur directement depuis le site Web. Il a également l’avantage d’être complètement gratuit (une version payante existe pour environ 1,70 euro par mois, donnant notamment accès à un espace de stockage plus important, une assistance renforcée, et faisant disparaître les publicités).
Il dispose également d’une fonction qui permet d’avoir une vue d’ensemble de la sécurité de tous vos mots de passe. Ses points faibles ? La traduction en français est catastrophique (il faut connaître l’anglais pour l’utiliser), son code source n’est pas ouvert et il a déjà fait l’objet d’attaques informatiques (selon l’entreprise, les mots de passe n’ont jamais été compromis).
C’est pour vous si :
Vous avez besoin d’un gestionnaire tout-terrain.
Ce n’est pas pour vous si :
Vous n’avez aucune notion d’anglais.
Vous êtes très à cheval sur la sécurité.
Disponible : dans tous les navigateurs ; via le site Web ; sur iOS, Android & Windows Phone.
1Password
1Password / Capture d'écran
Encore un gestionnaire aux fonctionnalités très classiques. Gratuit dans un premier temps, il faut ensuite s’acquitter d’un abonnement de 2,99 dollars (environ 2,50 euros) par mois. Il dispose d’un mode pour les familles, comprenant jusqu’à 5 personnes.
Côté sécurité, le mot de passe maître ne suffit pas pour installer 1Password : il faut également la clé de sécurité, une sorte de second mot de passe que l’on trouve dans les paramètres du logiciel. C’est un gage de sécurité car un pirate doit, outre votre mot de passe maître, connaître cette clé pour dérober les mots de passe. Comme LastPass, sa traduction en français est très aléatoire.
Originellement conçu pour les appareils Apple, 1Password s’est ouvert à Windows sur le tard : nous n’avons pas pu tester la version pour Mac, mais selon nos confrères de NextInpact, elle serait bien supérieure à celle de Windows, notamment car elle offre des fonctionnalités supplémentaires (intégration à l’intérieur d’applications tierces notamment).
C’est pour vous si :
Vous êtes utilisateurs de Mac.
Ce n’est pas pour vous si :
Il vous faut un logiciel bien traduit en français.
Disponible sur : Windows, Mac ; iOS, Android.