Enregistrer ses mots de passe dans un coffre-fort numérique plutôt que les noter sur un carnet, un post-it ou un fichier Excel… Tel est le principe des gestionnaires de passwords qui ne cessent de gagner de nouveaux utilisateurs. Leur promesse? En finir avec les mots de passe faibles et redondants. En contrepartie il faut accepter de « mettre tous ses œufs dans un même panier ». Tour d’horizon des bénéfices et limites des Password Managers. «123456», «test1», «admin», «qwerty»… ces mots de passe faibles arrivent régulièrement en tête des études sur les passwords les plus utilisés dans le monde. Ces enquêtes se succèdent et se ressemblent, démontrant peu d’évolution dans l’adoption des bonnes pratiques. Une des dernières en date, publiée en mai dernier par Balbix, révèle que 99% des utilisateurs réutilisent un même mot de passe sur près de trois comptes, dans leur vie privée comme en entreprise. Selon une autre enquête, publiée par OneLogin au début du confinement «30% des Français n’ont jamais changé leur mot de passe». Et près de 9% ont partagé le password de leur ordinateur professionnel avec leur conjoint ou leurs enfants, alors qu’ils étaient en télétravail. « La rapidité avec laquelle le travail à distance a dû être instauré au début de 2020 a laissé beaucoup d’entreprises vulnérables, particulièrement en raison de l’utilisation inappropriée d’ordinateurs professionnels », souligne ce spécialiste de la gestion d’identités. Mais le confinement n’a fait que remettre sous les projecteurs une situation bien connue des experts en sécurité. « Année après année, les mauvaises pratiques dans la gestion des mots de passe perdurent. La situation ne s’améliore pas », observe Tanguy de Coatpont, directeur général de Kaspersky France. Un avis partagé par Loïc Guézo, secrétaire général du Clusif : « Aujourd’hui, le mot de passe reste un élément archaïque de la sécurité informatique et donc un de ses principaux points faibles » Selon le spécialiste allemand de la sécurité informatique Avira, les mauvaises pratiques sont constatées aussi bien à domicile qu’au bureau. « De nombreuses études publiques démontrent que la plupart des gens ne savent toujours pas gérer correctement leurs mots de passe. C’est vrai pour la vie professionnelle et pour la vie privée », observe Tim Gaiser, Director Identity Protection. « Ils réutilisent les mêmes mots de passe pour plusieurs comptes en ligne, professionnels et privés. Et bien souvent ce sont des mots de passe faciles à deviner, car ils correspondent à leurs centres d’intérêt ou à leurs relations proches. » Mais selon le responsable, ce comportement est compréhensible : « Nous ne sommes pas en capacité de mémoriser des dizaines voire centaines de mots de passe robustes.» Ils finissent donc bien souvent sur un carnet, des post-it ou des tableaux Excel, ce qui pose bien entendu d’importants problèmes de sécurité. C’est pour remédier à ces limites humaines que les gestionnaires de mots de passe ont émergé il y a une dizaine d’années. Une des dernières tendances du secteur est la surveillance du Dark Web, ici Dashlane, afin d’alerter l’utilisateur en cas de compromission d’un service lié à ses passwords Depuis, leur adoption est de plus en plus large. « Notre croissance est stable et se maintient d’année en année », explique Laurent Ainsa, responsable commercial grands comptes chez LogMeIn, éditeur de LastPass et leader du secteur. Lancé en 2008, cet outil compte aujourd’hui près de 18 millions d’utilisateurs dans le monde. Dans le sillage de LastPass, plus d’une vingtaine d’autres gestionnaires de mots de passe sont aujourd’hui proposés par des pureplayer comme Dashlane, 1Password ou RoboForm, mais aussi des éditeurs de solutions de sécurité tels que Kaspersky, McAfee ou Avira qui se sont lancés sur ce marché florissant. « Une suite de sécurité n’est aujourd’hui pas complète sans gestionnaire de mot de passe », poursuit Tanguy de Coatpont, de Kaspersky France.
Un mot de passe pour les gouverner tous
Mais que proposent ces outils attirant un public toujours plus large ? « Ils permettent d’éliminer les contraintes d’usage liées à la multitude de mots de passe dans nos espaces numériques », résume Laurent Maréchal, Technology Architect chez McAfee. Comment? En proposant un espace de stockage sécurisé, en ligne ou on-premise, où sont hébergés les précieux sésames. Ce coffre-fort numérique est accessible via une interface de gestion, qui donne une vue d’ensemble des mots de passe, pointe leurs éventuelles faiblesses et permet d’automatiser certaines tâches. Concrètement, un client est installé sur le poste de travail, sous la forme d’un logiciel dédié et/ou d’une extension au navigateur web. Lors de l’installation, l’outil va récupérer tous les mots de passe présents sur l’ordinateur et dans le navigateur. Il va ensuite les enregistrer au fil de l’eau, avec l’accord de l’utilisateur, durant sa navigation. Une fois dans l’outil, les mots de passe n’ont plus besoin d’être saisis par l’utilisateur. Le gestionnaire se charge en effet de les saisir à sa place. Avec certains outils, comme la solution open-source KeePass, il peut être nécessaire de réaliser un copier-coller à la main. Mais la saisie automatique est devenue la norme. Au final, l’utilisateur n’a plus qu’un seul password à se souvenir : son mot de passe maître qui lui donne accès au gestionnaire. KeePass est le principal gestionnaire open-source. Si l’interface n’est pas la plus ergonomique, il peut être installé on-premise et a été certifié par l’Anssi. Outre l’aspect pratique de ne plus avoir à retenir qu’un seul mot de passe, c’est aussi l’« audit» de sécurité établi pas l’outil, qui offre un intérêt. Dans l’interface, l’utilisateur peut facilement s’apercevoir qu’il exploite le même mot de passe pour plusieurs comptes. Ces solutions soulignent également la présence de mots de passe faibles et recommandent d’en changer. Si l’utilisateur n’a pas d’idée pour construire un password complexe, un générateur de mots de passe est intégré à la solution. Il suffit par exemple d’indiquer la longueur du password, si l’on veut intégrer des lettres, des chiffres ou des symboles, afin d’en générer un aléatoirement. « Cela permet de générer un mot de passe unique et très robuste : l’outil le propose, on le copie-colle, pas besoin de le connaître. En cas de compromission, l’attaquant ne peut rien faire avec », souligne Hervé Schauer, fondateur et président de HS2, cabinet de formations en cybersécurité. « Le premier avantage est d’éviter le mot de passe simpliste universel pour tous les accès », résume Hervé Schauer. Un avis partagé par Loïs Samain, porte-parole du Cesin (Club des experts de la sécurité de l’information et du numérique) : « Avoir une vision globale de l’utilisation de ses mots de passe facilite la mise en place de bonnes pratiques, qui sont connues par ailleurs, mais pas toujours appliquées. Grâce à un gestionnaire, il est plus simple d’utiliser des mots de passe différents et robustes pour chaque service.» Pour Jérôme Notin, DG de la plate-forme nationale cybermalveillance.gouv.fr, la sensibilisation aux bonnes pratiques, que favorisent ces solutions, est très positive : « Ils soulagent l’utilisateur de la complexité qu’il y a à gérer des mots de passe multiples. Ils facilitent également l’utilisation de mots de passe complexes, ce qui est un gage de sécurité.» Outre les mots de passe, ces outils proposent de stocker dans le coffre-fort en ligne des documents sensibles, dont les coordonnées bancaires ou des pièces d’identité. L’usage de ces gestionnaires doit cependant lui-même s’accompagner de bonnes pratiques. Il ne faut pas que le mot de passe maître soit faible et il doit être différent de celui des comptes sensibles, comme par exemple la messagerie, recommandent les experts. Par ailleurs, ces outils ne dispensent pas d’utiliser une authentification à double facteur. D’autant plus que ces solutions sont toutes compatibles avec les standards de l’A2F. Selon Gérôme Billois, « Partner» du cabinet Wavestone : « Ces logiciels ne sont pas infaillibles et des programmes malveillants, comme des Keylogger, peuvent tenter d’intercepter la saisie du mot de passe maître. L’authentification forte, notamment biométrique sur smartphone, peut donc s’avérer très complémentaire.» C’est ce que propose notamment McAfee dans le cadre de sa solution True Key. « En complément, pour une sécurité renforcée, il est possible d’y associer un équipement mobile ou tablette en tant que facteur d’authentification supplémentaire. L’application émettra une notification vers votre équipement iOS ou Android afin de s’assurer qu’il s’agit bien de l’utilisateur demandant un accès au containeur de mots de passe », explique Laurent Maréchal. Même son de cloches chez Dashlane : « La meilleure façon de se protéger contre les keyloggers est d’utiliser un second facteur (OTP, clé U2F) et c’est valable pour Dashlane, c’est pourquoi nous avons intégré le support très tôt de ces solutions dans le produit », indique Frédéric Rivain. De son côté, Trend Micro met en avant le chiffrement de la saisie. « Notre solution va chiffrer les informations transmises par le clavier au système d’exploitation, protégeant ainsi contre les menaces du type keylogger. Ces logiciels malveillants ne peuvent ainsi intercepter que des informations chiffrées et donc inexploitables », assure Renaud Bidou, directeur technique Europe du Sud, de Trend Micro. La plupart des autres solutions intègrent également des protections au niveau de la saisie.Stockage dans le Cloud ou on-premise ?
Les solutions open-source, comme Bitwarden ou KeePass peuvent être installées sur les serveurs de l’entreprise. Mais la plupart de ces outils exploitent des infrastructures cloud de partenaires. Les informations y sont bien entendu chiffrées, principalement avec l’algorithme AES 256. Les éditeurs restent plutôt évasifs concernant leur politique de stockage et notamment le choix du fournisseur cloud. Le nom de partenaire qui revient le plus souvent est, sans surprise : AWS. C’est le cas de Dashlane. « Nous exploitons une infrastructure AWS situés à Dublin. Mais ce n’est pas une question posée régulièrement par nos utilisateurs, car notre infrastructure est Zero Knowledge. Seul l’utilisateur dispose de la clé de chiffrement de son coffre-fort auquel nous n’avons pas accès. Il y a donc une garantie totale de confidentialité », souligne Frédéric Rivain, CTO et président de Dashlane France. D’autres acteurs mettent en avant l’exploitation de leur propre infrastructure cloud, comme RoboForm : « Nous exploitons notre propre infrastructure résiliente, et non un Cloud partenaire comme AWS ou autre. Cela nous permet notamment de garantir une totale confidentialité des données, mais aussi d’être la solution commerciale la moins chère du marché, par rapport à des concurrents directs », avance un porte-parole. L’avantage du Cloud est de faciliter la synchronisation du gestionnaire sur de multiples plates-formes, dont les smartphones et les tablettes, expliquent les éditeurs. « Grâce au Cloud, LastPass est accessible depuis n’importe quelle plate-forme et est automatiquement synchronisé entre les différents équipements de l’utilisateur. C’est l’avantage des platesformes web », souligne ainsi Laurent Ainsa. Un « scoring » est proposé par la plupart des gestionnaires, ici LastPass, afin de connaître son niveau général de sécurité des mots de passe. Pour les experts en sécurité, l’hébergement des mots de passe dans le Cloud pose question, sans être pour autant un point de blocage. Selon Hervé Schauer : « Il y a bien entendu un risque de fuite des mots de passe en cas de compromission. Selon le pays dont dépend la société, une utilisation des données par les autorités n’est également pas exclue, du fait notamment du Cloud Act. Enfin, que faire en cas de panne ou de dégradation du service, ou même si l’éditeur ferme boutique ? » Pour Loïs Samain, porte-parole du Cesin, théoriquement les éditeurs comme les cybercriminels « ne peuvent pas récupérer les mots de passe des utilisateurs, chiffrés dans le Cloud. Mais le risque zéro n’existe pas. Des chercheurs trouvent régulièrement des failles dans les gestionnaires de mot de passe qui pourraient être exploitées ». Les éditeurs apportent des réponses sur ces différents points. Concernant le risque de compromission des données et le Cloud Act, ils martèlent que les informations sont chiffrées et que personne d’autre que l’utilisateur ne dispose des clés de chiffrement. Sur la problématique de la panne ou de la dégradation du service : LastPass a justement connu un incident de ce type en janvier dernier. Un bug dans une mise à jour a bloqué le service pendant plusieurs jours. « Suite aux plaintes de nos utilisateurs nous avons mené des investigations et avons rapidement déterminé que ceci était le résultat d’une mise à jour du produit. Notre étude a également révélé et identifié la catégorie d’utilisateurs spécifiques ayant été affectés, ainsi que les raisons de cette panne. L’équipe LastPass a identifié le bug et l’a rectifié en annulant momentanément la mise à jour à l’origine du problème. Cette action a été menée rapidement et a permis de résoudre à 100% l’incident. Aucune action utilisateur n’a été requise », indique aujourd’hui l’éditeur. Reste qu’au moment de la panne, les utilisateurs concernés n’avaient pas vraiment apprécié de devoir patienter devant le message suivant : « Une erreur s’est produite lors de la prise de contact avec le serveur LastPass. Veuillez réessayer plus tard.» Pourtant, selon LogMeIn, l’impact d’une interruption de service de ce type ne peut être que limité. « Il y a toujours une sauvegarde locale. Donc l’utilisateur peut accéder aux mots de passe, même si les serveurs ne sont plus accessibles », assure l’éditeur. « Nous avons bien entendu déjà eu des pannes de serveurs », confie également Frédéric Rivain chez Dashlane. « Mais cela est indolore pour les utilisateurs. La création de nouveaux comptes n’est bien entendu plus possible dans ce cas, ce qui a surtout un impact pour nous.» Avec une solution on-premise, comme KeePass, les problématiques du Cloud sont bien entendu résolues. D’ailleurs, l’Anssi n’a certifié que cette solution open-source. Mais cette certification est surtout due à son code ouvert, qui peut être audité. « En interne, nous utilisons KeePass : chaque agent de notre dispositif dispose de son propre coffrefort, stocké dans son espace privé sur le serveur de fichier, dont il est le seul à en connaître le mot de passe», confie Jérome Notin, chez cybermalveillance.gouv.fr. « Avec une solution on-premise, nous excluons tous les risques liés au Cloud. Mais les fichiers KeePass, rassemblant tous les mots de passe, peuvent aussi être compromis en local. Cela requiert des ressources techniques comme humaines très importantes.» Aucune formule n’est parfaite, estime donc le responsable, rappelant qu’il vaut mieux « confier ses mots de passe, même dans le Cloud, à un tiers de confiance qui est expert dans le domaine, qu’à une multitude de fournisseurs de service en ligne (réseaux sociaux, sites d’e-commerce…), dont le niveau de protection des données est forcément inégal ».Version entreprise ou grand public ?
Les gestionnaires de mots de passe disposent, pour la plupart, d’une version gratuite, pouvant être utilisée sur un seul équipement. Le nombre de mots de passe peut être limité dans certaines de ces versions freemium (voir tableau). Outre le stockage et la gestion des mots de passe, ces versions gratuites proposent un scoring évaluant le niveau de sécurité globale de sa gestion des mots de passe, afin de l’améliorer. Elles intègrent une possibilité de stocker des documents sensibles dans le coffre-fort, pièces d’identité et moyens de paiement. En passant à la version payante, l’utilisateur dispose d’un nombre illimité d’équipements et de mots de passe, ainsi que de l’assistance technique. Les versions premium proposent également une veille de l’activité des cybercriminels. Cela permet d’être alerté rapidement si un domaine associé à un mot de passe a été compromis (lire l’encadré). Les versions payantes proposent également le partage des mots de passe, de manière sécurisée, au sein de groupes. « L’utilisateur crée un groupe et invite d’autres participants. Par exemple, l’équipe marketing peut bénéficier d’un groupe dédié et partager des mots de passe pour se connecter au compte Twitter ou Facebook spécifique à cette direction. Il est possible d’attribuer des niveaux de droits par granularité, par exemple pour autoriser l’utilisation mais pas la modification d’un mot de passe », explique-t-on chez LogMeIn. Le coût de ses versions premium tourne autour de trois euros par mois et par utilisateur. Les pure-player du secteur proposent également des versions pour entreprises. Qu’apportent ces solutions pros ? Elles intègrent une console d’administration, qui ne permet pas d’accéder aux mots de passe, mais affiche l’activité des gestionnaires, avec notamment le scoring de chaque utilisateur. Les versions pros intègrent également des passerelles avec les solutions d’annuaire de l’entreprise. « Nous proposons aussi plus de 150 polices de sécurité, pré-configurées, par exemple pour les finances ou les RH. Ce qui fait gagner du temps », précise-t-on chez LogMeIn. Côté utilisateur, l’interface est alors divisée en deux, avec d’un côté les mots de passe personnels et de l’autre ceux à usage professionnel. L’utilisateur bénéficie ainsi de deux coffres-forts cloisonnés. « Lorsqu’il quitte l’entreprise, l’accès à la partie pro est bloqué », souligne-t-on chez Dashlane. Combien coûtent ces solutions pros ? Il faut compter entre 40 et 70 euros par an et par utilisateur. Mais selon les éditeurs, les TPE et PME peuvent déjà exploiter les versions gratuites ou premium. En revanche, les structures plus larges gagneront à passer aux versions entreprises.Le Password Manager n’est pas une baguette magique
De l’avis de l’ensemble des experts en sécurité, les gestionnaires de mots de passe offrent une réelle valeur ajoutée en matière de cybersécurité, surtout pour les Petites et moyennes entreprises. « Les gestionnaires de mot de passe me semblent un outil indispensable et inévitable », estime Hervé Schauer. « Je pense que tout un chacun devrait s’en servir, notamment dans les PME où il n’y a pas gestion centralisée par une DSI qui surveille les journaux ou impose une authentification double facteur à distance.» Un avis partagé par Loïc Guézo au Clusif : « Ces outils ont un réel intérêt de la TPE à l’ETI. Les grands comptes disposent en revanche de solutions bien plus robustes », indique-t-il, faisant notamment référence aux bastions et aux solutions de gestion d’identité et des accès (IAM). Pour Gérôme Billois du cabinet Wavestone, « C’est un outil indispensable, peut-être un peu plus pour le grand public que pour les professionnels.» Reste qu’il ne s’agit pas de solutions miracle, préviennent aussi les experts en sécurité. Leur point faible reste l’utilisation d’un mot de passe maître unique qui, s’il est dérobé, est une véritable aubaine pour les cybercriminels. « Dans une démarche d’attaquant la présence d’un gestionnaire de mot de passe est un point névralgique », met en garde Cédric Thellier, directeur technique d’Akerva, prestataire d’audit de sécurité certifié par l’Anssi. « Je ne dis pas qu’il s’agit de solutions vulnérables, mais vu ce qu’elles recèlent, c’est un sujet d’attention pour les cybercriminels.» Autre problème, d’ordre pratique : que faire si l’on égare son Master Password ? Certains éditeurs proposent des solutions de back-up. « L’utilisateur peut générer un QR Code à imprimer et à ranger précieusement, qui permet de récupérer, via un smartphone, l’accès au gestionnaire », indique Jonathan Farhi, directeur commercial et marketing grands comptes de F-Secure. De son côté, Dashlane propose une récupération à trois clés, dans sa version entreprise. « Il faut combiner une clé utilisateur, une clé de l’entreprise et une dont nous disposons, pour récupérer l’accès à la solution », indique l’éditeur.Gestionnaire de mot de passe ou SSO ?
Des alternatives à ces solutions existent, offrant un niveau de sécurité accrue, rappellent également les experts en sécurité. Outre l’IAM, plutôt orientée grands comptes, il y a les SSO (single sign-on) qui s’adressent à tous types d’entreprises. Si le coût est plus élevé, ces solutions d’authentification unique offrent également un niveau de sécurité supérieur. « La connexion unique, ou SSO, offre une expérience tout aussi fluide, mais bien plus sécurisée, notamment grâce à une authentification forte, mais aussi par des mécanismes plus subtils d’analyse et de mesure du risque – terminal reconnu, usage inhabituel, adresses IP suspectes, etc.», assure Nicolas Petroussenko, country manager d’Okta France, société spécialisée dans la gestion des accès. « Au lieu de s’appuyer sur un coffre-fort rempli de mots de passe pour sécuriser les données, l’authentification unique exploite les relations d’approbation existantes pour créer un domaine unique et sécurisé, dans lequel l’authentification a lieu.» Selon les experts en sécurité, le Password Manager et le SSO peuvent être complémentaires. « Un gestionnaire de mots de passe peut compléter un SSO, en gérant les accès à des services non SSO-isables, notamment d’anciennes applications métier », indique Jérome Notin, de cybermalveillance.gouv.fr. Les deux univers semblent de toute façon destinés à converger. Depuis 2019, LastPass propose ainsi, dans une version entreprise de son outil, son propre SSO SAML (Security Assertion Markup Language). « Nous allons continuer d’évoluer dans la perspective de devenir un fournisseur de solutions de gestion d’identité », confie Laurent Ainsa. Un chemin sur lequel s’engage également RoboForm. « Nous prévoyons, d’ici à la fin 2021, d’évoluer vers une activité de fournisseurs d’identité (IdP) », indique son porte-parole. Pour Loïc Guézo, du Clusif, la frontière entre SSO et gestionnaires de mots de passe « pourrait s’estomper dans les années à venir ».Une surveillance de l’activité cybercriminelle
La dernière tendance technologique des gestionnaires de mots de passe est la surveillance du Dark Web. En cas de compromission d’un service auquel un mot de passe est associé, l’utilisateur reçoit une alerte, l’invitant à changer son password dès que possible. Certains outils permettent même de changer automatiquement le mot de passe si une compromission a été identifiée. Dashlane a été l’un des premiers à proposer ce type de service. « Nous travaillons avec un partenaire, SpyCloud, pour assurer cette veille. Elle permet ainsi de garantir une confidentialité en temps réel des mots de passe », indique l’éditeur. De son côté, F-Secure a lancé cette fonction en mai dernier : « C’est désormais incontournable. Nous avons une expertise importante dans ce domaine, avec des hackers éthiques qui surveillent le Dark Web », souligne Jonathan Farhi. « Nos équipes nous permettent d’être très réactifs face à un piratage ou une compromission ». Pour les éditeurs, cette veille est aussi un moyen de fidéliser leur clientèle et de les inciter à passer à une version Premium.Les pure players
LastPass | Dashlane | 1Password | RoboForm | KeePass | Bitwarden | Sticky Password | Keeper | |
Plates-formes | Windows, MacOS, Linux, Android, iOS | Windows, MacOS, Android, iOS | Windows, MacOS, Linux, Android, iOS | Windows, MacOS, Android, iOS | Windows, MacOS, Linux, Android, iOS | Windows, MacOS, Linux, Android, iOS | Windows, MacOS, Android, iOS | Windows, MacOS, Linux, Android, iOS |
Version entreprise | Oui | Oui | Oui | Oui | NA | Oui | Oui | Oui |
Authentification forte | Oui | Oui | Oui | Oui | Non | Oui | Oui | Oui |
Stockages MDP (version gratuite) | Illimité | 50 | Illimité (essai pendant 30 jours) | Illimité | Illimité | Illimité | Illimité (essai pendant 30 jours) | Illimité (essai pendant 30 jours) |
Saisie automatique | Oui | Oui | Oui | Oui | Oui (selon le paramétrage) | Oui | Oui | Oui |
Prix version payante | 3 $/mois | 3,33 € /mois | 2,99 $ / mois | 1,99 € /mois | NA | 10 $/an | 26,95 € / an | 2,49 $ /mois |
Les acteurs de la sécurité IT
Kaspersky Password Manager | Avira Password Manager | Trend Micro Password Manager | True Key by McAfee | F-Secure Key | |
Plates-formes | Windows, MacOS, Android, iOS | Windows, MacOS, Android, iOS | Windows, MacOS, Android, iOS | Windows, MacOS, Android, iOS | Windows, MacOS, Android, iOS |
Versions entreprise | Non | Non | Non | Non | Non |
Authentification double facteur | Oui | Oui | Oui | Oui | Oui |
Stockages MDP (version gratuite) | 15 | Illimité | 5 | 15 | Illimité |
Saisie automatique | Oui | Oui | Oui | Oui | Oui |
Prix version payante | 13,99 € / an | 24,95 € / an | 9,95 € / an | 19,95 € / an | 29,90 € / an |