Oubliez tous vos mots de passe (sauf un) !
Vous l’entendez souvent, on vous sollicite à ce sujet tout le temps, vous l’avez lu des dizaines de fois sur ce blog… pourtant vous ne le faites (peut-être) pas : utiliser des mots de passe forts et différents pour chaque service. Pour vous aider dans cette fastidieuse mais honorable tâche, je vous propose de découvrir Bitwarden, un gestionnaire de mots de passe gratuit, sécurisé et sympa !
Image : surfez-couverts.com
Un mot de passe pour les gouverner tous…
Le principe des gestionnaires de mots de passe est de servir de coffre-fort dans lequel vous stockerez tous vos de mots de passe en indiquant à quel service ils sont associés. Ce coffre-fort est lui-même verrouillé par un mot de passe. Ça malheureusement, on ne peut pas encore y échapper. Toutefois c’est le seul mot de passe que vous aurez vraiment besoin de retenir. Oubliez les autres, ils sont dans votre coffre-fort, prêts à servir à la moindre occasion.
La solution retenue
Bitwarden est un gestionnaire de mots de passe open-source, ce qui garantit sa transparence. Cela veut dire que bien que cette société soit américaine (donc soumise aux lois limitant l’aspect « privé » de vos données), vous pouvez lui faire confiance. Pourquoi ? Bitwarden l’explique simplement sur son site en 4 points résumés ici :
- Tout le code source est publié publiquement, tout le monde peut en vérifier les éléments de sécurité
- L’application est auditée par des organismes indépendants
- Le cloud de Bitwarden ne stocke pas vos mots de passe eux-mêmes, mais les versions chiffrées de vos mots de passe. Votre mot de passe ne transite jamais en clair sur les serveurs utilisés pour la synchronisation. Mais si vous préférez, vous pouvez également héberger vous-même la solution sur votre propre serveur.
- Leur activité repose sur leur réputation. S’ils créent une faille volontairement, celle-ci sera forcément découverte. L’application perdra toute crédibilité et donc tous ses clients.
Les alternatives
Libre à vous d’utiliser d’autres solutions du marché. Les applications open-source comme KeePass ou commerciales comme LastPass, 1Password, Dashlane sont toutes valables. Vous avez aussi quelques options plus exotiques comme LessPass (sans stockage) ou StickyPassword (qui aide à sauver les lamantins menacés, je ne rigole pas…).
Au final, choisissez un outil qui réponde à vos besoins et dans lequel vous avez confiance. Renseignez-vous. Etre bien informé vous aidera à choisir en connaissance de cause. Je vous présente Bitwarden car c’est la solution que j’utilise et qu’elle prend en charge toutes les fonctionnalités attendues d’un bon gestionnaire. Pour information, je n’ai pas d’action chez eux et cet article n’est pas sponsorisé 🙂
Les forces de Bitwarden
Pour moi, les principales caractéristiques qui font de Bitwarden un produit intéressant sont :
1. Le prix : avec une offre gratuite pour un usage personnel illimité
2. 100% open-source
3. Chiffrement de bout en bout des mots de passe
4. Identification à deux facteurs (2FA)
5. Applications tous OS
6. Synchronisation multi-plateforme
7. Fonction d’importation très complète (si vous migrez comme moi depuis un autre gestionnaire)
8. Possibilité de partager gratuitement des identifiants entre deux utilisateurs
Installer Bitwarden
Pour vous lancer dans l’aventure, il vous faudra commencer par créer un compte. Vous pouvez le faire facilement depuis le site Internet ou l’une des applications, selon le système que vous utilisez.
Utiliser Bitwarden
Les applications de bureau de Bitwarden existent pour Windows, MacOS et Linux. Elles sont toutes les trois similaires. Vous vous en servirez au quotidien pour générer, enregistrer ou retrouver vos mots de passe.
Le coffre-fort web de Bitwarden vous permet d’accéder à vos données depuis n’importe quel navigateur. Cet accès est certes pratique, mais moins sécurisé que les applications de bureau ou les apps mobiles. A privilégier donc quand vous ne pouvez pas utiliser les applications. Notez que c’est la seule interface vous permettant d’importer vos données depuis un autre gestionnaire de mot de passe.
Les applications mobiles iOS et Android sont très complètes et proposent les mêmes fonctionnalités que les applications de bureau. Elles intègrent la gestion des mots de passe propres aux deux environnements et certaines extensions de navigateurs mobiles.
Elles sont disponibles pour les principaux navigateurs du marché, même Tor ! Je ne vous conseille cependant pas de l’utiliser sur Tor, cela rendrait le tracking par fingerprint plus facile. Ceux qui n’ont pas compris la dernière phrase n’utilisent certainement pas Tor… 🙂 pour le rattrapage c’est ici !
Ces extensions ressemblent aux applications et permettent en plus de saisir automatiquement les logins et les formulaires. C’est en principe mieux que d’utiliser les gestionnaires de mots passe intégrés aux navigateurs. Les plus paranos d’entre nous n’installerons pas ces extensions et préféreront copier-coller ou taper manuellement .
Pratique : vos mots de passe sont organisés en 4 catégories : Identifiants, Cartes de paiement, Identité et Notes sécurisées. Vous avez également la possibilité de créer vos propres dossiers.
Le générateur de mot de passe
Il est là pour vous aider à utiliser des mots de passe forts et différents sur chacun de vos services. Une fois que vous aurez enregistré tous vos mots de passe dans Bitwarden, je vous conseille de chercher les plus faibles et les doublons. Remplacez-les par des mots de passe générés aléatoirement de 15 à 20 caractères. Rappelez-vous que vous n’aurez pas à les retenir, puisque votre coffre-fort le fera pour vous. Les réglages du générateur de mot de passe vous permettront de vous aligner avec les critères des différents services. Malheureusement tous les sites n’autorisent pas forcément les mots de passe long ou certains caractères spéciaux.
Bonus : pour vérifier si l’un de vos identifiants a été compromis lors d’une fuite de données passée, utilisez le site : HaveIBeenPwned. Il sera alors urgent de remplacer votre mot de passe sur tous les services correspondant à cet identifiant.
Une autre option intéressante du générateur de mots de passe est la possibilité de créer des phrases de passe. Il s’agit de mots de passe longs mais facilement mémorisables, comme Correct-Horse-Battery-Staple. Pour cela il faudra changer le type Mot de passe par Phrase de passe dans les options. Je vous encourage à utiliser cette option pour les mots de passe que vous souhaitez vraiment retenir par cœur, comme votre mot de passe principal de Bitwarden par exemple !
Partager ses mots de passe
Ce titre peut sembler étrange, mais il est parfois nécessaire de communiquer un mot de passe à une autre personne. Par exemple si vous utilisez le même accès à un service que votre conjoint, ou un collègue qui travaille sur le même projet. Pour cela Bitwarden propose un système assez bien pensé de partage au sein de l’outil : vous créez une Organisation dans laquelle les personnes que vous inviterez verront les éléments que vous partagerez avec cette organisation. Cela permet à chaque utilisateur du groupe d’avoir son propre coffre-fort personnel et un coffre-fort partagé avec les autres membres. Il est possible de gérer plus finement quel utilisateur accède à quel mot de passe en les répartissant dans des Collections.
Attention, le partage avec une seule autre personne est gratuit, mais il faudra payer pour bénéficier d’une organisation avec davantage de participants.
Pour les plus exigeants
On peut regretter que Bitwarden ne propose pas à l’heure actuelle d’option dite « d’héritage » comme certains de ses concurrents. Cette option donne accès au coffre-fort à un héritier en cas de décès du propriétaire. Vous pouvez quand même anticiper cette situation pour le moins inconfortable en partageant une note sécurisée dans une Organisation avec un proche. Cette note expliquant la marche à suivre pour déverrouiller votre propre coffre-fort.
Si vous souhaitez stocker beaucoup de documents dans votre coffre-fort, gérer une Organisation plus importante, obtenir des statistiques sur vos mots de passe ou ce genre de petits bonus, il faudra vous tourner vers la version payante. Plusieurs options s’offrent à vous à partir de 1€ par mois, tous les détails sont expliqués sur la page Princing du site de Bitwarden.
Quel avenir pour le mot de passe ?
Ce que j’espère (peut-être que vous aussi), c’est qu’à l’avenir nous n’ayons plus besoin de mot de passe. Nous serions reconnus automatiquement et de manière fiable. Nos accès seraient alors ouverts sans devoir saisir de code. Nous nous en approchons grâce aux technologies de reconnaissance faciale ou vocale, d’empreinte digitale et autres données biométriques. Mais actuellement, ces facilités d’accès ne servent qu’à « masquer » le mot de passe qui se cache derrière et que vous avez établi à l’avance. Rendez-vous dans un avenir que j’espère proche, où les accès seront gérés d’une nouvelle manière et où cet article deviendra obsolète !
2 Replies to “Oubliez tous vos mots de passe (sauf un) !”
Toujours très difficile de faire confiance à une solution pour ses mots de passes mais les outils proposés sont vraiment tops !
Bonjour Cyril, effectivement il convient de rester prudent et de garder en tête qu’une faille est toujours possible, surtout pour un service cloud.
Pour ceux qui se sentent techniquement capable de le mettre en place, il est possible d’autohéberger son propre cloud Bitwarden, et ainsi de se prémunir d’une fuite qui surviendrait sur le serveur officiel (voir https://github.com/bitwarden/server).