Aujourd’hui nous allons parler sécurité et plus précisément de mot de passe. À notre époque nous utilisons des mots pour la quasi-totalité des services, que ce soit pour payer nos impôts en ligne, nous connecter, pour consulter nos mails, notre Twitter et autre. Dans cet article nous allons voir les bonnes pratiques pour vos mots de passe et comment les gérer facilement avec Bitwarden. Sachez que je n’ai aucune affiliation avec l’équipe Bitwarden dont je vais vous parler et donc que je vous donnerai mes avis et impression sans la moindre influence de leur part.
Mais un mot de passe c’est quoi?
Alors oui vous connaissez déjà la réponse, le mot de passe est la clé qui vous permet de prouver en plus de votre mail ou pseudo votre identité lors de votre connexion sur une plateforme. Mais le mot de passe est aussi votre pire ennemi s’il n’est pas élaboré en respectant ces quelques règles (tirées de la page officielle de l’ANSSI):
- Utilisez un mot de passe unique pour chaque service. En particulier, l’utilisation d’un même mot de passe entre sa messagerie professionnelle et sa messagerie personnelle est impérativement à proscrire ;
- Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.) ;
- Ne demandez jamais à un tiers de générer pour vous un mot de passe ;
- Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent ;
- Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ;
- Ne stockez pas les mots de passe dans un fichier sur un poste informatique, particulièrement exposé au risque (exemple : en ligne sur Internet), encore moins sur un papier facilement accessible ;
- Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;
- Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.
Pourquoi toutes ces règles?
Tout simplement pour limiter le plus possible les risques de piratage. Voici un petit exemple :
Jeanine a 71 ans et se connecte tous les jours sur son compte Facebook pour consulter les photos de son petit-fils « Nicolas », son mot de passe Facebook est Nicolas1950. Le problème c’est que son mot de passe n’est pas sûr. En effet en quelques « clics » sur son profil Facebook on peut retrouver son âge et donc son année de naissance. Une personne mal intentionnée peut également trouver très facilement que Jeanine a souhaité bon anniversaire à son petit-fils. Elle peut donc rapidement en quelques tentatives trouver le mot de passe de notre petite mamie adorée. C’est la première erreur: Jeanine a choisi un mot de passe en lien avec elle.
La personne mal intentionnée est maintenant connectée sur le compte Facebook de Jeanine et peut donc faire pas mal de manips en se faisant passer pour Jeanine, mais aussi y trouver son adresse mail. Et vu qu’elle trouvait trop compliqué de créer plusieurs mots de passe, elle a utilisé le même mot de passe pour son mail et son compte Facebook. Notre voleur peut donc accéder à son mail c’est la deuxième grosse erreur.
Car avec l’accès à l’adresse mail de mamie le voleur va pouvoir en un simple coup d’œil voir les sites auxquels elle s’est inscrite et faire une simple demande de « mot de passe oublié » pour pouvoir accéder à ces autres sites internet.
Et sachez que même si Jeanine avait rajouté un @ ou un * à la fin du mot de passe, la personne mal intentionnée l’aurait trouvé aussi, car c’est la base.
Avec une liste en rapport avec les choses que vous aimez et en utilisant quelques outils gratuits disponibles très facilement sur la toile, même votre voisin peut trouver votre mot de passe.
Je vous invite à tester UNE VARIANTE et pas votre vrai mot de passe sur ce site: https://howsecureismypassword.net/ ça peut déjà vous aider à identifier si votre mot de passe peut être trouvé rapidement ou non.
Comment éviter de se retrouver comme Mamie Jeanine?
Le mieux est déjà de respecter les règles citées ci-dessus, mais on arrive vite à saturation. Il devient vite compliqué de gérer autant de mots de passe complexes et différents sans perdre la boule. C’est pourquoi il est intéressant de se tourner vers une solution logicielle.
Il existe de nombreux gestionnaires de mot de passe en ligne et les géants du Web s’y mettent, que ce soient Google, Kaspersky et j’en passe. Parmi les plus connus, on retrouve Dashlane et 1password, il existe aussi des logiciels de gestion de mots de passe locaux comme par exemple Keepass. Ces services ont tous des avantages et inconvénients. Le service en ligne, lui, stocke vos données on ne sait pas trop où, et vu tout ce que l’on entend sur les GAFAM, avec vos données qui sont trimballées de gauche à droite ça ne donne pas trop envie de leur confier. D’autant plus que quand vous stockez vos mots de passe dans un navigateur comme Google Chrome, ceux-ci sont accessibles dès le moment où votre ordinateur est allumé… Pour les solutions dites locales comme Keepass, là au moins les données sont en votre possession, mais attention il faut bien faire les backups sinon votre disque dur lâche et vous êtes fichu.
Présentation de Bitwarden
J’ai essayé pas mal de gestionnaires et l’un d’entre eux a particulièrement retenu mon attention, Bitwarden.
Bitwarden est un gestionnaire de mots de passe Open Source, ce qui veut dire que son code source est consultable par tous. Cela permet de trouver rapidement des failles, de les corriger, et de proposer des améliorations. C’est un avantage par rapport à la plupart des concurrents qui eux éditent des programmes propriétaire et dont le code source n’est pas consultable. Si un Hacker trouve une faille, il peut se passer des mois avant que l’éditeur de logiciels la trouve et la corrige ce qui comporte donc plus de risques.
Bitwarden est disponible sur la plupart des plateformes (PC, Mac, Linux, AppStore et Playstore…) et peut également être intégré à votre navigateur internet. Quelle que soit votre plateforme, vous pouvez générer et stocker des mots de passe complexes. Voici un petit exemple de mot de passe généré depuis l’extension Chrome de Bitwarden.
Dans cette fenêtre on peut choisir plusieurs critères comme la longueur du mot de passe et les différents types de caractères à utiliser. Je vous recommande d’utiliser tous les types et une longueur d’au moins 12 caractères.
Admettez que [email protected]^#UzEFW est bien plus complexe que Nicolas1950.
Quelques captures d’écran
Cliquez sur une image pour l’agrandir.
Le mot de passe maître
Lors de la création de votre compte Bitwarden, vous allez devoir choisir un mot de passe. Je vous conseille de choisir un mot de passe fort avec des majuscules, minuscules, symboles et d’une longueur d’au moins 12 caractères. Car si quelqu’un trouve votre mot de passe maître il aura alors accès à tous les mots de passe stockés sur votre coffre.
Mais l’avantage c’est que vous n’aurez plus qu’un mot de passe à retenir. Veillez à ne pas le perdre sinon vous n’aurez plus accès à votre compte. Car pour garantir une sécurité irréprochable il n’est pas possible de faire un « mot de passe oublié » sur Bitwarden. Vous êtes donc prévenu.
Le stockage chiffré
Tous les mots de passe stockés dans Bitwarden sont chiffrés, c’est-à-dire que personne pas même Bitwarden n’a accès au contenu de votre compte. La combinaison de votre mail+motdepasse est utilisée pour générer une clé de chiffrement, que vous seul avez en votre possession vu que vous êtes le seul à connaître le mot de passe.
Les principales fonctionnalités de Bitwarden
- Stockage chiffré de vos mots de passe
- Génération de mots de passe
- Saisie automatique des identifiants via l’extension de navigateur pour vous connecter rapidement à un site internet
- Bitwarden Send: un moyen fiable de partager des informations en toute sécurité directement avec n’importe qui.
Il existe trois plans chez Bitwarden, le gratuit (Free Organisation), le Teams Organisation et l’Entreprise Organisation. Mais si vous êtes un particulier, l’édition gratuite vous suffira, c’est le plan gratuit que j’utilise moi-même. Ce plan vous permet de stocker et gérer vos mots de passe, créer une organisation et y partager vos mots de passe avec uniquement un deuxième compte, celui de votre moitié par exemple.
Fonctionnalités:
- Gratuit pour toujours
- Partage pour 2 utilisateurs
- Limite de 2 collections
- Articles partagés illimités
Et si on ne veut pas stocker nos données chez Bitwarden
Je vous vois venir. Je vous dis plus haut que je trouve les solutions de stockage en ligne peu fiable et je vous parle de l’une d’entre elle. Mais sachez que je ne vous ai pas tout dit. Il est possible d’héberger soi-même un serveur Bitwarden. Et là, vous commencez à comprendre pourquoi c’est la solution que je recommande.
En effet vous pouvez gratuitement héberger un serveur Bitwarden chez vous sur un PC via docker. J’ai d’ailleurs fait une vidéo expliquant comment le mettre en place sur Linux:
Installer un serveur Bitwarden sur Linux (Debian & Ubuntu)
Le serveur « auto-hébergé » offre les mêmes fonctionnalités que le plan gratuit hormis le partage entre 2 comptes.
Conclusion
Dans cet article nous aurons vu en bref pourquoi il est très important de choisir des mots de passe forts, mais aussi qu’il est possible d’utiliser des solutions pour gérer facilement vos mots de passe.
Concernant Bitwarden je n’ai malheureusement pas pu vous montrer tout ce qu’il est possible de faire avec, mais je vous recommande de créer un compte et de le tester par vous-même. C’est ce que j’ai fait il y a un an déjà et je ne le regrette pas.
N’hésitez pas à me dire ce que vous en pensez en commentaire.
