Gestionnaires de mots de passe : aperçu des meilleurs outils

Il peut être difficile de générer un mot de passe sécurisé. A l’aide d’un logiciel bien conçu, un hacker peut rapidement déchiffrer votre code et accéder à vos données les plus sensibles. Il est donc nécessaire de créer des combinaisons complexes formées de lettres de l’alphabet agencées au hasard, de chiffres et de caractères spéciaux, afin qu’elles soient difficiles à déchiffrer même pour des personnes disposant des meilleurs logiciels et hardwares. Si ces combinaisons sont difficiles à déchiffrer, elles sont également difficiles à retenir, surtout si vous utilisez de nombreux mots de passe en utilisant votre ordinateur. C’est pourquoi, un gestionnaire de mots de passe peut vous être utile.

Sommaire

Qu’est-ce qu’un gestionnaire de mot de passe ?
Pourquoi utiliser un gestionnaire de mot de passe ?
Quels gestionnaires de mots de passe existent ? Différences et évaluations
Aperçu des meilleurs gestionnaires de mots de passe
Comparaison des gestionnaires de mots de passe : récapitulatif des 5 outils
Pas de risque zéro…
Alternative fiable : élaborer son propre système de mots de passe

Qu’est-ce qu’un gestionnaire de mot de passe ?

Les gestionnaires de mots de passe sont des outils permettant d’enregistrer et de gérer les mots de passe et codes confidentiels sous forme chiffrées. Ainsi, ces applications facilitent considérablement le traitement des mots de passe qui vous sont nécessaires. En outre, bon nombre de programmes ne servent pas seulement de lieu de stockage, mais peuvent également générer des mots de passe sécurisés. Pour ce faire, les outils proposent des fonctions qui permettent de créer des mots de passe de manière aléatoire, ce qui vous évite d'avoir à vous creuser la tête pour formuler un mot de passe sûr et complexe.

Alors que la base de données du gestionnaire s’élargit à chaque nouveau mot de passe ajouté, il vous suffira d'un mot de passe maître pour vous connecter aux différents services. Les différentes combinaisons de connexion stockées sont non seulement protégées par ce code principal, mais aussi chiffrées à l'aide d'algorithmes divers. Les utilisateurs peuvent souvent sécuriser le mot de passe maître en tant que fichier clé sur une clé USB ou un autre support de stockage. Dans ce cas, vous devez toutefois travailler avec un autre mot de passe afin d'être suffisamment protégé en cas de perte.

Pourquoi utiliser un gestionnaire de mot de passe ?

Si des comptes bancaires, de messagerie ou de cloud computing sont facilement piratés, c’est généralement parce que les utilisateurs n’ont pas su choisir un mot de passe sécurisé pour se connecter et ainsi protéger leurs données privées. Trop souvent, des mots de passe tels que « 123456 » ou « motdepasse » rende le travail des hackers aussi facile qu’un jeu d’enfant. Une autre erreur qui peut rapidement devenir fatale est d'utiliser un même mot de passe à plusieurs reprises pour des raisons pratiques. On peut comprendre en effet que s’il n’est pas facile de créer des mots de passe compliqués, il est tout aussi ardu de les mémoriser et de les gérer.

Les outils de gestionnaire de mots de passe permettent de passer outre ces problèmes et constituent une aide indispensable pour tous ceux qui doivent régulièrement se connecter à un grand nombre de services en souhaitant minimiser les risques de se faire hacker. En chiffrant automatiquement les mots de passe et la base de données, les gestionnaires de mots de passe protègent vos données même si un attaquant est parvenu à accéder à votre système.

Quels gestionnaires de mots de passe existent ? Différences et évaluations

Les gestionnaires de mots de passe font partie des outils qui peuvent rendre vos activités quotidiennes sur le World Wide Web bien plus sûres. Si vous travaillez sur de nombreuses applications avec login et que vous traitez des informations confidentielles et sensibles, vous bénéficiez non seulement de la protection fournie par les programmes de sécurité, mais aussi de simplification dans les processus de connexion. Cependant, avant de pouvoir créer un système de mot de passe personnalisé, vous devez d'abord trouver un gestionnaire de mot de passe approprié. Mais c'est plus facile à dire qu'à faire compte tenu de l'énorme gamme de solutions à disposition, à la fois propriétaire et open source.

Afin de trouver le bon outil, vous devez tenir compte des critères d’exigence auxquels le logiciel doit répondre. Un facteur important est par exemple de savoir si le gestionnaire en question fonctionne exclusivement sur l'ordinateur local ou si vous voulez l'exécuter sur un périphérique étranger via un support de stockage mobile (par exemple une clé USB). Il est également important de savoir si le programme doit pouvoir ou non générer des mots de passe. Les outils de gestion diffèrent également dans leurs algorithmes. Bien entendu, vos propres préférences jouent un rôle important à cet égard mais assurez-vous toujours qu'une méthode de chiffrement à jour est utilisée.

Enfin, l'emplacement de la base de données relative aux mots de passe est un critère d'évaluation important. Certains programmes stockent automatiquement les mots de passe dans le Cloud, ce qui permet une disponibilité constante. Cependant, vous n'aurez un contrôle total sur vos propres mots de passe qu'avec des solutions qui permettent un stockage local, c’est-à-dire sur votre propre système.

Aperçu des meilleurs gestionnaires de mots de passe

Les critères de sélection mentionnés ci-dessus indiquent clairement qu'il est essentiel de s’informer au préalable sur les gestionnaires de mots de passe disponibles. Par exemple, si vous vous précipitez sur un programme propriétaire parce qu'il promet un chiffrement de pointe et que vous vous rendez compte par la suite qu’un stockage sur le Cloud ne vous convient pas, vous aurez déjà effectué des dépenses inutiles pour un outil qui n’est pas entièrement adapté à vos besoins. D'autre part, utiliser tête baissée un produit open source n'est pas sans risque : si vous avez des ennuis avec un fournisseur douteux, la sécurité de vos mots de passe peut rapidement être compromise...

Afin de vous aider à trouver un gestionnaire de mots de passe approprié, nous vous présentons ici quelques programmes intéressants en les comparant notamment sur des facteurs relatifs aux coûts, aux modèles de licence, à leur flexibilité et enfin à la multiplicité de leurs fonctions.

KeePass

KeePass est une solution open source fortement recommandée pour gérer ses mots de passe. Depuis son lancement en 2003 par Dominik Reichl, ce programme instauré sous licence GPL a été constamment amélioré, notamment grâce à une communauté très active. Aujourd’hui, il existe plus de 45 packs différents et de nombreux plugins qui permettent d’apporter de nouvelles fonctions à la version de base de KeePass.

Outre les versions officielles Windows, macOS et Linux , il existe des comptabilité aux systèmes d’exploitation mobiles, tel que Windows Phone (par exemple WinPass, WinKee, 7Pass), iOS (par exemple iKeePass, MiniKeePass, MyKeePass) et Android (par exemple KeePassDroid, KeePass2Android, KeepShare). Pour utiliser le gestionnaire de mots de passe, il est nécessaire de l’installer sur le système souhaité ou de rendre la solution mobile en le copiant sur une clé USB.

Interface utilisateur de KeyPass — Contrairement à d’autres solutions, le gestionnaire de mot de passe KeePass permet une authentification à deux facteurs.

KeePass permet de chiffrer toute la base de données instaurée pour les mots de passe. Est disponible à cet effet l'algorithme AES ou Twofish. L'algorithme de hachage SHA-256 est utilisé pour protéger les mots de passe individuels. En tant qu'utilisateur, vous avez trois options pour accéder à la base de données : un mot de passe maître classique, l'utilisation d'un compte Windows ou encore le fichier clé. La dernière option est la plus sure pour les développeurs. Cependant, il est nécessaire d’avoir le fichier clé toujours avec soi, par exemple sur une clé USB ou sur un CD. Une combinaison du mot de passe principal et du fichier clé est également possible. Par ailleurs, voici quelques-unes des autres fonctionnalités du gestionnaire de mot de passe :

Différents formats d’exportation tels que TXT, HTML, XML ou CSV ;
Plus de 35 formats d’importation ;
Catégorisation possible des mots de passe ;
Données sur la date de création, la dernière modification, le dernier accès et l'expiration des mots de passe ;
Fonction de filtres et de recherche.

KeePass convainc non seulement par ses nombreuses fonctions pour les bases de données, mais aussi par la possibilité de générer un mot de passe. Vous pouvez ainsi créer en quelques minutes des mots de passe sécurisés pour vos différents comptes. Dans les options, vous déterminerez la longueur du mot de passe à générer et les caractères spécifiques (lettres majuscules, minuscules, chiffres, tirets, etc.). Autrement, vous pouvez définir comme base un modèle ou votre algorithme propre.

Avantages	Inconvénients
Toutes les données sont stockées sur le même ordinateur.	Utilisation complexe de l’outil.
Permet l’authentification à deux facteurs.	Tous les plugins ne sont pas vérifiés par le développeur.
Nombreuses extensions de bon niveau.	KeePass permet d’avoir des mots de passe faibles dans sa configuration manuelle.

Password Safe (MATESO)

Sorti en 1998, le logiciel Password Safe est disponible en plusieurs éditions payantes, conçues principalement pour les PME et les grandes entreprises. Avec les versions « Standard » et « Professional », le développeur MATESO propose également pour les utilisateurs privés des packages plus petits, dont certains peuvent même être utilisés gratuitement dans un format réduit (« Personal Edition Free »). Selon les données du fabricant, plus de 10 000 entreprises dans le monde entier utilisent ce puissant gestionnaire de mots de passe. Le programme fonctionne sur tous les systèmes d’exploitation Microsoft actuels (à partir de Windows 7) et est également disponible en tant qu’application pour iOS, Windows Phone et Android. L’ensemble des packs payants de Password Safe permet d’utiliser l’outil par installation fixe ou sur clé USB.

Password Safe : Personal Free Edition — Afin de pouvoir bien visualiser toutes les entrées de la base de données du gestionnaire de mots de passe, Password Safe a établi un système de fichier clair et bien organisé.

Le fait que Password Safe soit un logiciel spécialement conçu pour des entreprises a rendu automatique les fonctions multi-utilisateurs qui sont généralement toujours disponibles dans les éditions professionnelles. Il s'agit entre autres de bases de données d'équipe centralisées pour lesquelles vous pouvez facilement contrôler les accès en fonction de rôles définis. De plus, la récupération du mot de passe n’est possible que si cela est justifié. La sécurité des bases de données et des mots de passe est assurée par le chiffrement AES-256 et RSA-4096 (pour les clés à long terme). La connexion à la base de données s’établit en saisissant un mot de passe maître ou à l’aide d’un fichier clé. A partir de l'offre Professional, vous pouvez également combiner les deux méthodes pour augmenter le niveau de sécurité. Voici un aperçu des autres fonctionnalités du gestionnaire de mots de passe :

Cloud possible grâce au chiffrement de bout en bout ;
Pare-feu des bases de données (Enterprise et Enterprise Plus uniquement) ;
Tableau de bord personnalisable ;
Fonctions intelligentes de recherche et de filtrage ;
Clavier virtuel pour protéger la frappe ;
Sauvegardes immédiates automatiques.

La version gratuite de Password Safe n’est pas conseillée si vous avez des besoins conséquents, car elle reste très limitée (par exemple, seulement 20 enregistrements de données peuvent être saisis). Néanmoins, il est déjà possible de générer de nouveaux mots de passe avec cette édition. Comparé à de nombreuses autres solutions, le gestionnaire exige que les mots de passe soient conformes à des règles prédéfinies ou auto-configurées.

Avantages	Inconvénients
Idéal pour travailler en équipe de manière sécurisée grâce à de nombreuses fonctionnalités multi-utilisateurs.	La base de données des mots de passe est stockée sur le serveur du fabricant.
Tableau de bord et design de l’interface personnalisables.	Edition gratuite très limitée.
Saisie automatique du mot de passe et clavier virtuel.

LastPass

L’outil de gestion de mots de passe LastPass, lancé en 2008, appartient désormais à la société américaine LogMeIn. LastPass est conçu pour stocker et gérer tous les mots de passe dont vous avez besoin pour vos activités en ligne usuelles. A cette fin, l'outil peut être utilisé soit via les navigateurs standards tels que Google Chrome, Firefox, Safari, Opera ou Microsoft Edge, soit intégré dans les barres d’outils des navigateurs Internet via une extension. Il existe également des variantes pour les navigateurs mobiles ainsi que les applications Windows Phone, Android et iOS. L'utilisation de l'application Web est gratuite, et pour un prix mensuel minime, vous pouvez acheter le pack premium (surtout pour les utilisateurs privés) ainsi que deux packs business qui permettent d’accéder à davantage de fonctions.

La base de données de mots de passe, appelée « Tresor » sur LastPass, est accessible à tout moment sur n'importe quel appareil, soit via le bouton de la barre de navigation, soit via l'application web. L'algorithme de chiffrement AES-256 et les fonctions de hachage (PBKDF2 SHA-256) protègent les mots de passe. Le chiffrement a toujours lieu au niveau de l'appareil, de sorte que le mot de passe maître et les clés d'encodage ou de décodage sont toujours stockés localement et ne sont pas envoyés aux serveurs LastPass. Vous pouvez également choisir parmi une variété de solutions d'authentification multi-niveaux, telles qu'un code SMS ou un composant matériel supplémentaire. Le Tresor Web se caractérise également par les spécificités suivantes:

Saisie automatique du mot de passe ;
Prise en charge de l’enregistrement des empreintes digitales ;
Récupération du mot de passe sécurisée ;
Synchronisation automatique avec tous les terminaux ;
Générateur de mot de passe intégré ;
1 Go de stockage de fichiers chiffré (à partir de l'édition Premium).

Les packs business pour entreprises permettent d’utiliser le gestionnaire de mot de passe par plusieurs utilisateurs. D'un côté, vous disposez donc d’outils d'administration centralisés pour gérer les différents accès des employés ; de l'autre, chaque collaborateur reçoit son propre mot de passe Tresor qu'il gère de manière autonome. Pour les grosses entreprises, l'abonnement Enterprise s’élevant à 4 dollars mensuel par utilisateur permet de configurer votre propre politique de sécurité et d’accéder à l'API du gestionnaire de mots de passe.

Avantages	Inconvénients
Chiffrement au niveau de l'appareil.	Les plugins des navigateurs ne fonctionnent pas toujours correctement.
Synchronisation automatique avec tous les périphériques.	Le générateur de mots de passe peut être amélioré.
Plugins disponibles pour tous les navigateurs courants.

1Password

En créant AgileBits 2006 qui visait à développer des produits Web innovants pour les entreprises, des entrepreneurs se sont vite rendu compte qu'ils avaient déjà la bonne idée avec leur outil interne de gestion de mots de passe et d’informations de formulaires. Ainsi, des millions d'utilisateurs ont utilisé le gestionnaire de mots de passe de l'entreprise, initialement du nom OS X Form pour finalement devenir 1Password. L'application payante est disponible pour les systèmes de bureau MacOs et Windows ainsi que pour les systèmes d'exploitation mobiles Android et iOS. Grâce aux extensions de navigateur pour Google Chrome, Opera, Firefox et Safari, vous pouvez également utiliser 1Password sur d’autres plateformes.

Les développeurs 1Password s'appuient sur le chiffrement de bout en bout (AES-256) : toutes les informations de contact et les mots de passe que vous importez dans le programme sont encodés avant qu'ils ne quittent vos appareils. Les clés pour le processus d'encodage sont constamment protégées par le mot de passe maître, qui est renforcé par une clé de sécurité 128 bits stockée localement. Vous recevrez automatiquement cette clé d'accès pour les serveurs du fournisseur après vous être connecté au gestionnaire de mots de passe. Même si des hackers réussissaient à avoir accès à ces serveurs qui sont hébergés sur Amazon Web Services (AWS) comme l'application Web elle-même, vos données restent chiffrées. Voici en outre quelques caractéristiques de 1Password :

Accès hors ligne possible ;
Synchronisation automatique avec tous les appareils utilisés ;
Evaluation automatique du niveau de sécurité de tous les mots de passe ;
Intégration facile des logins existants ;
Raccourcis personnalisables pour les connexions automatiques ;
Possibilité de regrouper les mots de passe (dossier ou système de balises) ;
1 Go d'espace de stockage pour les documents.

L'outil de gestion possède son propre générateur de mots de passe permettant ainsi de créer des combinaisons sécurisées. Des configurations peuvent être effectuées pour régler la longueur du mot, les possibilités de prononciation, ou simplement les chiffres et caractères spéciaux que vous souhaitez introduire. Le générateur peut également être utilisé pour créer de nouveaux mots de passe pour les comptes existants. Vous pouvez adopter différentes licences avec 1Password : les utilisateurs privés ont un choix assez confortable avec une version de base (pour une personne) ou un forfait familial (pour cinq personnes). Les entreprises ont le choix entre trois business plans, à savoir « Standard » (pour les petites équipes), « Pro » (pour les PME) et « Enterprise » (pour les grandes entreprises), qui présentent des fonctions diverses, comme une console d'administration, un contrôle d'accès avancé ou un gestionnaire de compte personnel.

Avantages	Inconvénients
Multiplateforme.	Interface utilisateur en anglais.
Extensions pour tous les navigateurs Web courants.	Aucune prise en charge d'authentification multifactorielle.
Possibilité d’enregistrer de manière détaillée des informations de compte.

Dashlane

En 2012, la société américaine Dashlane lance son outil propriétaire de gestion de mots de passe du même nom, qui est aujourd'hui l'une des solutions les plus réussies sur le marché. Après une période d'essai de 30 jours, vous pouvez soit utiliser le gestionnaire de mots de passe dans sa version gratuite, et donc avec des fonctionnalités limitées, soit le mettre à niveau vers une version premium. Pour les entreprises, vous aurez également la solution Business Edition qui permet une gestion par groupe, avec notamment une console de gestion centrale et un partage sécurisé des mots de passe. En plus des versions de bureau pour Windows et macOS ainsi que des applications pour iOS et Android, il est possible d’intégrer des plugins pour Chrome, Firefox, Safari, Opera et Edge.

L'interface utilisateur de Dashlane est essentiellement divisée en trois domaines : sous la rubrique « Password Manager », vous trouverez les mots de passe enregistrés (chiffrés AES-256). Le logiciel implémente automatiquement les données de connexion existantes. Le petit plus est l’option « Password Changer », qui permet de changer automatiquement un mot de passe pour tous les sites Web pris en charge ; Dashlane prend ainsi en compte la modification en se connectant aux différents sites. Vous pouvez également accéder au tableau de bord de sécurité et créer des notes personnelles protégées par mot de passe. Deuxièmement, sous la rubrique « Wallet », vous pourrez enregistrer vos coordonnées personnelles, vos reçus de paiement ou encore des copies de documents (par ex. carte d'identité ou permis de conduire). Enfin la section « Contacts » contient toutes les fonctionnalités dont vous avez besoin pour partager l'outil Password Manager. Voici par ailleurs d'autres caractéristiques intéressantes :

Remplissage automatique des formulaires et logins ;
Avertissements de sécurité pour les mots de passe non sécurisés ;
Catégorisation des mots de passe ;
Interfaces diverses pour l’importation de mots de passe (entre autres de navigateurs comme Chrome et Firefox, mais aussi d'autres outils comme KeePass, LastPass ou 1Password) ;
Export de données (format Excel ou CSV) ;
Historique.

Comme beaucoup d'autres gestionnaires, Dashlane dispose d'un générateur intégré qui produit des mots de passe de jusqu'à 28 caractères. Vous pouvez choisir d'utiliser ou non des lettres, des chiffres, des symboles, des majuscules et des minuscules. De plus, avec l’édition payante, les utilisateurs peuvent synchroniser les données saisies et les mots de passe sur l’ensemble des appareils afin d'avoir les nouvelles informations disponibles à tout moment. A noter également, Dashlane propose une authentification à deux facteurs dans ses packs payants : dans ce cas, le mot de passe maître est associé à une clé YubiKey U2F située sur un périphérique de stockage externe.

Avantages	Inconvénients
Interface utilisateur claire et agréable.	Une seule méthode d'authentification (authentification à deux facteurs) disponible et même pas une seule dans la version gratuite.
Plugins disponibles pour tous les navigateurs courants.	Windows Phone non pris en charge.
Avertissements de sécurité pour les mots de passe non sécurisés.

Comparaison des gestionnaires de mots de passe : récapitulatif des 5 outils

	Développeur	Date de sortie	Langue	Particularité
1Password	Agile Bits	2006	Anglais	Personnalisation de raccourcis pour les connexions automatiques
Dashlane	Dashlane	2012	Anglais	Alertes de sécurité et tableau de bord
KeePass	Dominik Reichl	2003	Français (pack linguistique)	Open-source
LastPass	LogMeIn	2008	Anglais	Prend en charge l’enregistrement par empreinte digitale
Password Safe	MATESO	1998	Anglais	Chiffrement RSA-4096 pour les clés à long terme

Pas de risque zéro…

Les gestionnaires de mots de passe sont des outils pratiques pour créer ou gérer des mots de passe complexes et sécurisés et donc intervenir là où la mémoire humaine fait défaut. Cependant, le fait que l’ensemble des mots de passe soit géré par un logiciel est également un désavantage. En effet, si vous perdez ou oubliez le mot de passe maître, la totalité de vos accès aux comptes est bloquée. En outre, vous dépendez toujours de la base de données créée, ce qui représente une contrainte supplémentaire. Et lors d’une installation locale, vous pouvez bénéficier du gestionnaire uniquement sur votre ordinateur personnel. En choisissant une solution mobile ou Cloud, les risques augmentent aussi bien évidemment. Aucune solution n’est fiable à 100%.

Alternative fiable : élaborer son propre système de mots de passe

Si vous ne souhaitez pas dépendre de programmes et bases de données, il ne vous reste qu’à vous appuyer sur votre mémoire et des moyens mnémotechniques. Une bonne option est donc de créer un système de mots de passe dans lequel vous modifiez un mot de passe maître sécurisé selon un schéma prédéfini et fonction du portail Web que vous souhaitez utiliser. Pour mémoriser un mot de passe maître, des astuces de mémorisation simples pourront vous aider.