Depuis les années 2000-2010, avec l'avènement dans le grand public d'Internet et des réseaux sociaux, nous avons vu de plus en plus de plateformes en ligne demander la création d'un compte pour avoir accès à la plateforme. De ce fait, nous donnions des informations personnelles pour améliorer les recommandations et faciliter le déroulé de certaines actions comme des commandes en ligne par exemple. Bien pratique que le site Web se souvienne de mon moyen de paiement et d'où j'habite quand je commande à de multiples reprises, n'est-ce pas ? Et de toute manière, ces données sont cachées derrière mon mot de passe, je ne crains rien.
Et bien, pas totalement. Bien que le mot de passe soit un système de sécurité plutôt fiable sur le papier, il l'est seulement si l'utilisateur se prête au jeu de la robustesse. Et souvent ce n'est pas le cas : au début on met un mot de passe unique de 12 caractères, une lettre majuscule et minuscule, puis un caractère spécial. Puis vient le moment de créer un second compte, puis un troisième. Et là, le problème se fait ressentir, très vite on choisit de mettre le même mot de passe partout et d'utiliser des mots de passe simples pour ne presque pas avoir à les retenir.
Voyant le problème grandir chez les utilisateurs, des entreprises ont proposé un service de gestionnaire de mots de passe à leurs clients. De ce fait, du moment qu'ils étaient sur un appareil connecté à leur compte, Google ou Apple par exemple, et bien les mots de passe étaient saisis automatiquement par l'appareil. Ainsi, notre appareil gère pour nous la multitude de comptes en ligne que nous utilisons quotidiennement.
⚠️ Le problème de la centralisation : Voilà ! Solution trouvée pour résoudre le problème des mots de passe. Et bien non, malheureusement le problème vient justement de la centralisation de tous ces mots de passe. Tous les mots de passe de tous les utilisateurs sont dans un seul système commun ; ils sont chiffrés, mais la clé de décryptage fait elle aussi partie de ce réseau, rendant malheureusement ce système très vulnérable.
En effet, pour des pirates, ce système est très intéressant : s'ils arrivent à forcer l'entrée d'une seule base de données, ils pourront récupérer des données de milliers d'utilisateurs et ainsi de leurs centaines de comptes respectifs contenant un ensemble de données personnelles et sensibles.
📊 Chiffres clés : La CNIL a souligné en 2024 que près de 80 % des violations de données massives étaient dues à l'usurpation de comptes protégés uniquement par un mot de passe, y compris ceux gérés par des outils en ligne. Cela a poussé les autorités à recommander l'adoption systématique de l'authentification multifacteur, même pour les gestionnaires de mots de passe.
Alors, quelle est la solution ? Comment garantir que mes données sensibles restent sous mon contrôle ?
Il n'existe pas de solution pour garantir la pérennité de vos données, par contre vous pouvez faire en sorte de les protéger bien plus efficacement, et ce très facilement. Tout d'abord, il faut comprendre comment fonctionne le chiffrement de vos mots de passe. Tout commence avec vos mots de passe en clair qui sont convertis en chiffres qui sont ensuite factorisés en nombres premiers, et ce jusqu'à avoir un nombre de solutions presque infini. De cette façon, retrouver le nombre d'origine sans indice est impossible ; cet indice, c'est la clé de décryptage. Cette clé, justement, pour faciliter l'utilisation aux personnes ne s'y connaissant pas, est stockée et gérée par l'entreprise derrière le gestionnaire de mots de passe.
En sachant cela, deux solutions nous viennent à l'esprit. La première, dans un premier temps, est de demander à détenir cette clé vous-même, que vous stockerez vous, et dans le cas d'une fuite de la base de données du gestionnaire de mots de passe, vous serez plus serein étant donné que les pirates n'auront que des mots de passe chiffrés vous concernant.
Le deuxième moyen est encore plus radical, moins robuste mais plus discret. Et si vous hébergiez votre gestionnaire de mots de passe directement chez vous, en local sur l'une de vos machines, et que vous choisissiez de stocker la clé loin du réseau, et bien vous ne craindriez presque plus aucune fuite. Concrètement, votre gestionnaire de mots de passe disposera forcément de moins de sécurité que s'il était sur des serveurs d'une multinationale, par contre il se fera aussi bien moins remarquer. Pour des pirates, pirater une base de données d'une organisation semble évident et garantit un grand nombre de données, alors que vous pirater vous, c'est bien plus spécifique et moins rentable en termes de données.
Voici notre sélection de gestionnaire de mots de passe selon vos besoins
1Password
C'est un logiciel simple d'utilisation qui propose des solutions de partage simple et une application mobile très fiable. Cependant c'est une solution propriétaire et donc ne permet pas l'hébergement depuis chez soi. En revanche la clé n'est présente que sur votre appareil, elle est générée localement sur votre appareil lors de la création de votre compte. Cette clé n'est jamais envoyée à 1Password et reste stockée uniquement sur vos appareils.
Bitwarden
C'est un logiciel open-source et qui permet cette fois l'auto-hébergement, étant open source elle dispose d'améliorations régulières. Cependant il existe une version payante avec stockage sur le cloud et pour autant l'application mobile est souvent critiquée. Pareil ici vous êtes le seul à posséder la clé de décryptage.
KeePass
Enfin KeePass, c'est aussi un logiciel open-source mais cette fois beaucoup plus poussé vers l'indépendance totale. Tout est en local, vous détenez tous les paramètres de chiffrement et de déchiffrement. Par contre évidemment c'est un système beaucoup plus compliqué à mettre en place, il nécessite donc une certaine connaissance du sujet.