Piratages des gestionnaires de mots de passe : comment s’en prémunir ?

Grâce à une solution toute simple.

Publié le

6 février 2023 à 13:45

Par

Pierre Otin

Au courant des dernières semaines, plusieurs gestionnaires de mot de passe de grande renommée ont déclaré avoir été victime de piratage. La première affaire a concernée LastPass. Selon son CEO, des pirates ont réussi à voler des informations confidentielles dans la base de données utilisateurs. Autre affaire, plus récente, concernant cette fois-ci Norton, l’une des sociétés phares en matière de sécurité informatique. Celle-ci a avoué avoir été pillée par des pirates, qui ont pioché dans les bases de données des utilisateurs de Norton Password Manager, le gestionnaire de mot de passe maison.

Tout ceci n’est pas rassurant, d’autant plus quand on est utilisateur régulier d’un tel programme de gestion de mot de passe. Sachant qu’en plus, celui-ci, bien souvent payant, contient généralement des informations extrêmement sensibles, comptes bancaires, cryptomonnaies, secrets professionnels, etc.

Une même faiblesse : le stockage en ligne

Il faut bien comprendre qu’une grande partie de ces services de gestion de mot de passe partage un même talon d’Achille : le stockage des coffres-forts des utilisateurs sur leurs propres serveurs. Quelle meilleure cible pour un pirate : un serveur rempli de données sensibles de milliers de personnes, à déchiffrer, certes, mais parfois sans grands efforts nécessaires. D’où l’intérêt, déjà, de choisir un mot de passe pour son gestionnaire le plus long et complexe possible.

Voilà en tout cas pourquoi, si vous voulez minimiser les chances de voir vos coordonnées bancaires fuiter dans la nature suite à une brèche de sécurité sur l’une ou l’autre plateforme, la solution est toute simple : héberger ses mots de passe en local.

Des alternatives plus sécurisées

Il existe des applications alternatives aux 1Password, LastPass et autres Dashlane, qui proposent tout autant de possibilités, mais qui permettent surtout de stocker le coffre-fort en local. Prenez le cas d’Enpass par exemple, mon application de gestion de mots de passe préférée. Elle offre plusieurs solutions pour synchroniser son coffre-fort entre un Mac et un iPhone : vous pouvez choisir plusieurs services cloud pour y placer votre fichier chiffré, Dropbox, Google Drive, Box, par exemple. Mais vous pouvez aussi choisir la fonctionnalité de synchronisation en local via Wi-Fi. Ainsi, aucune donnée n’est transmise sur un quelconque serveur tiers. Le transfert se fait entre votre Mac et votre iPhone en liaison directe.

Enpass sur iPhone © iPhon.fr

Autre solution alternative envisageable, l’utilisation d’un serveur maison. Enpass peut en effet synchroniser le coffre-fort via serveur WebDAV ou bien même NextCloud.

Enpass est disponible sur macOS et iOS. Et même si c’est selon moi l’un des meilleurs gestionnaires du marché, il ne s’agit pas de la seule solution permettant une synchronisation des coffres-forts sans passer par des serveurs tiers. En voici d’autres que l’on conseillera toujours plus qu’un 1Password, Lastpass, Dashlane ou service équivalent stockant les coffres-forts des utilisateurs sur des serveurs dédiés :

Et n’oubliez pas d’utiliser des mots de passe forts, complexes et surtout longs (au moins 25 caractères).

Enpass est disponible ici sur l’App Store

i-nfo.fr - App officielle iPhon.fr

Par : Keleops AG

4.4 / 5

562 avis

App Store

Pierre Otin

Rédacteur pour iPhon.fr, opérant parfois sous le pseudonyme de Snooz. Pierre est tel Indiana Jones, à la recherche de l'astuce iOS perdue. Également utilisateur Mac de longue date, les appareils Apple n'ont en somme pour lui aucun secret. Pour me contacter : pierre[a]iphon.fr

13 Commentaires

music2105

6 février 2023 à 17 h 20 min

Et que pensez-vous de « oneSafe »??

Répondre
- Grin.Cheux
  
  6 février 2023 à 18 h 28 min
  
  One Safe serait très bien s’il n’y avait pas une pratique commerciale désastreuse, à la limite de l’arnaque. Enfin, je ne vois pas autrement comment justifier qu’une mise à jour d’ « amélioration » désactive discrètement des fonctionnalités sur une version achetée pour inciter à acheter une nouvelle version de l’app….
  
  Répondre
krystof1978

6 février 2023 à 20 h 22 min

Est-ce que vous classeriez la solution d’Apple dans les mêmes rangs que les solutions mentionnées dans cet article ?

Répondre
- antipub
  
  6 février 2023 à 21 h 27 min
  
  Très bonne question
  
  Répondre
- Pierre Otin
  
  7 février 2023 à 9 h 41 min
  
  @krystof1978 : vous avez la possibilité d’utiliser le Trousseau d’Apple en local seulement. Autrement, le Trousseau est synchronisé via iCloud. À vous d’estimer les risques de voir Apple se faire pirater pour un accès aux trousseaux des utilisateurs. À titre personnel, je juge moins probable un piratage réussi d’iCloud d’Apple pour un accès aux trousseaux qu’un piratage réussi d’un service tiers dédié spécifiquement à la gestion des mots de passe.
  
  Répondre
  - Arduino
    
    7 février 2023 à 23 h 42 min
    
    Vous considérez qu’il est plus fiable de gérer et sécuriser un serveur maison ou fichier en local que de sous traiter ce service a des personnes dont c’est le métier ?
    Au passage les mot de passe ne sont pas stockés en clair sur ces serveurs, quand bien même un hacker y aurait eu accès, vous avez largement le temps de changer vos mots de passe.
    
    Répondre
    - Pierre Otin
      
      8 février 2023 à 9 h 37 min
      
      À votre première question : oui exactement. Mais avec Enpass, par exemple ou les autres alternatives citées, vous sous-traitez la gestion du coffre-fort (via l’application proposée) et en bonus, vos données restent en local. C’est bien le meilleur des deux mondes selon moi.
      
      Pour votre deuxième question : sauf qu’un grand nombre d’utilisateurs, pour leur mot de passe principal du coffre-fort, choisissent un mot de passe faible, forcé en quelques heures en force brute… En outre, il suffit qu’une faille soit détectée sur les serveurs tiers, dans la base de données des coffres-forts, par exemple, et c’est cuit pour le chiffrement de votre coffre-fort. Au moins en local, votre coffre-fort, même faiblement protégé (par un mot de passe court), reste beaucoup moins exposé, voire pas du tout exposé aux attaques à distance dans certains cas.
      
      Répondre
Perlimpinpin

6 février 2023 à 22 h 03 min

J’utilise Enpass depuis de nombreuses, achetée bien avant son passage à l’abonnement.

Excellente application. Mais même si c’est du stockage en local, il ne faut pas faire confiance ce genre d’application.

J’ai rajouté une couche de protection supplémentaire de manière à ce que les login et mot de passe ne servent à rien même s’ils venaient à tomber entre de mauvaises mains

Répondre
- Pierre Otin
  
  7 février 2023 à 9 h 39 min
  
  @ Perlimpinpin : “mais même si c’est du stockage en local, il ne faut pas faire confiance ce genre d’application.” Je ne vois pas non plus de raisons de sur-réagir. Pourquoi ne faudrait-il pas faire confiance à ce genre d’applications, même en local ?
  
  Répondre
antoine

6 février 2023 à 22 h 35 min

Pour ceux qui en ont besoin, j’ai créé il y a peu Haslo.me. C’est basé sur la référence,Keepass qui est recommandé par la CNIL et l’ANSIS. Disponible sur iOS et Android.

Répondre
bernie9517

7 février 2023 à 18 h 58 min

Personnellement j’utilise Keepass, sur Windows et iOS. C’est gratuit, opensource, recommandé par l’ANSIS et la CNIL, qui stocke les données en local (mais synchronisable sur n’importe quel service cloud supporté sur iOS) mais, bizarrement, absent de vos articles sur la question…

Répondre
- Pierre Otin
  
  8 février 2023 à 9 h 31 min
  
  Keepass est une bonne alternative également, mais je porte beaucoup d’importance à l’interface d’un logiciel et Keepass n’est pas le meilleur en la matière…
  
  Répondre
iGigo

13 février 2023 à 8 h 36 min

eWallet est une excellente application qui stock en local et utilise iCloud ou Dropbox pour synchroniser le fichier crypté entre plusieurs appareils.

Répondre