Gestionnaires de mots de passe

Indice NDT

(N)iveau requis, de l’utilisateur à l’expert.
(D)ifficulté : Simple, Moyenne, Complexe.
(T)emps estimé pour la réalisation.

Utilisateur Technicien Expert
Niveau
Simple Moyenne Complexe
Difficulté
– d’une heure + de 5 heures 12 heures et +
Temps

OcM

Objectif de l’article.
Contexte de la réalisation.
Modalité de l’éxécution.

Objectif

Sensibilisation à la sécurité

Gérer ses identifiants mots de passe licences notes..; toutes mes données sensibles

Tour d’horizon de quelques solutions logicielles du marché fin 2018.

Selon des études récentes,  nous avons tous de 20 à 50  (beaucoup plus pour d’autres) identifiants de connexion : depuis notre session d’utilisation de smartphone, d’ordinateur ou de tablette, en passant par  l’identification auprès de notre fournisseur d’accès à Internet, jusqu’à l’Etat et nos impôts, sans oublier les services de messagerie, de réseaux sociaux, de forum etc…

Face à la répétition du principe d’identification nous développons tous nos stratégies...

  • le mot de passe unique... lors du hit parade des mots de passe… 123456 demeure encore en tête (sic)
  • le « tour de rôle » un jeu d’une dizaine de mots de passe qu’on fait tourner.. Passé la dizaine l’être humain sature et oublie…
  • le carnet à spirales ou l’album à post-it…. pas pratique en déplacement…
  • le générateur à chaque fois… génial ultra sécurisé… mais on s’en souvient comment ?…

Face à cette problématique les gestionnaires de mots de passe sont des solutions logicielles permettant de résoudre cela, en limitant la mémorisation d’un mot de passe ,clé unique, pour accéder aux autres couples identifiants et mots de passe.

Il en existe pléthores et même les GAFAM s’intéressent à cette problématique pour les intégrer dans leur OS et/ou services. Quelques exemples ici en fin 2018 sont comparés.

Préambule

Un rappel sur les principes de la sécurité informatique, les bases d’un gestionnaire de mots de passe, les fonctions et les contraintes de ce type d’application et les risques comparés entre «un mot de passe pour tous», «mes mots de passe sur mon cahier à spirales» et enfin le recours à un gestionnaire de mots de passe.

Il n’existe pas de sécurité fiable à 100%. Le maillon faible est l’humain :

  1. il manque de sérieux dans sa sécurité, en communiquant son mot de passe, ou en créant des combinaisons simplistes (date de naissance, prénom des enfants du chien du chat etc..)
  2. il créer les machines pour chiffrer / déchiffrer les mots de passe… Sauf à stopper l’évolution technique, il existera demain ou dans l’heure qui suit, la machine plus puissante pour déchiffrer les combinaisons possibles.

La double authentification via un numéro de téléphone ou e-mail, renforce le couple identifiant mot de passe….
Mais des cas de piratages existent, y compris avec ce type de protection.

Les reconnaissances biométriques sont intéressantes (palmaire savec TouchiD chez , visages chez Microsoft ou encore chez  avec FaceiD), mais c’est la clé USB chiffrée qui semble prometteuse associée à la génération d’un Token id via une calculette type SafeWord par exemple.

Ces différentes solutions sont liées à l’individu..;
en théorie. ..
C’est une clé qui, si elle n’est pas connectée, présente à/avec la machine, n’autorise pas l’authentification.

Rien n’est certain alors ? Si :

+ de connexions requises

= + de piratages potentiels

= + de sécurisations

= de liberté individuelle.

Plus on cherche à identifier l’individu, moins il a de liberté.

Les 5 bonnes règles pour un mot de passe

  1. une combinaison de lettres, chiffres, symboles , supérieure à 12 à 50 caractères. Un mot de passe très long est meilleur qu’un court mélangeant signes et chiffres.
  2. un mot de passe unique : s’interdire les réutilisations
  3. ne jamais écrire sur papier ou enregistrer (navigateur, logiciel tiers) le mot de passe ni le transmettre à un tiers ni à soi même par mail sms ou autre moyen non chiffré
  4. privilégier les doubles authentifications si elles sont proposées et/ou l’utilisation d’accessoire supplémentaires (calculette SafeWord, empreintes, clé USB de sécurité)
  5. changer le mot de passe régulièrement

– Ok, on fait tous ça ?
– bah non… Et en plus QUID demain pour mes héritiers pour accéder à mes espaces numériques…
– Ok pas mort ? juste paralysé alors …

Le recours à un logiciel gestionnaire de mots de passe est une hérésie en terme de sécurité… Mais…

moins, que d’utiliser un même mot de passe pour tous et/ou de tout noter dans un cahier papier… (vol, perte, incendie, statique)

Il faut évaluer le ratio bénéfice praticité versus réduction de risque.

Véritable coffre-fort, cette solution logicielle permet :

  • d’enregistrer un nouvel identifiant depuis un navigateur Internet
  • de générer un mot de passe selon différentes recettes
  • d’enregistrer des notes sécurisés, des licences logicielles…

Ce logiciel permet de disposer de mots passe variés, un seul et unique est à retenir : celui qui accède au coffre fort.

Pour faciliter l’accès sur différentes machines utilisées, soit je le dédouble sur chaque… mais il faut gérer les deltas entre coffres-forts… Soit on l’héberge et on synchronise sur les différentes machines.

  • hébergement centralisé type cloud iCloud, Dropbox, Gdrive, OneDrive ou cloud de l’éditeur (de plus en plus la solution proposée)
  • hébergement via son propre matériel (NAS)

Le logiciel doit être idéalement multiplateformes pour permettre d’utiliser le coffre-fort sur chaque machine différente du Pc au Mac, de l’iPhone IOS, à un smartphone Androïd.

Des solutions gratuites existent, mais elles manquent de :

  1. de sécurisation : il faut que l’éditeur soit confiant mais méfiant en testant lui même ou via des campagnes de bugbounty sa solution
  2. d’intégration : selon les systèmes, elle est parfois complexe et/ou onéreuse…(exemple sous IOS avant la version 12 09/208, seule une solution du marché était parfaitement intégrée à ce jour).

C’est extrêmement pratique et rassurant d’avoir cet outil. On n’oublie pas, on gère tout et on sécurise malgré tout ses accès.
Certes un RSSI s’arrache les cheveux en lisant cette assertion, mais il s’agit appréhender les avantages offerts par un coffre-fort y compris dans son partage versus l’utilisation de mots de passe simplistes et/ou répétés.

La plupart des éditeurs proposent leur hébergement ou la possibilité de garder en local son coffre fort. (ou de s’auto-héberger)
Face au risque de piratage chez ce fournisseur (ou chez soit) il faut savoir que :
le mot de passe unique, n’est connu QUE de l’utilisateur. C’est un avantage de sécurité (pas de stockage du mot de passe) mais un risque en cas d’oubli.. car personne ne vous aidera.

Certains proposent d’imprimer une clé de récupération à stocker chez soi…

Le chiffrage est en général fait sur le protocole AES 256 bits qui à ce jour est réputé inviolable…

Souvent ils proposent d’analyser les données et de présenter :

  • les mots de passe anciensqu’il va falloir changer
  • les mots de passe trop simplesqu’il va falloir changer
  • les trop fortes similitudes et/ou multiples utilisationsqu’il va falloir changer
  • si l’e-mail utilisée et le service associé ne sont pas corrompus (utilisation de services tiers comme Have I been pawned ? – me suis-je fait avoir)
  • des outils de recherche puissant pour plus facilement s’y retrouver
  • de créer plusieurs coffres, d’en partager durablement ou ponctuellement les données avec un tiers
  • d’ajouter des fichiers : un mail de confirmation, une facture associée avec une licence logicielle
  • intégrer l’iconographie selon les services ou marques de logiciel connus
  • ..

J’y met beaucoup… mais je n’y place pas mes cartes d’identité, sécurité sociale, comptes bancaires… Bref quelques petits items dont je peux me souvenir.

A chacun de voir.

J’utilise 1password depuis des années. Totalement satisfait malgré un prix élevé (64 € mais qu j’ai payé 50% lors d’une action promotionnelle via le MacAppSore). Plusieurs coffres synchronisés via un cloud connu (bien que je pourrais passer par mon NAS), il centralise mes licences logicielles, mes identifiants et parfois ceux de mes amis, ma famille ne disposant pas de solution centralisée et cela sur Mac comme sur iPhone et iPad. J’ai convaincu d’autres personnes à investir dans cette solution qui via le MAS représente au final 5 logiciels pour un coût unique. Depuis peu 1password évolue et transforme son offre logiciel en service. J’ai décide de regarder la concurrence et j’ai testé quelques solutions du marché. En voici la synthèse dans cet article.

Ci-dessous, les principaux risques associés aux cas d’utilisation :

  • sans logiciel (un mot de passe unique ou utilisation d’un cahier à spirales)
  • avec logiciel de gestion des mots de passe

Les niveaux les plus élevés des risques, concernent l’absence d’utilisation d’un gestionnaire de mot de passe, en revanche, l’utilisation d’une solution logicielle est un garant de sécurité supplémentaire contre le pishing.









Evenement
(P)

(C)

(R)

Remarque Plan de risque





Piratage d’un service

(un même mot de passe pour tous)		
5
5
25
Le pirate peut utiliser le mot de passe unique et accéder à d’autres services ! Vite changer le mot de passe avant qu’il ne soit trop tardTrop tard !







Voyage

(un même mot de passe pour tous)		
5
5
25
Utiliser ses identifiants sur une connexion d’hôtel ou publique est un risque majeur pour le vol de ses données.





Perte du cahier à spirales
4
5
20
En cas de vol, incendie ou perte du cahier à spirales… tout est perdu. Il faut refaire tous les identifiants… Si on se souvient au moins de ces derniers…





Voyage

(avec cahier à spirales)		
4
5
20
Sauf à se balader tout le temps avec… le risque est majeur.. Sinon on laisse à la maison… Et on accède plus aux services en déplacement…





Piratage d’un service

(cahier à spirale)		
5
4
20
1/ il faut que je le sache…

2/ il faut un accès à mon cahier à spirales..		





Pishing (faux site Internet m’invitant à me connecter)

(sans gestionnaire de mots de passe)		
4
4
16
On peut tous se faire avoir, on croit être au bon endroit et transmettre les informations qu’on aurait pas du…





Piratage du site hébergeant le coffre

(avec gestionnaire de mots de passe)		
4
3
12
Une brèche chez l’hébergeur n’implique pas que le coffre soit ouvert…

Un hébergement personnel réduit ce risque mais pas sa criticité.

Si c’est le business modèle de l’éditeur, on imagine son sérieux à gérer ce risque en amont.		





Piratage du coffre

(avec gestionnaire de mots de passe)		
2
5
10
Les technologies de cryptage utilisées (AES 256 bits) sont à ce jour réputées inviolables.





Perte de l’éditeur

(avec gestionnaire de mots de passe)		
2
5
10
Disposer d’un jeu de coffre en interne et la possibilité d’exporter ses informations. (la plupart le propose) assurent la pérennité des données.





Panne du serveur hébergeur

(avec gestionnaire de mots de passe)		
2
5
10
Un éditeur sérieux (et souvent payant) dispose de serveurs redondants. De plus un stockage en local est un atout supplémentaire (cf voyage/hors connexion)





Piratage d’un service

(avec gestionnaire de mots de passe)		
5
2
10
Sauf à avoir utiliser le même mot de passe pour plusieurs services, un seul est concerné et à changer. Possible information transmise par mon logiciel de gestion des mots de passe (services Watch Over ou hibp intégrés dans les logiciels)





Incapacité physique, décès

(un même mot de passe pour tous)		
5
2
10
Si le mot de passe est connu d’un tiers, l’accès est possible sinon il est perdu (RIP)





Incapacité physique, décès

(avec cahier à spirales)		
5
2
10
Le tiers héritier ou pas… accède à tout..; s’il sait où trouver le Saint Graale





Incapacité physique, décès

(avec gestionnaire de mots de passe)		
5
2
10
Si un tiers dispose du mot de passe, ou si une procédure de récupération existe ou bien encore si l’éditeur a prévu le rôle d’un mandataire (de plus en plus proposé par les ténors du marché), on accède au coffre-fort, sinon, il est perdu.





Perte mot de passe du coffre

(avec gestionnaire de mots de passe)		
1
5
5
On doit se souvenir à minima de ce mot de passe. Un indice est souvent associé, parfois une procédure de récupération est créée à l’initialisation du coffre-fort (document à stocker chez soi)





Perte du coffre fort en local

(avec gestionnaire de mots de passe)		
4
1
4
Sauf si stocké uniquement en local, la présence sur un service hébergé permet d’avoir accès à son coffre, y compris après un incident technique sur une ou plusieurs machines.





Voyage ou pas d’Internet sécurisé

(avec gestionnaire de mots de passe)		
3
1
3
Consultation en local du coffre-fort si l’éditeur le permet (la plupart).





Pishing (faux site Internet m’invitant à me connecter)

(avec gestionnaire de mots de passe)		
4
0
0
Quasi inexistant car le gestionnaire propose l’identifiant et le mot de passe seulement sur le site/service qu’il reconnait.






Les solutions comparées




7 solutions retenues selon leur maturité, ouverture, intégration et ergonomie avec pour tous :


    

  • extension navigateur disponible (de Safari à Chrome en passant par Firefox)
    • 

  • intégration IOS12 et Android
    • 

  • macOs et Windows
    • 

  • chiffrage en AES 256 bits
    • 



Certaines dépendent d’un abonnement d’autres sont en licences logicielles classiques avec hébergement local et/ou sur NAS.

Les principales fonctions sont comparées dans le tableau suivant. La note globale est un avis subjectif basé sur


    

  1. le type de licence et son prix
    2. 

  2. l’ergonomie
    3. 

  3. les services proposés
    4. 



Comparaison







1Password
LastPass
Dashlane
RememBear
BitWarden
EnPass
SafeInCloud




Type Licence
A & P
A
A
A
A
P
P




Prix
41 €/an / 69 €
27 €/an
40 €/an
33 €/an
10 €/an
11 €
7 €




Stockage
1 Go / perso
1 Go
1Go
perso
perso
perso
perso




Type Stockage




– Cloud Privé
oui
oui
oui

oui






– DropBox
oui




oui





– iCloud
oui




One Drive
One Drive




– Gdrive





oui
oui




– NAS (webdav)
oui



oui
oui
oui




– Local
oui


oui
non
oui
oui




Données stockées (en sus des identifiants et mots de passe)




– Notes
oui
oui
oui

oui
oui
oui




– Licences
oui
oui



oui
oui




– PJ associées
oui




oui
non




Sécurité et Récupération




Kit de récupération
oui
oui
oui








Tiers de confiance
oui
oui
oui








Partage de coffre
oui

oui








Itérations
oui




HIBP
oui
oui
oui








Double authentification
oui
oui
oui








Clé USB

oui
oui

oui






Changeur de Mot de Passe


oui








Accès WEB
oui
oui
oui

oui






Note Globale













Les ténors du marché


Habitué à 1Password depuis des années, je reste encore convaincu par cette solution qui me permet de stocker des tas d’informations y compris PDF et/ou e-mail associés à un compte ou une licence logicielle. J’adore le partage de coffre, situation idéale en famille ou en petit groupe de travail. En revanche j’ai du mal à me résoudre à une solution payante par abonnement et de perdre en sus la capacité d’hébergement de mes sésames..; je croise les doigts pour que l’éditeur persiste dans la double version…jusqu’à quand ??


Paradoxalement, la fonction exclusive de Dashlane, « changeur de mot de passe » est certes très pratique… mais pour moi,  un peu comme une voiture qui se gare seule.. ne me rassure pas…


Services et ergonomie impeccables pour 1password, Dashlane. LastPass m’a semblé un peu plus vieillotte.

Ces éditeurs sont dédiés sur ces services et font évoluer leur offre de manière régulière.


Les challengers


Remembear  édité par des anciens de 1Password, robuste et en devenir (aujourd’hui peu de services en sus du couple identifiant/mot de passe) est à suivre.


BitWarden est la seule solution opensource (pas gratuite) mais qui, via docker permet d’héberger sur son NAS son coffre-fort (seule solution compatible Linux avec son client dédié).


Enfin, EnPass et SafeinCloud sont des clones de 1password qui sont très abordables et m’ont impressionné eu égard à leur prix service/ergonomie/intégration.