Mots de passe : on vous aide à choisir le gestionnaire qu'il vous faut
Par Vincent Hermann
le jeudi 06 octobre 2016
Ces dernières semaines, nous avons analysé certains gestionnaires de mots de passe parmi les plus utilisés. Nous vous proposons maintenant un point global, en les comparant selon les critères qui peuvent vous aider dans votre choix.
D’abord, pourquoi utiliser un gestionnaire de mots de passe ? Il ne s’agit évidemment pas d’une obligation. En fait, l’immense majorité des utilisateurs s’en passe. Il permet cependant de répondre à des problématiques qui peuvent paraître simples, mais qui surchargent rapidement de responsabilité toute personne désireuse de faire attention à la sécurité de ses comptes en ligne.
Un mot de passe est confronté globalement à deux problèmes majeurs : son degré de force et sa réutilisation (voir notre analyse). Une bonne sécurité en dépend. Un bon mot de passe est long, complexe, n’utilise pas de séquence évidente (mots du dictionnaire, dates, noms, etc.) et pioche dans les majuscules, minuscules, chiffres et caractères spéciaux. Quant à la réutilisation, elle favorise le piratage en série des comptes : si des pirates trouvent votre mot de passe, ils pourront s’en servir sur d’autres services.
Créer un mot de passe fort pour chaque site devient vite éprouvant. C’est ici que les gestionnaires entrent en piste, d’autant que beaucoup proposent une intégration directe dans le navigateur. L’utilisateur peut générer des mots de passe forts de manière aléatoire, en un clic, une extension le connectant automatiquement quand il revient sur le site.
Quant à choisir le gestionnaire qu’il vous faut, disons-le tout de suite : il s’agit d’une question de besoins. La majorité font un bon travail, mais se distinguent par des qualités et des défauts plus ou moins marqués. Les quatre que nous avons analysés sont loin d’être les seuls disponibles sur le marché (n'hésistez d'ailleurs pas à partager vos découvertes dans les commentaires).
Mais ils fournissent un échantillon représentatif des points que nous allons aborder : l’interface et l’ergonomie, la génération et la gestion des mots de passe, le modèle économique, les fonctions supplémentaires ou encore le degré d’intégration aux systèmes d'exploitation et aux autres applications.
Interface et prise en main : des critères pas si optionnels
L’interface, l’ergonomie, la facilité de prise en main ont longtemps été les parents pauvres de la conception logicielle. Ce sont pourtant ces réalisations qui déterminent l’efficacité d’utilisation, qui font qu’un utilisateur pourra utiliser aisément une solution. La « courbe d’apprentissage » d’une application peut faire toute la différence.
C’est encore plus vrai dans un domaine qui, par nature, peut en rebuter plus d’un. Autant le dire : gérer ses mots de passe ne fait rêver personne. Il ne s’agit pas ici d’un jeu ou même de n’importe quel autre logiciel qui revêtirait un aspect ludique. Pour de nombreux utilisateurs, un mot de passe est pénible à générer et à retenir. Réduire les frictions lors de l’apprentissage a donc du sens.
Dans le cas des gestionnaires, les solutions étudiées passent par à peu près toutes les écoles. L’une se détache cependant du lot : Dashlane. Comme nous l’avions indiqué dans notre article, les concepteurs français du logiciel ont apporté un soin particulier à la conception de l’interface, ce qui rejaillit de plusieurs manières, et pas uniquement sur la simplicité d’utilisation.
En fait, en termes de prise en main, Dashlane et LastPass sont relativement proches, tant les fonctions centrales sont les mêmes et servies par une disposition semblable. Là où Dashlane se détache vraiment, c’est sur sa manière de propulser en avant certaines informations. Le panneau ouvert par défaut dans le logiciel est un bilan de sécurité aux signalétiques claires : du vert quand tout va bien, du jaune quand une situation est à inspecter, du rouge quand il y a un danger.
On pourrait s’étendre longuement sur l’ergonomie et l’expérience utilisateur, mais Dashlane réussit un tour de force qui n’existe pas chez les solutions concurrentes : donner « envie » de changer ses mots de passe. Pour chaque identifiant dangereux ainsi remplacé par les bons soins du gestionnaire, l’utilisateur peut voir un score de sécurité augmenter, sous forme de pourcentage. Un aspect ludique, justement, quand tant d’autres solutions hurlent à l’utilisateur que la sécurité est une affaire sérieuse. Elle l’est, assurément, mais elle n’a pas besoin d’être rébarbative pour autant.
Attention tout de même : en termes d’interface, il existe une bonne part de subjectivité. Chacun a son idée de ce que doit être une interface idéale, surtout quand des solutions sont proches, comme Dashlane et LastPass. 1Password, pour les utilisateurs de Mac, peut ainsi être préféré parce qu’il ressemble largement plus à un logiciel macOS classique, en respectant les canons posés par Apple. KeePass, au contraire, pourrait convenir à ceux qui aiment des conceptions plus « old school » et détestent qu’on les prenne trop par la main.
Génération et sécurité des mots de passe : le cœur de métier
Si l’interface peut faire débat, la génération des mots de passe est un point central. Il s’agit même de la fonctionnalité principale qu’on attend d’un gestionnaire, avec son enregistrement pour être consulté en cas de besoin.
Ici, aucun logiciel ne pèche vraiment. Tous proposent par défaut une longueur de mot de passe allant de 8 à 12 caractères, piochant au moins dans les majuscules, minuscules et les chiffres. Tous proposent d’ajouter des caractères spéciaux et des options plus ou moins fines. L’une des plus courantes, non recommandée mais pouvant être utile, permet de rendre le mot de passe prononçable, ce qui fait inévitablement chuter son niveau de protection.
On aurait aimé – et cet avis est général – que les mots de passe créés par défaut soient plus longs, par exemple 16 caractères. Les spéciaux devraient être cochés également. Notez tout de même que modifier les réglages du générateur permet de les retenir pour les prochaines créations de mots de passe, ce qui évite d’avoir à refaire la manipulation. Par ailleurs, les choix par défaut sont là pour des questions de compatibilité, même si le nombre de sites limitant drastiquement le nombre de caractères a beaucoup baissé. Plutôt que de devoir augmenter manuellement la taille du mot, on aurait aimé devoir la diminuer ponctuellement pour un vieux site récalcitrant.
Dans ce domaine néanmoins, un logiciel permet d’aller plus loin que les autres : KeePass. Les options de configuration sont plus nombreuses et – fonctionnalité unique – il permet d’ajouter de l’entropie aux mots de passe par des mouvements de souris au sein d’une zone prévue à cet effet. Il permet aussi de dériver un nouveau mot de passe à partir de l'actuel, en un clic, une fonction très pratique pour leur renouvellement.
Bilans et alertes de sécurité : des informations proactives
Par bilan de sécurité, on entend un panneau dans lequel on retrouve une synthèse générale de la sécurité des mots de passe. Ce type d’information est pratique pour savoir d’un coup d’œil si des identifiants réclament une attention immédiate.
Sur les quatre solutions que nous avons testées, seules deux proposent cette fonctionnalité : Dashlane et LastPass. Le premier prend la tête dans ce domaine, pour les mêmes raisons que celles évoquées dans le chapitre sur l’interface : les informations sont claires et disponibles dès l’ouverture du client. Dans le cas de LastPass, il faut aller chercher spécifiquement le « Challenge sécurité », qui va ouvrir un onglet et lancer une analyse.
Les alertes de sécurité sont encore plus importantes. Il s’agit de notifications prévenant l’utilisateur que l’un des services pour lequel il possède des identifiants a été attaqué, occasionnant une fuite de données. Ces alertes permettent d’attirer immédiatement l’attention sur la mesure à prendre, qui sera de toute façon toujours la même : changer le mot de passe.
1Password, Dashlane et LastPass proposent tous les trois cette fonctionnalité, seul KeePass faisant l’impasse. Un écart qui n’est pas étonnant, puisque les trois premiers sont liés à un compte, permettant à l’éditeur correspondant d’envoyer une notification. KeePass, solution « statique », est centrée sur la gestion locale des mots de passe et n’est pas lié à un service quelconque.
Gestion du mot de passe maître : pas de solution miracle en cas de perte
Tous les gestionnaires ont pour mission essentielle de stocker les mots de passe en vue de leur réutilisation plus tard. Cette fonctionnalité est protégée par un mot de passe central qui doit être particulièrement fort. En théorie, il doit s’agir du seul qu’il faut vraiment retenir puisque les autres peuvent être consultés à l’envi.
La gestion de ce mot de passe principal est cruciale. Toutes les solutions permettent de le changer, à condition d’avoir l’ancien. On notera une exception : KeePass. Le mot de passe maître peut être modifié autant de fois que nécessaire, sans demander l’ancien. Cependant, on peut verrouiller l’interface à n’importe quel moment par la combinaison Ctrl + L ou définir dans les options un verrouillage automatique au bout d’un temps donné (une fonction que l’on retrouve partout ailleurs).
Une règle est valable dans tous les cas : il ne faut jamais perdre le mot de passe maître. Il n’existe pas de fonction de récupération, même si des logiciels comme Dashlane permettent de définir des indices en cas de souci. Mais que ce soit pour ce dernier ou les autres, le mot de passe n’est connu que de l’utilisateur. Dashlane, LastPass et 1Password, qui fonctionnent pourtant sur la base de comptes synchronisés, indiquent tous qu’il n’est jamais stocké sur leurs serveurs.
Notez que plusieurs gestionnaires peuvent ou doivent fonctionner avec un fichier spécifique. Pour KeePass, le choix appartient à l'utilisateur. Pour 1Password, il s'agit d'une étape obligatoire. Ce fichier est réclamé notamment pour toute opération sur le mot de passe maître. Attention donc à ne pas l'égarer (il est lui-même chiffré).
L'intégration dans le quotidien
Il s’agit d’un point crucial, mais sur lequel tout le monde n’a pas les mêmes attentes. On parle surtout ici de l’intégration dans le navigateur, mais elle peut aller plus loin, particulièrement sur les applications mobiles.
1Password, Dashlane, LassPass proposent tous les trois des extensions pour s’intégrer dans le navigateur. Chrome et Firefox sont toujours supportés puisqu’il s’agit des deux les plus courants. Internet Explorer ne propose pas d’architecture pour des extensions, et Edge n’est pour l’instant compatible qu’avec LastPass. Pour KeePass, il faut passer par sa liste d'extensions.
Le fonctionnement de l’extension est à peu près toujours le même. On retrouve la génération des mots de passe quand c’est nécessaire : soit manuellement, soit automatiquement quand elle détecte un formulaire d’inscription. En cas de retour sur un site web dont le gestionnaire possède les identifiants, l’extension pourra les pré-remplir. Si plusieurs comptes sont disponibles, le dernier compte est proposé automatiquement, avec une petite case permettant de basculer de l’un vers l’autre. Évidemment, dans le cas d’une machine partagée, on procèdera avec prudence.
Notez qu’un gestionnaire de mots de passe peut retenir des données n’ayant aucun rapport avec des sites web. L’extension est là pour se charger de cette partie, mais que se passe-t-il pour de simples logiciels par exemple ? Pas de miracle ici, il faudra copier-coller les caractères depuis le gestionnaire vers le champ idoine.
Sur les plateformes mobiles, la situation est très variable. Les applications possèdent en général un navigateur intégré qui permet d’ouvrir des sessions contrôlées. Certaines d’entre elles, notamment 1Password, possèdent des accords spécifiques entre éditeurs, ce qui permet aux applications correspondantes d’aller puiser directement des données. Mais ces cas restent sporadiques.
Fonctionnalités supplémentaires : chacun verra midi à sa porte
Les fonctionnalités supplémentaires peuvent faire la différence entre une solution et une autre. Le cœur des gestionnaires est en effet à peu près toujours le même, à l’exception de KeePass qui fonctionne davantage comme une base de données chiffrées.
On retrouve pourtant souvent les mêmes points : gestion des notes, cartes de visite, cartes bancaires, permis de conduire, codes Wi-Fi, pièces d’identité, assurances, clés SSH et ainsi de suite. L’affichage est à chaque fois adapté pour présenter au mieux les informations. Cependant, même dans ces fonctions, il existe de petites différences qui peuvent faire pencher la balance. Pour les données tierces, 1Password et LastPass peuvent ainsi stocker des pièces jointes, pratique par exemple quand on veut accompagner une carte d’identité d’une photo de cette dernière. Dashlane et KeePass, eux, ne le peuvent pas.
Toujours à l’exception de KeePass, ils proposent tous également des fonctions de partage. On peut ainsi mettre à disposition des mots de passe voire des dossiers complets en contenant plusieurs. Dans ce domaine, 1Password nous semble prendre l’avantage par la précision avec laquelle on peut définir les droits. L’éditeur propose d’ailleurs une offre spécifique, chaque membre de la famille pouvant obtenir un compte et un espace de stockage, l’administrateur de la famille définissant ensuite qui a le droit à quoi.
Dashlane et LastPass proposent pour leur part un contact d’urgence, qui aura accès sous certaines conditions aux mots de passe. Cette fonctionnalité peut se révéler pratique dans le cas d’un accident et de la nécessité d’obtenir certaines informations verrouillées. Là encore, c’est à l’utilisateur de décider comment ses données seront transmises, et à qui.
Modèle économique : la multiplication des abonnements
Ici, les situations sont très variables. KeePass est entièrement gratuit. C’est un projet open source que l’on récupère simplement depuis le site officiel, qu’on installe et dont on se sert tel quel. Ses extensions et applications tierces ne dépendent cependant pas des développeurs principaux.
Sur les solutions avec synchronisation en ligne testées, la plus accessible actuellement est LastPass, pour deux raisons. D’une part, tant qu’on se sert d’ordinateurs, la synchronisation gratuite des informations se fait sans limite de machines. Il n’y a qu’au passage sur une plateforme mobile qu’il faut basculer sur la formule Premium payante, disponible pour 12 dollars par an. Le nombre de smartphones et tablettes est illimité.
Dashlane est nettement plus onéreux, et également plus strict dans son modèle. L’utilisation n’est ainsi gratuite que si vous l’utilisez sur un seul ordinateur. Si vous souhaitez une synchronisation avec un autre appareil, fixe ou mobile, le compte Premium devient obligatoire, sans limitation dans le nombre. Mais Dashlane réclame tout de même 39,95 euros par an, ce qui en fait actuellement la solution grand public la plus chère.
Quant à 1Password, il fonctionne sur une base de tout ou rien. L’abonnement est disponible à 2,99 euros par mois et ouvre l’accès à toutes les applications pour l’ensemble des plateformes, sans limite sur le nombre d’appareils. Si l’utilisateur ne paye pas, il ne peut pas se servir de ce gestionnaire.
Là encore, la sélection est réduite, mais on retrouve souvent une séparation nette entre les solutions payantes proposant une synchronisation intégrée et les gratuites qui laissent l’utilisateur se « débrouiller ». La synchronisation peut se faire via des solutions tierces comme Dropbox et OneDrive, qui stockent alors le fichier chiffré contenant tous les mots de passe.
On notera tout de même que la plupart des solutions payantes recourent désormais à un abonnement. C’est à la fois une solution souple et pratique, dans la mesure où on peut l’arrêter quand on le souhaite et où elle permet des services supplémentaires. Cependant, il existe une vraie multiplication des abonnements dans tous les domaines, ce qui peut poser un problème évident à l’utilisateur qui en paye déjà un trop grand nombre.
Verdict : il faut définir ses priorités avant de décider
Le choix d’un gestionnaire n’est pas chose aisée. On pourrait continuer à lister dans le détail de nombreuses fonctionnalités, mais ce serait perdre de vue que dans la plupart des cas, les attributs sont presque toujours les mêmes.
Au risque d’enfoncer une porte ouverte, le gestionnaire doit répondre à vos attentes. Vos besoins doivent donc clairement être identifiés, et ce sont ces critères qui vous orienteront vers l’une ou l’autre de ces solutions. Il est cependant possible d’en mettre certaines au premier plan, en fonction des priorités.
Si vous souhaitez par exemple un gestionnaire qui soit simple d’utilisation et vous prenne autant que possible par la main, Dashlane semble être un bon compris. L’interface est claire et plaisante, tout en ayant le mérite de catapulter devant les yeux de l’utilisateurs les informations de synthèse sur la sécurité générale des mots de passe. Il s’agit cependant de la solution la plus chère.
Si vous utilisez avant tout un environnement Apple comprenant des Mac, des iPhone et des iPad, 1Password sera sans doute davantage taillé pour vous. Le gestionnaire profite d’une excellente intégration dans macOS et iOS, proposant même pour ce dernier divers liens avec des applications tierces, comme nous l’avions indiqué il y a quelques semaines.
LastPass apparaîtra comme un choix plus évident à ceux qui utilisent tout en ensemble d’appareils divers, formant un parc hétérogène. C’est la solution la plus polyvalente dans la mesure où on la retrouve sur pratiquement toutes les plateformes existantes. En outre, sa version gratuite peut être utilisée sur plusieurs ordinateurs en mode synchronisé. Le tarif assez « doux » de son abonnement (12 dollars par an) est également un argument.
Enfin, KeePass nous apparaît comme indétrônable sur le terrain de la sécurité « pure ». Davantage réservé à ceux qui connaissent déjà bien l’informatique et souhaitent en maîtriser tous les aspects, il permet d’aller plus loin que la concurrence. Il ne faut pas oublier non plus qu’il s’agit d’une solution open source et qu’il est le seul gestionnaire officiellement recommandé par l’ANSSI, qui a d’ailleurs certifié une de ses anciennes versions comme sûre. KeePass pourra en outre plaire pour son absence de compte et de synchronisation, assurant ainsi que les données ne transitent jamais par un tiers si vous ne le souhaitez pas. Quant à son interface parfois jugée trop austère, des solutions tierces comme KeeWeb devraient trouver preneur, même si on perd évidemment la certification au passage.
Collé à partir de <https://www.nextinpact.com/news/101627-mots-passe-on-vous-aide-a-choisir-gestionnaire-quil-vous-faut.htm>