Format de rechange : Conseils de sécurité sur les gestionnaires de mots de passe (ITSAP.30.025) (PDF, 1.12 Mo)
Il peut être difficile de tenter d’utiliser différents mots de passe complexes pour chaque site Web, compte et application. À force d’être surchargé de mots de passe, vous pourriez devenir imprudent. Peut-être consignez-vous tous vos mots de passe par écrit ou utilisez-vous toujours le même mot de passe facile à retenir? Vous pouvez avoir recours à un gestionnaire de mots de passe pour vous aider à créer, stocker et retenir vos mots de passe.
Ainsi, vous n’aurez pas à retenir des dizaines de mots de passe. Les gestionnaires de mots de passe favorisent l’utilisation de mots de passe complexes et dissuadent les utilisateurs de recycler les mêmes mots de passe. Quoiqu’ils offrent de nombreux avantages, ces outils exposent néanmoins les renseignements des utilisateurs à certains risques que nous expliqueront dans le présent document.
Un gestionnaire de mots de passe sert de coffre-fort dans lequel sont stockés les noms d’utilisateur et les mots de passe associés à divers sites Web, applications et services. Leur conception, leurs caractéristiques et leurs vulnérabilités sont uniques. Il existe deux types de gestionnaires de mots de passe : les gestionnaires en ligne et les gestionnaires autonomes.
Différence entre un gestionnaire de mots de passe en ligne et de mots de passe autonome
Les gestionnaires de mots de passe en ligne sont commodes, puisqu’ils sont intégrés à votre navigateur Web et ne vous obligent pas à vous souvenir d’un long mot de passe principal. Ils ont recours à la fonction « se souvenir de moi » lorsque vous ouvrez une session dans un site Web. Cette fonction constitue cependant une vulnérabilité lorsqu’un autre utilisateur a accès à l’appareil. De plus, comme les gestionnaires de mots de passe en ligne ne synchronisent pas toujours les données d’un appareil à l’autre, vous devez vous souvenir de vos mots de passe lorsque vous ouvrez une session à partir d’un autre appareil. Sans compter que vous devez garder votre navigateur à jour pour assurer une sécurité optimale.
Pour utiliser un gestionnaire de mots de passe autonome, il faut d’abord installer un logiciel localement ou dans le nuage et créer un compte pour accéder au service. En général, ces outils sont plus sécurisés que leurs équivalents en ligne puisqu’ils permettent d’utiliser un mot de passe principal complexe et, habituellement, d’avoir recours à l’authentification à deux facteurs. Ils sont également dotés de fonctions avancées, comme des alertes qui signalent la compromission d’un site Web ou relèvent des mots de passe faibles. Ils vous permettent aussi de synchroniser les mots de passe entre vos appareils.
Peu importe le type de gestionnaire de mots de passe que vous choisissez, nous vous recommandons, dans la mesure du possible, d’avoir recours à une authentification à deux facteurs.
Considérations liées à la sécurité
Les gestionnaires de mots de passe sont des cibles de choix puisqu’ils représentent, en somme, un guichet unique. Quoiqu’ils offrent de nombreux avantages, notamment en vous aidant à gérer votre surcharge de mots de passe, ils comportent certains risques; le plus important étant la compromission de tous vos comptes en même temps. Advenant la compromission de votre gestionnaire de mots de passe, tous les mots de passe associés à vos comptes qui y sont stockés seraient exposés. Si vous choisissez d’enregistrer les mots de passe de vos comptes sensibles (comme votre compte bancaire en ligne), le niveau de risque auquel vous vous exposez s’élèvera en conséquence. Nous vous recommandons d’évaluer l’importance des comptes pour lesquels vous envisagez d’utiliser un gestionnaire de mots de passe et de prendre toutes les précautions possibles si vous décidez de vous en servir.
Il faut évaluer de nombreuses considérations liées à la sécurité avant d’utiliser un gestionnaire de mots de passe. Des auteurs de menace peuvent s’attaquer à votre gestionnaire de mots de passe de plusieurs façons. Entre autres, un auteur de menace peut tenter d’obtenir votre mot de passe principal en menant une attaque par force brute. Si vous devez écrire votre mot de passe principal sur papier, assurez-vous de l’entreposer convenablement (comme dans un coffre verrouillé) et de restreindre le nombre de personnes qui y ont accès.
Authentification à deux facteurs
Pour ajouter une couche de sécurité supplémentaire, nous vous recommandons d’utiliser un gestionnaire de mots de passe qui fait appel à l’authentification à deux facteurs.
Comme les menaces sont de plus en plus sophistiquées (pensons aux attaques par hameçonnage ou à l’enregistrement de la frappe), votre mot de passe principal peut facilement être piraté. C’est pourquoi deux méthodes d’authentification, soit un élément que vous connaissez et un élément que vous possédez (comme un mot de passe et un jeton, ou un mot de passe et une empreinte digitale), valent mieux qu’une pour assurer la sécurité de vos mots de passe. Par exemple, l’authentification à deux facteurs peut exiger un code supplémentaire pour ouvrir une session dans un compte. Ce code peut être transmis par courriel ou au moyen d’un appel téléphonique automatisé.
Les solutions à deux facteurs ne s’équivalent pas toutes, mais elles amélioreront à tous coups votre posture de cybersécurité générale.
Conseils sur l’utilisation d’un gestionnaire de mots de passe
- Utilisez un gestionnaire de mots de passe qui :
- prend en charge l’authentification à deux facteurs;
- vous invite à changer vos vieux mots de passe;
- signale les mots de passe faibles ou recyclés;
- stocke des liens Web légitimes et vous avise des sites Web compromis;
- s’intègre à votre téléphone, votre ordinateur, votre tablette et vos autres appareils.
- Installez régulièrement les mises à jour du gestionnaire de mots de passe;
- Utilisez un gestionnaire de mots de passe uniquement pour générer vos propres mots de passe;
- Évitez d’utiliser le même mot de passe pour différents sites Web;
- N’enregistrez pas les mots de passe de vos comptes sensibles (comme votre compte bancaire ou votre compte courriel);
- Ne divulguez pas votre mot de passe principal;
- Établissez un plan pour récupérer vos mots de passe si jamais vous perdiez accès au gestionnaire de mots de passe à la suite d’une panne d’ordinateur.