L'ANSSI a donné le feu vert il y a quelques temps à KeePass, ayant obtenu la certification de sécurité de 1er niveau.
Le logiciel est également en phase d'audit pour l'Union Européenne, dans le cadre du programme EU-FOSSA.
Si vous hésitiez pour choisir votre gestionnaire de mot de passe, voici donc des arguments qui devraient vous convaincre, d'autant plus que les actualités récentes ont montré que les autres solutions ont toujours des problèmes majeurs, comme l'a montré Tavis Ormandy récemment, expert en sécurité chez Google, qui dévoile régulièrement des failles de sécurité.
Si vous n'utilisez pas encore de gestionnaire, et que vous réutilisez le même set de mots de passe pour 15000 sites web, vous savez déjà, j'espère, que ce n'est pas la meilleure manière de procéder.
Si ce n'est pas encore le cas, dites-vous qu'il suffit d'une unique fuite de vos identifiants par un seul site web compromis (et cela arrive régulièrement, pas étonnant quand on voit la sécurité mise en place par certains) pour que des gens malintentionnés se mettent à les tester sur tout un tas d'autres sites. On arrive donc très rapidement à trouver des couples de login/mot de passe qui fonctionnent sur plusieurs sites qui n'ont rien à voir entre eux.
Je vois encore, même dans le milieu professionnel, beaucoup trop de mots de passe écrits sur des bouts de papier, ou parfois dans des fichiers Excel, bien entendu sur des disques durs non chiffrés, sinon ça ne serait pas drôle !
Mais la question qui se pose, c'est : que vous faut-il pour vous pousser à passer le pas ?
KeePass permet en l'espace de quelques minutes de commencer à diversifier ses mots de passe. Il vous suffit de créer un coffre-fort initial (qui se présente sous la forme d'un fichier chiffré) avec un mot de passe central, d'installer l'application sur vos différents appareils et voilà que vous vous mettrez à générer des mots de passe de 64 caractères sur tous les sites que vous croiserez !
Jusque là, rien de surprenant. Mais allons plus loin, pour quelques minutes de plus vous aurez un système sécurisé réellement digne de ce nom.
Il est en effet préférable de ne pas protéger seulement par un mot de passe ce coffre-fort, privilégiez en prime l'utilisation d'une clé de sécurité, qui se stockera sous la forme d'un fichier plat sur vos appareils. Ainsi, un attaquant qui récupère votre coffre-fort seul ne pourra pas bruteforcer en rentrant des milliards de mot de passe, et si votre clé secrète est divulguée, elle ne suffira pas non plus à ouvrir le coffre : le mot de passe central, lui, sera stocké uniquement dans votre mémoire, connu de vous seul.
Une autre astuce consiste à considérer les "questions secrètes" que proposent certains sites comme des entrées de mot de passe classique. Il est tentant de rentrer le nom de jeune fille de sa mère dans ce champ, comme suggéré, mais il est très, très facile de trouver la réponse à force de social engineering, et parfois même par de simples recherches Google.
Si néanmoins vous êtes amenés à répondre à cette question secrète par téléphone, je vous souhaite bon courage pour dicter les 64 caractères alpha-numériques que vous aurez générés avec KeePass ; mais cela est une bonne punition pour les systèmes qui utilisent encore cette solution comme sécurité "ultime" - et malheureusement un peu pour vous aussi.
Le dernier comportement à adopter, c'est de diversifier également vos logins. Si vous recevez aujourd'hui du spam sur une de vos boîtes (j'imagine que peu de gens n'en ont qu'une seule aujourd'hui), savez-vous dire quel est le site qui a revendu votre adresse sur le marché noir ? Pour aller plus loin dans la démarche, vous pouvez, si vous avez par exemple une adresse Gmail, créer un nouvel alias pour chaque site web. Votre e-mail [email protected]
deviendra [email protected]
pour votre compte Reddit, et les mails seront automatiquement redirigés, de manière transparente, sur votre boite Gmail.
Dans mon cas, j'utilise donc KeePass avec un coffre-fort à distance (en self-hosting). Sur mon ordinateur, KeePass récupère donc le coffre via un point de montage SSHFS, et sur mon mobile Android, c'est l'application KeePass2Android qui s'en charge, via une URL en HTTPS. Les plus avisés me diront "mais, en HTTP tu ne peux pas écrire dans le coffre !" - c'est vrai, j'aurai bien aimé récupérer le coffre par un accès SSH, mais l'application ne supporte pas encore l'authentification par clé publique, seulement par couple login/mot de passe. La proposition a été fait sur CodePlex, mais elle commence déjà à dater ! Vous pouvez toujours, en attendant, synchroniser votre coffre avec Dropbox.
Pour compléter cela, n'oubliez pas d'activer systématiquement le MFA lorsque celui-ci est disponible, si possible en privilégiant les tokens ne nécessitant pas de connexion réseau, plutôt que les SMS. Authy répondra notamment à ce besoin.
Enfin, pour votre sécurité bancaire, même si vous avez un mot de passe très fort sur les sites marchands, n'utilisez jamais votre carte bancaire réelle : pensez systématiquement aux cartes virtuelles, à usage unique. Et si votre banque ne vous propose pas cette solution, vous pouvez la quitter, ou bien utiliser Orange Cash, ou encore Revolut.