Casse tête des mots de passe : ma solution !
Article original, rédigé sans IA
Problématique
On ne se rend pas vraiment compte du nombre de mots de passe que l’on utilise. Certains très rarement, d’ailleurs…
Quand j’ai commencé à mettre mon nez dans mes mots de passe, je me suis rendu compte que j’avais plus d’un millier de comptes à droite à gauche, sur des sites x ou y, avec les mots de passe correspondants. 1485 mots de passe, exactement. Et bien sûr, comme beaucoup de gens, j’utilisais toujours le même mot de passe, pour simplifier. Ce qui est une catastrophe, en termes de sécurité.
J’utilisais une fonctionnalité de navigateur pour les garder au chaud. J’utilise essentiellement Firefox et ce dernier propose de stocker tes mots de passe pour ne pas avoir à t’en souvenir. C’est très bien. C’est pratique et de ce fait, on accumule des mots de passe sans s’en soucier.
La question que je me suis alors posé, c’est : Quid de la sécurité de ce système ?
Alors, j’ai creusé un peu la question.
Et je me suis rendu compte que les gestionnaires de mot de passe des navigateurs ne sont pas l’endroit le plus adapté pour stocker des données sensibles. On les appelle des gestionnaires, pas des coffre fort.
Et d’ailleurs, des failles de sécurité dans ces outils ont déjà été reportées, preuve de leur faillibilité.
Personnellement, ça ne me plaît pas trop que les codes d’accès à mon compte bancaire soient stockés dans un endroit non fiable.
Je me suis donc penché sérieusement sur ce problème et j’ai cherché une solution qui me convienne.
Ma solution
Les solutions les plus évidentes passent par un coffre fort numérique.
Étant donné ma grande réticence envers les acteurs majeurs du web, je me suis naturellement tourné vers les solutions OpenSource.
Dans ce domaine là, il n’y en a pas des centaines qui vaillent le détour et le seul qui tient le haut du pavé, c’est KeePass. Malgré son interface austère mais efficace, ce coffre fort est la Rolls des coffres-forts numérique.
Il permet de stocker ses mots de passe dans une base de données locale (donc déconnectée d’internet, donc peu de risque de fuite de données).
Bon, très bien.
Mais d’un point de vue pratique, me diras tu, le gestionnaire de mot de passe du navigateur, c’est quand même vachement bien : on n’a pas des tas de clics à faire pour remplir un formulaire d’authentification.
Et c’est bien vrai : c’est pratique.
Alors, KeePass propose des extensions (plugins) qui permettent de pallier ces petits soucis pratiques : remplir un formulaire, gérer l’authentification multi facteurs et bien d’autres, mais c’est vrai : c’est pas hyper pratique.
Et puis ma base est en local sur mon ordi ou mon téléphone, me rediras tu, alors comment je fais si j’ai besoin d’un mot de passe et que je suis sur un autre ordinateur ?
Hé oui, là encore, c’est un problème. Il existe des solutions pour synchroniser la base de données entre différentes machines, mais là encore, c’est compliqué à mettre en œuvre et c’est pas très pratique. En gros, on stocke la base de mot de passe sur un serveur cloud et les différents appareils vont lire ce fichier.
Oui, mais alors il faut le stocker sur un cloud sécurisé, me rerediras tu…
Et tu as tout à fait raison… A quoi bon éviter le gestionnaire de mot de passe des navigateurs du marché à cause de leur faillibilité si c’est pour introduire un nouvelle (et énorme) faille de sécurité en stockant ma base de mots de passe chez Google Drive, One Drive (Microsoft), DropBox ou tout autre passoire de données personnelles à l’éthique douteuse…
Personnellement, j’ai opté pour un vrai cloud sécurisé et respectueux des données personnelles et j’ai stocké ma base de mots de passe dessus. Ça fonctionne, c’est fiable et sécurisé, mais c’est pas très sexy ni très pratique. J’ai donc continuer à creuser la question…
Ma vrai solution
Il faut bien comprendre que ces recherches, analyses et tests s’étalent sur plusieurs années. Et pendant ce temps, les technologies évoluent, les marchés et les mentalités aussi.
A l’heure ou je suis arrivé à la solution de KeePass, la notion de coffre fort numérique était encore à ses balbutiements et aucun acteur sérieux en proposait sur le marché un coffre fort utilisable accessible en ligne.
Jusqu’à l’année dernière.
Pour confier mes mots de passe à une entité tierce, sur le cloud, il faut une confiance totale. Cela exclus naturellement les acteurs du GAFAM (Google Apple Facebook Amazon Microsoft) qui ont fait de nos données personnelles leur principale source de revenue, tout en nous incitant à penser qu’elles étaient en sécurité sur leurs serveurs. Et cela exclu également toutes les filiales ou les partenaires avec qui ils participent au marché de la data. Et ils ne reste plus grand monde à qui faire confiance…
Il en existe néanmoins.
Les critères de choix sont compliqués, parce qu’ils sont parfois contradictoires.
Par exemple, on veut éviter les entreprises très grosses et très connues, qui ont des millions de clients de par le monde, car ce sont elles qui sont privilégiés par le hackeurs…
Mais en même temps, on ne va peut-être pas confier des données sensibles à une toute nouvelle petite boîte, dans un pays inconnu…
Dilemme…
Ajoutez à cela la problématique de la législation qui peut varier selon le pays du fournisseur ou de la localisation de ses data center…
Pour envisager un peu la complexité des récentes lois sur la protection des données, vous pouvez lire cet article. Vous y verrez que ces lois sont aussi d’excellents chevaux de Troie pour permettre aux états d’accéder à vos données personnelles. Ça leur reste compliqué, mais c’est plus facile qu’avant…
J’ai quand même fini par trouver la perle rare qui coche toutes les cases de mes critères compliqués.
J’ai choisi un hébergeur pour mes mots de passe, qui combine un stockage en cloud sécurisé et crypté (eux même ne peuvent pas lire les données), qui propose des fonctionnalités rendant le quotidien de la gestion des mots de passe souple et fluide, qui stocke les données dans un pays souverain en matière de données personnelles, qui est accessible depuis un navigateur, une appli mobile, un plugin de navigateur… Et accessoirement, qui propose d’autres services.
Je n’écris pas cet article pour leur faire de la pub, alors je vous dévoilerai le nom de cet hébergeur seulement en fin d’article. Et sachez qu’il en existe d’autres (pas beaucoup, à vous de les trouver 😉 ).
On passe à la pratique
La première étape consiste à importer l’ensemble des mots de passe depuis l’ancienne application (KeePass dans mon cas), vers la nouvelle application. Celle ci permet d’importer depuis plusieurs formats, donc cette étape est facile et rapide.
Et ensuite, il faut faire un peu le tri. C’est facultatif, mais puisqu’on part sur une nouvelle gestion des mots de passe autant en profiter pour faire le ménage et partir sur de bonnes bases.
Le plus long aura été de changer les mots de passe… Hé oui : comme j’utilisais toujours le même, il me fallait pallier à cette énorme faille de sécurité. Donc après avoir fait le tri et être descendu à un peu plus de 200 mots de passe à gérer, je me suis mis au travail pour modifier les comptes concernés et changer le mot de passe.
A partir du moment où les mots de passe sont stockés dans un coffre fort numérique et où l’on n’a plus besoin de les retenir, on peut se lâcher sur la force du mot de passe. D’autant que la nouvelle application permet de générer des mots de passe tout seul, selon des caractéristiques prédéfinies.
Moi, j’ai choisi 20 caractères, majuscule, minuscule, chiffres et caractères spéciaux. Ça donne ça, par exemple : D&R0zVSypz6xR7Ph3@1R
Un mot de passe de cette force demande, d’après les récentes études, 42 quintillion d’années pour être craqué par un ordinateur.
Une fois ce travail fastidieux réalisé, le plus dur est fait.
« Un anneau pour les gouverner tous » (JRR Tolkien)
Il ne reste plus qu’à sécuriser TRES SERIEUSEMENT l’accès au nouveau coffre fort numérique.
Hé oui, les mots de passe sont dans le coffre fort, mais il faut fermer le coffre fort et bien verrouiller son accès, puisqu’il contient tout ce qui est essentiel.
Cette fois, j’ai choisi un mot de passe de 30 caractères, majuscule, minuscule, chiffres et caractères spéciaux. Ça demanderait trois cent décillions d’années à craquer…
L’important, pour ce mot de passe est de pouvoir le retenir facilement. On peut aussi choisir une pass phrase pour simplifier la mémorisation. J’en parle ici.
Mais cet accès doit absolument être à toute épreuve : c’est votre précieux, votre anneau unique qui va permettre d’accéder à tous vos mots de passe.
J’ai donc ajouté l’authentification à 2 facteurs à cet accès. J’en parle ici.
Et voilà, toutes ces expériences s’étendent sur plusieurs années, mais ce fut très instructif et ça n’est pas fini. La technologie continue d’évoluer. Donc il faut continuer à contrôler que les solutions que l’on a mis en place ne sont pas obsolètes. Surtout quand il s’agit de sécurité.
Ha oui, j’ai failli oublier. Vous voulez savoir qui j’ai choisi pour stocker mes mots de passe ?
C’est Proton, que j’utilise aussi pour le mail.
crédit photo : Anaïs Bajeux
axialdata, c’est un cabinet de conseils en systèmes d’information qui vise à remettre l’humain au centre du processus de décision et du process informatique.
En facilitant les tâches automatisables et en simplifiant au maximum l’accès aux données de l’entreprise. Objectifs : rationaliser l’informatique, simplifier le quotidien, gagner de temps, rester serein…
axialdata apporte des solutions sur différents type de projets : gestion de site internet, SEO, référencement, développement, déploiement, gestion de projets, analyse de données, interconnexion de bases des données, automatisation, rationalisation, audit, conseil, sécurité, formation, accompagnement…
#axialdata #consultant #informatique #entreprise