Failles de sécurité dans les gestionnaires de mots de passe (1Password, Lastpass, Dashlane, KeePass)

Ca c’est un titre qui fait flipper, non ? Et en même temps, si vous n’avez pas encore été conquis par l’un de ces merveilleux logiciels, vous devez vous dire que vous avez rudement bien fait d’attendre, en fait ! Ahah, on ne vous la fait pas, à vous !

Eh bien non ! Pas du tout. C’est un titre accrocheur, certes, mais il est comme Canada Dry : on croit que c’en est, mais non. Et là, y’a pas à avoir peur du tout !
(pour ceux qui n’avaient pas encore l’âge de regarder la télévision au début des années 80 -voire qui n’étaient même pas encore conçus-, le rattrapage est là ; attention, ça pique un peu les yeux!)

Les médias spécialisés diffusent ce type de message depuis quelques jours. Ils font tous référence à l’étude d’ISE (Independent Security Evaluations) rendue publique le 19 février dernier. Elle démontre qu’il est possible de trouver dans la mémoire de votre ordinateur le mot de passe maître de votre gestionnaire de mots de passe en texte presque clair lorsque l’application est démarrée, même si le logiciel est actuellement verrouillé. Un logiciel malveillant pourrait y accéder et en extraire les éléments insuffisamment protégés.

Bon, ouf! L’étude ne remet au moins pas en cause le chiffrage des données enregistrées sur le disque pour l’ensemble des logiciels évalués, lorsqu’ils ne sont pas actifs : aucun piratage n’est à craindre pour le moment. Ca c’est fait.

Les journalistes semblent dire que les « gestionnaires de mots de passe sont faillibles et qu’on ne devrait pas leur faire confiance », voire qu’il vaudrait mieux « cesser de les utiliser ».

Mais il ne faut surtout pas y renoncer ! Les éditeurs des logiciels concernés ont communiqué officiellement.

En réalité, le débat est complètement ailleurs.

Si votre machine est compromise par un logiciel malveillant capable de lire l’intégralité de la mémoire, alors les pirates sont déjà si bien implantés que la confidentialité de votre gestionnaire de mots de passe est le dernier de vos soucis.

Tout d’abord, ce n’est pas leur rôle de protéger l’intégrité de votre machine ; les antivirus et les parefeux sont là pour ça. Et si eux n’ont pas pu effectuer leur travail de protection, il est difficile de le reprocher à un logiciel dont ce n’est pas la fonction.

Et même s’ils parviennent (ou parviendront surement -pour certains d’entre eux-) à mieux protéger l’accès à la mémoire qu’ils utilisent, ils n’ont aucun moyen de s’opposer à un simple enregistreur de frappe (keylogger). Si votre ordinateur est sous le contrôle d’un tel logiciel malveillant qui transmet à un pirate tout ce que vous faites au clavier, votre mot de passe maître sera également copié lors du déverrouillage de votre coffre. Que le virus ait accès à la mémoire de l’ordinateur ou non. Que votre gestionnaire de mots de passe protège et chiffre les mots de passe qu’il stocke de façon optimale ou non. Tout comme vos codes bancaires, les codes d’authentification à double facteurs que vous saisissez manuellement, les courriels ou les contrats confidentiels que vous rédigez, etc.

Lorsque les logiciels malveillants sont déjà implantés sur votre ordinateur, vous ne pouvez plus avoir confiance dans quoique ce soit, peu importe le logiciel que vous utilisez : votre machine est compromise, contaminée, non fiable.

Exactement comme les échantillons prélevés et qui sont analysés par les équipes NCIS : lorsque la scène de crime a été contaminée par un inspecteur qui ne portait pas ses gants, les résultats des analyses ne peuvent plus être fiables, ni crédibles, ni utilisés. Et le coupable s’en sort souvent avec un vice de forme (enfin, non, pas dans NCIS puisque c’est made in USA et donc c’est toujours les enquêteurs qui gagnent. Mais je digresse là, pardon!).


Maintenant vous comprenez qu’on a mal interprété les conclusions de l’étude d’ISE. Ca fiche un peu la trouille parce que la majorité des gens fait encore confiance aux médias. Pourtant, si vous connaissiez bien vos classiques, vous sauriez qu’on ne doit pas croire la radio ou les journaux. Lorsqu’il s’agit d’informatique ou de technologie, c’est encore bien trop souvent écrit par des non-spécialistes qui ne comprennent pas toujours de quoi il s’agit. Et tout le monde sait que la peur fait vendre. Bien plus que les nouvelles rassurantes ou constructives malheureusement.

Bon, ok, je vous l’accorde : je suis un peu extrémiste dans ma critique. Il y a beaucoup de bons reporters compétents (je vous invite par exemple à suivre @zackwhittaker, @campuscodi ou @briankrebs).

Mon message est : n’écoutez pas ceux qui vous disent que les gestionnaires de mots de passe c’est mal !

Cela reste des programmes et ils ont tous des défauts et des bugs qui seront corrigés au fil du temps, c’est vrai.

Mais utiliser un gestionnaire de mots de passe -même avec des défauts de sécurité- reste *infiniment* plus sage que d’avoir le même mot de passe partout.

Même un très mauvais gestionnaire de mots de passe est plus sage que d’avoir le même mot de passe partout.

Même un carnet dans lequel vous notez vos mots de passe et que vous conservez chez vous est une solution parfaitement acceptable, tant que chaque site a son propre mot de passe et que vous ne les réutilisez pas.

Et activez l’authentification à deux facteurs lorsqu’elle est disponible. C’est un peu (quoiqu’à peine un peu) plus contraignant mais la sécurité est conditionnée à ce petit (vraiment tout petit) effort. L’équilibre se trouve entre trop d’efforts et pas assez de sécurité.

Trop d’efforts et vous n’utiliserez pas la solution plus sûre. Pas assez de sécurité et vous ne serez pas assez protégé.

Le gestionnaire de mots de passe se trouve idéalement à mi-chemin.

Alors si vous n’avez pas encore fait le pas, c’est le moment ou jamais. Oui, là maintenant, Hop… les principaux sites sont juste là en dessous! Allez les essayer, trouvez celui qui vous convient le mieux et adoptez-le. Ensuite, parlez-en autour de vous et incitez vos proches et vos connaissances à suivre votre exemple. Racontez-leur comme ce tout petit logiciel a réellement changé votre vie (et il le fera, je vous le garantis), soulagé votre mémoire et fait disparaitre l’angoisse des cases « Saisissez votre mot de passe ».
Racontez-leur, et convainquez-les. Et faites passer.

C’est important. Et il faut agir maintenant.

https://1password.com/fr/

https://www.lastpass.com/fr

https://www.dashlane.com/

https://www.roboform.com/

https://keepass.info/index.html