Aujourd’hui, les gestionnaires de mots de passe sécurisés sont devenus indispensables. Voici un guide complet comparant les meilleurs gestionnaires actuels aussi appelés portefeuille numériques.
Que vous soyez un particulier ou une entreprise, adopter un gestionnaire de mots de passe sécurisé devient urgent. La raison ? Des mots de passe toujours plus nombreux et complexes ! En effet, il n’est plus question d’utiliser le même mot de passe sur plusieurs sites Internet : en cas de piratage, la situation serait alors catastrophique pour la victime…
Tout cela est à rapprocher des données statistiques actuelles : un internaute français possède en moyenne 200 comptes en ligne, un sur deux utilise le même mot de passe sur plusieurs services et 60% d’entre eux changent leurs mots de passe très rarement. Bref, rien de bien réjouissant pour ce point pourtant crucial.
C’est ici qu’interviennent les gestionnaires de mots de passe sécurisés. Il en existe 2 types, logiciels (à installer ou portable) et en ligne. Pour des raisons évidentes de sécurité, on préférera bien entendu la version locale, qu’il est même possible d’externaliser sur un clé USB. Quoi qu’il en soit, gardez bien en tête que la force de la passphrase qui protégera votre gestionnaire sera d’une importance capitale étant donné qu’en cas de vol de la précieuse base de données de mots de passe, ce sera le seul rempart contre le cracking. A ne pas négliger donc.
Gestionnaire de mots de passe sécurisé
Un gestionnaire de mot de passe permet de gérer en toute simplicité des centaines d’identifiants et même d’aller plus loin (annotations, liens, tri, recherche, saisie automatique, etc). De plus, la plupart embarquent un générateur de mots de passe sécurisés et un test de fiabilité. Ce système représente aussi une barrière face aux keyloggers et aux opérations de phishing.
Certains permettent une sauvegarde dans le Cloud ou même une synchronisation entre différents appareils, ce qui peut s’avérer très pratique entre les PC, tablettes et smartphones. D’autres acceptent une authentification forte à deux facteurs.
Tout le problème réside donc dans le choix de la solution idéale à adopter car les offres sont nombreuses et disposent toutes d’avantages et d’inconvénients.
Comparatif des gestionnaires de mots de passe
Il existe actuellement plusieurs solutions de coffre-fort à mots de passe : KeePass, Dashlane, LockSelf, Enpass, 1Password, Lastpass, SplashID ou encore PassPack. Pour les PME souhaitant des systèmes encore plus évolués, il existe aussi Password Manager Pro, Secret Server ou Roboform.
Notons que l’on n’inclut pas les gestionnaires de mots de passe sécurisés de plus ne plus présents au sein des solutions antivirus (parfois payants) tels que Kaspersky Password Manager, Norton Identity Safe, Trend Micro Password Manager, Avast Passwords, McAfee LiveSafe, Password Vault Manager, Bitdefender Password Manager, etc.
Voici un récapitulatif de ces services, certains gratuits voir même open source, d’autres payants et propriétaires.
KeePass
KeePass n’est pas forcément le gestionnaire de mots de passe le plus pratique mais il a de très gros avantages sécuritaires. En plus de proposer les fonctions basiques d’un coffre fort pour mots de passe, c’est à dire le stockage sécurisé via chiffrement AES-256 et Twofish, ce logiciel est open source et gratuit, tout en disposant d’un important catalogue de modules additionnels qui peuvent contribuer à ajouter des fonctionnalités pratiques intéressantes. KeePass a reçu une certification de sécurité de premier niveau par l’ANSSI.
La version portable est la plus utilisée, très pratique lorsque l’on veut l’embarquer dans une clé USB elle-même chiffrée par exemple. Bref, si vous avez des connaissances informatiques et que vous souhaitez avoir la main à 100% et un haut niveau de sécurité et de mobilité, c’est KeePass qu’il vous faut !
Avantages
- Ergonomie logicielle classique, facile à prendre en main
- Disponible en français (traduction téléchargeable sur le site officiel)
- Interopérabilité maximale (Windows, Windows Phone 7, Android, BlackBerry, iPhone, Linux et Mac OS X)
- Stockage de tous les types de mots de passe possible, non limité aux mots de passe traditionnels
- Logiciel cloisonné, indépendant du navigateur Web, meilleure garantie de sécurité
- Libre, open source et totalement gratuit
- Nombreux plugins existants (internes comme externes).
Inconvénients
- Cloisonné mais plugins existants (KeeFox pour Firefox et CKP pour Google Chrome)
- Interface manquant de modernité
- Aucune fonction additionnelle officielle, il faut faire confiance aux plugins des contributeurs
- Aucun accès distant de base, sauf ajout d’extension de synchronisation
LockSelf
LockSelf vient se frotter aux géants du secteur avec une solution sur mesure ! Là encore, ce service diffère de par sa cible : LockSelf est un gestionnaire sécurisé unique de données pour les entreprises de toutes tailles. Il s’agit de la seule solution permettant d’héberger ses mots de passe et identifiants en interne (mode on-premises), au sein même du réseau d’entreprise lorsque cette dernière dispose de ses propres serveurs. Bien entendu les produits de LockSelf sont également accessibles en SaaS (Public-Privé).
De plus, LockSelf propose une solution de gestion hiérarchique des accès, permettant de déléguer la gestion des mots de passe de chaque service de l’entreprise à son responsable.
Le mot d’ordre est la simplicité (déploiement, administration et utilisation) sans toutefois oublier la sécurité. A ce titre, le chiffrement AES 256 est utilisé. Avec des extensions pour les navigateurs Web et Outlook, ainsi que des applications mobiles Android et iOS, cette solution s’adaptera parfaitement à toute les sociétés, et ce, quelques soit la taille du parc utilisateurs.
Pouvant être également à destination des particuliers, le service est accessible gratuitement et de manière illimité.
Pour plus d’informations sur LockSelf, consultez l’article dédié.
Avantages
- Extensions disponibles pour Chrome et Firefox, Outlook. (+WebApp)
- 100% français
- Solution on-premises, cloud privé et cloud public
- Gestion hiérarchique des droits + Historisation des actions (logs)
- Proximité avec les clients (dev spé possible)
- Simple à déployer, simple à administrer et surtout, simple à utiliser
- Interface ergonomique, pratique et moderne
Inconvénients
- Obligation de créer un compte LockSelf
- Pas de client lourd à installer
- Logiciel propriétaire
- Seulement en Français, anglais (site, logiciel et appli)
Dashlane
Sérieux concurrent, ce logiciel français est néanmoins propriétaire, et propose une offre gratuite limité et une complète payante à 39.99€/an (et aussi une offre sur-mesure pour les entreprises). Très complet et avec une interface ultra-moderne et ergonomique, Dashlane s’impose comme l’un des leaders du gestionnaire de mots de passe actuel.
Le niveau de chiffrement est identique à KeePass, à savoir l’utilisation de l’algorithme AES-256 mais le logiciel ne se contente pas de gérer vos mots de passe: il est aussi capable de remplir automatiquement n’importe quel formulaire en ligne, que cela soit sur un ordinateur (Mac et PC) ou un terminal mobile (Android et iOS). L’import des identifiants et mots de passe depuis vos navigateurs Web est possible.
Sont gérés les mots de passe, noms d’utilisateur, adresses de messagerie et postales, numéros de carte bancaire, données personnelles (date de naissance, numéro de sécurité sociale…), etc. La version payante en offre Premium (39,99 €/an) propose en plus la synchronisation automatique sur un nombre illimité d’appareils (ordinateurs, smartphones et tablettes), la sauvegarde des données sur le Cloud, ou encore un accès web sécurisé.
Avantages
- Extensions disponibles voir indispensables pour Internet Explorer, Chrome et Firefox
- Interopérabilité maximale avec Windows, Mac OS X, iOS, Android
- 100% français (site, logiciel, appli)
- Accès en ligne direct au coffre fort possible (peut être un point faible !)
- Demande de saisie du mot de passe maître à chaque démarrage
- Interface ergonomique, pratique et moderne
- Import facile et rapide des mots de passe enregistrés dans les navigateurs Web
- Connexion sécurisée automatique aux comptes personnels (messagerie, réseaux sociaux, forums, etc.)
- Alertes indiquant des mots de passes faibles ou utilisés sur plusieurs sites Internet
- Fonctions additionnelles telles que l’enregistrement de cartes bancaires, la mémorisation des données personnelles pour remplir les formulaires d’inscription, le partage sécurisé des mots de passe, etc.
Inconvénients
- Obligation de créer un compte Dashlane
- Client lourd à installer et consommation de ressources
- Logiciel propriétaire
- Les fonctions additionnelles gadgets
- Formule Premium payante pour bénéficier de la synchronisation
- Accès en ligne aux données, point faible potentiel.
EnPass
Plus récent que Dashlane, c’est aussi un logiciel propriétaire, offrant un niveau de sécurité identique (AES-256 + PBKDF2). Ce dernier est édité par la société Sinew Software Systems basée en Inde. Le business model de EnPass est le suivant : totalement gratuit pour un usage Desktop (Windows, Mac OS X et Linux), il devient payant pour les appareils mobiles Windows, iOS, Android et BlackBerry ($9.99 en “one-shot” pour chaque appareil supplémentaire).
Le logiciel stocke les données en local dans une base de données SQLite chiffrée via SQLCipher. La synchronisation est quant à elle possible via les services de Cloud usuels grand public ou via ses propres serveurs. Tout comme KeePass, EnPass propose aussi un générateur de mot de passe et un nettoyeur automatique de presse-papier pour éviter les boulettes.
Une extension permettant un lien direct avec les navigateurs Web est disponible sur le site officiel, ce qui permet le remplissage automatique des formulaires.
Avantages
- Extensions disponibles voir indispensables pour Internet Explorer, Chrome et Firefox
- Interopérabilité Windows, Mac OS X, iOS, Android problématique sans payer
- Interface ergonomique, pratique et moderne
- Audit de mot de passe
- Fonctions additionnelles telles que l’enregistrement de cartes bancaires, la mémorisation des données personnelles pour remplir les formulaires d’inscription, le partage sécurisé des mots de passe, etc.
Inconvénients
- Obligation de créer un compte EnPass
- Client lourd à installer et consommation de ressources
- Logiciel propriétaire et société inconnue
- Seulement en anglais (site, logiciel et appli)
- Formule Premium payante pour bénéficier de la compatibilité mobile
1Password
1Password est une sorte d’équivalent à EnPass, plus complet mais totalement payant : soit un forfait famille à $5/mois soit un achat “one-shot” à $64.99. Dommage que les offres diffèrent par contre, notamment au niveau des possibilités de synchronisations… Il est édité par la société AgileBits basée au Canada.
Le logiciel vous permet également de stocker identifiants et mots de passe standards mais aussi vos cartes de crédit, permis, carte Vitale, numéros de licences logiciels, bref, tout ce que vous souhaitez. Le chiffrement proposé est aussi du AES-256 (+ PBKDF2).
Avantages
- Extensions indispensables pour Internet Explorer, Chrome et Firefox
- Interopérabilité Windows, Mac OS X, iOS, Android
- Interface ergonomique, pratique et moderne
- Alerte en cas de mot de passe réutilisé
- Fonctions additionnelles telles que l’enregistrement de cartes bancaires, la mémorisation des données personnelles pour remplir les formulaires d’inscription, le partage sécurisé des mots de passe, etc.
Inconvénients
- Obligation de créer un compte 1Password
- Client lourd à installer et consommation de ressources
- Logiciel propriétaire et cher payé ($64.99, idem applications)
LastPass
Ce service diffère largement des précédents : il s’agit d’un gestionnaire de mots de passe en ligne et non d’un logiciel en dur. Comprenez que vos données sensibles ne sont plus stockées sur votre machine mais sur le serveur Web de LastPass. Bien entendu, c’est plus pratique, mais cela représente aussi d’important risques de piratage.
Edité aux Etats-Unis, LastPass est plus orienté grand public. Simple, sécurisé et permettant de gagner du temps, c’est une vision différente des choses. Il offre un chiffrement AES 256-bit avec itérations systématiques PBKDF2, idem aux services précédents donc.
La synchronisation n’est disponible qu’un formule Premium facturée $12/an.
Avantages
- Installation rapide et légère sur tout appareils
- Extensions indispensables pour Internet Explorer, Chrome et Firefox
- Interopérabilité Windows, OS X, Linux et les différents OS mobiles (iOS, Android, etc.)
- Import des mots de passe enregistrés dans les navigateurs Web
- Possibilité d’accès au coffre fort en ligne + accès hors ligne
- La connexion automatique et auto-remplissage des formulaires
- Outil de génération de mots de passe intégré
- Fonctions additionnelles : stockage de notes sécurisées, et de données personnelles à destination des formulaires web
Inconvénients
- Obligation de créer un compte LastPass
- Payant pour avoir la synchronisation ($12/an)
- Traductions françaises aléatoires
- Ergonomie moyenne
- Stockage des mots de passe Web uniquement, véritable point faible, risque de piratage accru
- Le mot de passe maître n’est quasiment jamais demandé par défaut, ce qui peut nuire assez gravement à la sécurité globale.
Nous nous arrêterons là pour le comparatif, les autres services étant quasiment identiques ou plus spécifiques et plus chers. Libre à vous de les essayer pour vous faire une idée, et surtout, de donner votre avis en commentaire ci-dessous si vous en avez tester personnellement.
[…] Intéressante elle sont encore plus convaincante de même voir vis-à-vis des logiciel pareil mais des nouveaux logiciel pourront être disponible si possible […]
j ai tout essayer il faut garder sur ordi pas en ligne et prog gratuit tres securiser avec ouverture auto dans navigateur sauvegarde inviolable le mieux sticky password (demander a garder sur ordi pas en ligne )quand periode essai gratuite passer (vous ne pourrez plus garder sur web)mais tout sur ordi le plus simple et clair dommage ne fonctionne pas avec epic browser
mais je suppose que vous ne garderai pas mon commentaire
ps email faux ai donner avis juste pour pouvoir eventuellemment aider
Bonjour,
Tous ces gestionnaires de mots de passe conservent des données dans un fichier. Ils sont tous très vulnérables à ce niveau malgré leur sérieux incontestable.
Il en existe un qui ne conserve aucune donnée et est très simple d’utilisation.
Étant son développeur, je ne suis pas objectif, mais des retours que je possède, il semble répondre aux impératifs de sécurité et simplicité.
Juste une info concernant lastpass. Celui ci est devenu quasi inutilisable sur chrome depuis quelques mois.
Il ne propose plus la sauvegarde du pass
Il ne propose plus l’aide infield pour le mot de passe
Il lui arrive même de se tromper de mot de passe alors que l’on sélectionne le bon site
Le support est inefficace et n’a a priori ni conscience du problème, ni envie de le résoudre. J’ai ouvert quelques tickets et on me dit juste de désinstaller puis réinstaller. Ce qui n’a aucun effet et ensuite le ticket est cloturé et marqué comme résolu…
On parle ici de la conservation et du stockage des mots de passe.
Qu’en est-il de la nécessaire complexité du mot de passe ?
D’ailleurs, existe t-il un mot de passe inviolable ?
Bonjour,
Concernant DASHLANE, vous oubliez une chose essentiel. La plupart des banques, donc des sites ultra sensibles, utilisent un clavier virtuel pour la saisie des mots de passe. Hors Dashlane n’ai pas en mesure de prendre en charge cette technique et donc dans ce cas inutilisable.
Je suis d’accord avec vous, Alain. Mais Dashlane n’est pas le seul. J’utilise 1Password depuis longtemps et il a le même problème. A vrai dire, je ne pense pas qu’un logiciel de gestion de mots de passe soit en mesure de gérer les claviers virtuels. D’ailleurs, si l’un d’entre eux y parvenait, cela signifierait, il me semble, qu’il y a une faille dans le principe même du clavier virtuel.
Un clavier virtuel est destiné à : éviter l’interception des frappes clavier, éviter la détection du clic souris à des endroits toujours identiques, éviter le stockage du code.
Les gestionnaires de mots de passe doivent donc bien évidemment être incapables de gérer ce type d’entrée.
Tout à fait. Et de plus, ils doivent aussi nettoyer la mémoire, utilisée par exemple lors d’un copier / coller d’un mot de passe.
Moi je ne me prend pas la tête pour mes mots de passe : Je les note sur des fichiers .txt (un par site avec le nom du site comme nom du fichier) que je mets dans TrueCrypt.
Bonjour, je cherche (désespérément visiblement) un outil permettant la création de mots de passe, avec, en plus des traditionnels lettres, casses, chiffres, ponctuations, caractères spéciaux, l’inclusion de caractères cyrilliques, grecs et autres. Est ce que cela existe ? A défaut me les créer moi même, mais est ce utilisables partout (ou presque) ? Merci.
Salut.
Je viens d’avoir une idée ! Tu n’as cas utiliser des “codeurs” de message, même assez simple, tu mets le nom de ton site suivit de 12! (par exemple) et ça te sort un mot de passe qui va être différent pour chaque site ! Tu as oublié ton mdp ? ben t’auras juste à retourner sur le site de chiffrement et taper le nom du site ! Voilà un exemple de site de chiffrement: https://www.latoilescoute.net/decodeur/
vas dans “code à lettre et choisis ! 😉
Qu’en pensez-vous, vous autres^^ ?
Bonjour à Tous,
C’est pas mal, sécurité maximum à tous les étages du chiffrement.
Tu pourrais même proposer que l’on utilise Password comme mot de passe,
Personne le connais. 😉
Cdt.
salut ! j’utilise KeePass 2 qui est, selon moi, très performant. Certes côté ergonomie ce n’est pas la panacée, mais qu’importe… si en plus on le protège avec un mot de passe très fort pour sécuriser la base de données et qu’en plus on le combine à un système TrueCrypt, je pense que nos mots de passe sont bien au chaud et ne risquent rien.
Perso, sous CyberFox et avec le plugin KeeFox, rien à redire. Vraiment parfait au quotidien.
J’approuve totalement 🙂
Bonjour,
il existe un nouveau logiciel français sécurisé pour gérer ses mots de passe et données personnelles.
Il s’appelle GDPerso.
Non open source, développeur inconnu et code non audité. Pas possible de s’y fier dans ces conditions, il est totalement hors comparaison.
Autre alternative roboform.
Exact, il est d’ailleurs cité dans l’article 😉
This blog provides useful information about new techniques and concepts.very impressive lines are given which is very attractive.
C’est un article plutôt intéressant. Même si ça date un peu, il faut souligner, pour KeePass, que c’est une application qui a obtenu une Certification de Sécurité de Premier Niveau par l’ANSSI (cf. http://www.ssi.gouv.fr/administration/certification_cspn/keepass-version-2-10-portable/) … 🙂
Tout à fait exact ! J’avais zappé ce point, mais vous avez bien fait de mettre le lien 😉
Attention quand même à KeeFarce….
Les commentaires sont fermés.