Le navigateur Google Chrome a une fonction pour enregistrer vos mots de passe et les envoyer en ligne pour vous connecter facilement à tous vos comptes sur tous vos appareils connectés (ordinateur, tablette, téléphone…).

Ça peut sembler séduisant comme idée.
Perso je trouve l’idée terrifiante.

Vous donneriez vos clés de maison/voiture/garage/moto/vélo/boîte aux lettres à une personne qui dit « désormais, j’ouvrirais les portes pour vous, vous n’avez qu’à m’appeler. » ?

Ici pourtant vous donnez les clés de votre vie numérique à une entreprise a but lucrative dont vous ne connaissez que le nom.

Alors oui, je sais : « vie numérique », ce n’est rien. Ce n’est pas votre vie.

Ben en fait si, figurez vous.

Votre vie numérique, c’est tout ce que vous faites sur les sites web, sur votre ordinateur, sur votre téléphone, votre tablette ou votre console de jeu.
Cela englobe donc toutes vos photos, vos posts, vos commits (pour ceux qui codent), vos vidéos, votre bibliothèque (y compris musicale et vidéo), vos discussions, vos emails, vos SMS, vos abonnements, votre historique d’achat en ligne, l’accès à votre compte en banque en ligne, votre numéro de carte de crédit (enregistré sur tous les sites où vous achetez). Et bien plus de choses encore.

Si votre vie numérique ne compte pas, laissez-moi effacer tous vos disques durs, vos comptes en ligne, vos favoris et tout le reste et dites-moi si ça vous manque. Si la réponse est oui (je suis sûr que c’est oui, sinon vous n’auriez pas d’ordinateur), alors votre vie numérique compte pour vous et vous devriez la protéger.

Utiliser un service comme Google Password Manager, c’est donner tout ça à Google pour qu’ils en fassent ce qu’ils veulent (et par ça je veux dire vraiment ce qu’ils veulent).

Et ceci compte pour Google, mais également Firefox ou Opera, qui proposent la même chose (mais c’est pas activé par défaut, ceci dit). En règle général, ne laissez pas jamais un programme — quel qu’il soit — retenir vos mots de passe.

À vous de voir, mais soyez prévenu.
Personnellement je ne ferais jamais ça.

23 commentaires

gravatar
FitzWithin a dit :
Si, c'est activé par défaut dans Firefox.
gravatar
PJ a dit :
Hello !

Cette problématique tombe à point nommé pour moi actuellement. A mon avis, cela revient à l'éternel dilemme entre la facilité d'utilisation et la sécurité.

Depuis quelques semaines je cherche à "unifier" ma navigation.

1. Situation de base

J'ai un compte sur un site example.com. Quand je m'y connecte sur PC, LastPass me permet de remplir les champs de connexion épicétou. Je souhaite retrouver à peu près le même fonctionnement sur mobile.

Sur PC j'ai Slimjet (basé sur Chromium) comme navigateur principal (à part ça j'ai un peu de tout, des différentes déclinaisons de Firefox à Opera en passant par Vivaldi).

Sur Android j'ai la même chose, à savoir CAF Browser (basé sur Chromium mais optimisé pour les proc Snapdragon) en navigateur principal, mais aussi Firefox, Opera et autres. J'ai mis FF en principal un temps, mais pas convaincu.


2. Problématique
Je veux commencer à mieux maîtriser le stockage de mes identifiants de connexion, la première étape souhaitée étant de se débarasser de LastPass. Mais je veux aussi pouvoir le faire de façon fluide, sans prise de tête.

2.a. J'ai essayé LastPass sur Android. D'abord je trouve le fonctionnement un peu alambiqué, pas intuitif, et en plus c'est payant pour synchroniser les identifiants avec la base sur PC et dans leur cloud.

2.b. J'ai essayé Firefox Sync en auto-hébergé, avec la base sur mon NAS (ou sur un VPS). Procédure pas évidente sur PC, aller glaner des tutos par ci par là, modifier des valeurs dans le menu avancé/caché (je sais plus comment ça s'appelle), etc. Sur mobile, c'est encore plus compliqué, et quand enfin ça se connectait, c'était une fois sur trois, certaines MAJ écrasaient la config, etc.

2.c. J'ai essayé pareil avec Opéra, mais comme c'est pas mon browser principal, et que ça ne synchronise pas grand chose, j'ai abandonné.

2.d. Retour à Chromium. J'ai installé Keepass2 en version portable sur PC et l'excellent Keepass2Android sur mobile. Mais bon, ce n'est pas évident non plus. D'une part, je cherche à héberger la kdbx dans mon cloud perso (genre mon VPS ou au pire mon NAS, avec multiples copies de sauvegarde) mais c'est pas gagné. Et sur Android, devoir passer par la case "Share with" pour se connecter chaque fois, ça ne rend pas la procédure vraiment userfriendly. J'ai abandonné hier seulement.

3. En désespoir de cause
J'ai dû me "résoudre" à recommencer à stocker mes identifiants dans le navigateur. Synchronisé avec un compte qui ne sert qu'à ça. Avec un mot de passe de chiffrement pour me donner l'illusion d'un chouia de "sécurité" supplémentaire (alors que je sais bien ce qu'il en est).


Conclusion : je veux bien, mais c'est pas évident.


Now you : quelle solution as-tu adoptée, toi ?
gravatar
JackNUMBER a dit :
Je me demande comment, aujourd'hui, on peut encore utiliser des passwords. Nous avons tous des téléphones connectés, la connexion sécurisées par paires de clés (ex. ssh) est plutot robuste, certains smartphones ont des lecteurs d'empreintes digitales, la reco faciale... tout cela bien mélangé pourrait donner un système d'authentification rapide et sécurisé.

Le principal frein est l'adoption. On le voit avec des systèmes comme OpenID ou l'authentification à 2 facteurs, ce sont de bonnes idées mais tout le monde ne l'adopte pas (services comme utilisateurs).

On sait bien que l'humain va aller vers le plus simple, donc il préférera un mot de passe facile à retenir (et souvent à "deviner") alors c'est aux acteurs du web de s'occuper de la sécurité.


Avec un système chiffré de bout en bout plus besoin de faire une confiance aveugle au provider, et on pourrait s'affranchir des mot de passe.
gravatar
Le Hollandais Volant a dit :
@FitzWithin : il le demande, mais rien n’est envoyé chez Mozilla.

@PJ : perso je retiens les mots de passe de mémoire.
En fait non, je ne retiens pas le mot de passe, je retiens une méthode pour les retrouver.

Un genre de méthode peut être par exemple ça : (pour le site "google.com")
– je prends le nom du site : google.com ;
– je met la première lettre de chaque mot en majuscule Google.Com ;
– je modifie la première voyelle (en dehors de la première) de chaque mot en un chiffre avec le leet-speak (A, E, I, O deviennent respectivement 4, 3, 1, 0) : G0ogle.C0m
– je rajoute quelques caractères compliqués à la fin (pareil pour chaque site) : G0ogle.C0m@=!
– je rajoute quelques chose au début (pareil pour chaque site) : blablaG0ogle.C0m@=!

Et voilà un mot de passe fort : 19 caractères, minuscules, majuscules, chiffres, lettres, caractères non-alphanumériques et différent pour chaque site (ce qui est important aussi).

Pour amazon.fr ça deviendrait : blablaAm4zon.Fr@=!
Pour youtube.com ça devient : blablaY0utube.C0m@=!

Notez quand même que :
– chacun doit produire sa propre méthode (ici j’en ai donné une, mais ce n’est pas celle que j’utilise véritablement :p)
– les mots de passe (et donc les méthodes) doivent être renouvelées régulièrement (tous les ans, par exemple) pour l’ensemble des sites.

En tout cas, cette méthode est facile à retenir, facile à inventer, mais dur à deviner à la fois pour une machine et un autre humain. Pas besoin d’un logiciel pour les retenir ni même d’un post-it.
gravatar
Le Hollandais Volant a dit :
@JackNUMBER : c’est plus compliqué que ça : les empreintes digitales sont plus facilement récupérables n’importe où (même à partir d’un photo) qu’une phrase ou une méthode stockée dans l’esprit d’une personne.
Pour le chiffrement de bout en bout généralisé, ça me semble plus difficile à mettre en place encore que l’OpenID ou autre…
gravatar
PJ a dit :
@Le Hollandais Volant : Merci pour ta réponse. Cette technique, c'est exactement ce que j'utilise déjà depuis belle lurette. En fait, je peux même retrouver les pwd (je le fais déjà). On va conclure que c'est la flemme qui est mon talon d'Achille...
gravatar
Clem a dit :
Je vous conseille d'utiliser des phrases (avec espace) c'est facile a retenir, facile a taper, et sécurisé.
gravatar
Guenhwyvar a dit :
Tous les comptes en ligne vraiment importants (genre banques, tout ça) ont des mots de passe ridicules, avec un format imposé (par exemple, 6 chiffres… Franchement, combien vont mettre une date de naissance ?)
Heureusement, la CAF a récemment doublé sa sécurité : ils sont passé d'un mot de passe de 4 chiffres à un mot de passe de 8 chiffres ! o/


@Le Hollandais Volant :
En tout cas, cette méthode est facile à retenir, facile à inventer, mais dur à deviner à la fois pour une machine et un autre humain.


Ça dépend ce que t'appelles difficile à deviner… Une fois qu'on en a un, on peut trouver ceux de tous les autres sites assez facilement, c'est pas beaucoup mieux que d'avoir le même mot de passe partout (ça peut juste pas être automatisé, quoi).
gravatar
Le Hollandais Volant a dit :
@PJ : C’est qu’une question de volonté alors.
L’avantage de tout retenir de mémoire, c’est de ne plus avoir à synchroniser tous ses appareils ou à installer un soft particulier pour le faire.

Il m’arrive parfois d’utiliser un ordinateur public pour accéder à certaines comptes/forums : avoir les mots de passe dans la tête, ça aide bien.


@Clem : +1


@Guenhwyvar : Pour les banques et la CAF, oui, c’est clairement un scandale.
Mais bon, si ce n’était que ça

Pour le difficile à deviner, je n’ai mis qu’un seul exemple ici : on peut en imaginer un bien plus dur, genre utiliser une lettre sur 2n+3 du nom de domaine et l’ajouter à la fin après avoir appliqué un décalage « césar » de type -1+1-1.
Et on n’est pas obligé de ne prendre que le NDD pour faire son bidouillage : on peut prendre le contenu du site : ajouter un "B" si c’est un blog, un "F" si c’est un forum, etc.

Bien-sûr, tout ça peut se deviner, mais faut quand même y aller fort. Avec une méthode suffisamment complexe, ça va revenir plus compliqué de trouver la méthode que de brute-forcer le mot de passe directement. L’avantage est alors d’avoir une méthode qu’on puisse retenir.
gravatar
HelloWorld a dit :
@Le Hollandais Volant : Ça m'a l'air un peu compliqué tout ça, à mon avis, il vaut mieux utiliser des phrases de pass, qui possèdent plus d'entropie et sont plus facile à retenir ;)

Je trouve ça aussi absurde d'un point de vu sécurité de tout envoyer à un service en ligne. Tôt ou tard ça fuitera forcément... C'est comme les autorités qui possèdent des clés privées.
gravatar
IfYouPlease a dit :
@Le Hollandais Volant : alors moi j'utilise en gros la même méthode que toi pour les sites que j'estime importants (mails, impôts, ...), mais j'enregistre dans Firefox les mots de passe des sites qui sont sans importance pour moi (pour commenter sur site ou un blog, ou pour l'inscription sur un site obscure)
gravatar
Shin a dit :
Première participation sur ce site donc " Salutation, et merci pour ce billet (et les autres^^)".

Je rejoins, moi aussi, cette crainte de l'utilisation des fonctions de mémorisation des MdP par le navigateur ou n'importe quel autre logiciel, cependant je ne peux m’empêcher de tiquer sur la partie suivante: "Vous donneriez vos clés de maison/voiture/garage/moto/vélo/boîte aux lettres à une personne qui dit « désormais, j’ouvrirais les portes pour vous, vous n’avez qu’à m’appeler.» ? ".

Parce qu'à cette question, pas mal de monde (moi y compris, évidemment) vous répondrons "Oui. Bien sûr. Je le fait même régulièrement, avec ma gardienne ou n'importe quel membre de ma famille disposant d'un double de secours".

La problématique n'est donc pas tant de savoir si on le fait ou le ferai, puisque ça se fait, et se faisait même avant l'arrivée d'internet de l'internet des internets du minitel non-souverain; la question, comme pour tout autre service (en ligne ou non), est celle de la confiance envers le tiers à qui on confie quelque chose.

Ainsi, même si, de manière générale, je retiens mes mots de passe (comme un grand) vu que l'utilisation d'un logiciel type keepass ou lastpass m'est moins intuitive, j'en ai quand même quelques uns qui sont dans la mémoire de mon navigateur Firefox, synchronisés avec mes autres navigateurs FF (je dis ça de mémoire, mais, en fait, c'est possible que j'ai décoché la synchro ^^) parce que je fais relativement confiance à ce prestataire (en tout cas plus qu'à Google).

Tout ça pour dire que la conclusion radicale du "zéro logiciel pour les mots de passe" me semble assez exagérée ou en tout cas semble reposer sur des seules considérations de sécurité pure, et exclu donc, en pratique, tout un pan des utilisateurs (par exemple les vieux ou les personnes atteintes de troubles de la mémoire ou autre atteintes neuro), non?
gravatar
djib a dit :
Perso j'utilise keepass avec des mots de passe aléatoire pour chaque site (421 comptes !).

J'ai une passphrase pour les quelques sites que j'utilise le plus régulièrement.
gravatar
Teebo a dit :
Salut,

Sinon il y a aussi le principe de Master Password. J'avoue que l'idée de base me semble séduisante, mais je n'ai pas attaqué la grande migration. Pour l'instant, j'ai mes mots de passe en tête, mais du coup, beaucoup de réutilisations et la sécurité n'est que moyenne.

Le principe de Master Password, il génère des mots de passe à la volée en fonction de l'adresse du site, de mon master login et de mon master password. Résultat, même si un mot de passe est découvert, aucun moyen de retrouver le mot de passe sur un autre site, tant que le mot de passe principal n'est pas compromis.
Par contre, si on oublie celui là...
gravatar
Pumbaa a dit :
@Le Hollandais Volant :
Je vois 2 problèmes à ta méthode :
- Le nombre hallucinant de site qui t'impose un certain type de mot de passe ou interdisent certains caractères. --> Tu vas devoir régulièrement faire des entorses à ta règle, bonjour pour te souvenir sur quels sites tu as fait ça...
- Une fois que tu t'es connecté à un compte depuis un ordinateur public tu dois changer ton mot de passe depuis un endroit sécurisé (chez toi, quoi). Tu fais comment là ? Tu changes tous tes password ?
- Tiens, du coup je vois un 3ème problème majeur : Changer de méthode chaque année ? Donc changer tous tes psw chaque année ? Atta, j'ouvre mon keepass juste pour voir : J'ai 393 comptes enregistrés. Un peu la galère de tous les renouveler chaque année.
gravatar
wazari972 a dit :
@Le Hollandais Volant :

J'utilisais cette technique aussi jusqu'a il n'y a pas trop longtemps, jusqu'a ce que je me rende compte que sur certains site le mot de passe est stocké en clair. Donc ton blabla...@=! n'est pas secret, si tu crées un compte chez moi, je peux le connaitre. Du coup si la partie du milieu est devinable, Am4zon.Fr, Y0utube.C0m, le mot de passe tombe a l'eau, meme si le reste est "secure".

Du coup comme PJ je suis revenu au mot de passe enregistrer dans le navigateur, et des mots de passe forts, généré aléatoirement (pwgen) et synchronisé par FF entre mes ordis. Pendant tout un temps c'etait Sync sur un server perso, mais je n'ai pas réussi a faire marcher la nouvelle version (1.5), donc par flemme j'utilise maintenant les serveurs de Mozilla.
gravatar
Clem a dit :
Une autre technique :

On génère un mot de passe aléatoire à chaque fois qu'on s'inscrit sur un site (avec par exemple l'extension pwgen).

On ne se prend pas la tête a mémoriser le mot de passe, on demande au navigateur de le mémoriser (en local).

On gardera des mots de passe simple à mémoriser (phrase) uniquement pour les site qu'on visite souvent auxquels on est susceptible de devoir accéder ailleurs que chez soi, il y en a assez peu finalement (son emails par exemple)

Si un jour on doit accéder à un autre site de l’extérieur on utilise le bouton "mot de passe oublier", tous les sites en on un, c'est rapide, il suffit d'avoir accès a son email.
gravatar
mazert a dit :
Tout dépend de la méthode de transfert des mots de passe, si le client les chiffre avec un algo fort avant l'envoi vers le serveur de synchronisation, alors ok. Comme firefox sync avec tls.

Retenir ses mots de passe en mémoire ? non j'estime (bien que ça serait l'idéal) que ce n'est pas une bonne idée, car si on part du principe qu'il faut un mot de passe long, fort et différent pour chaque service que l'on utilise, de tête on finit toujours par en perdre (par expérience).
Après cela n’empêche pas d'en retenir pour des services que l'on utilise trés fréquemment comme les courriels, et le stockage en ligne.

Définir son propre algo de création de mot de passe, ça ne sera jamais aussi sur que l'aléatoire complet et il pourrait être compromis.

Le mieux comme dit plus haut, est d'utiliser un gestionnaire de mot de passe, chiffré par un mot de passe principal qui lui doit rester uniquement dans notre tête.
Pour cela j'utilise Encryptr : multiplateforme, synchronisé (car pratique), et chiffre de bout en bout.

Pour en revenir à google, c'est plus une question de méfiance légitime. Je suppose qu'ils doivent appliquer une politique de sécurité similaire à firefox, mais on connait aussi leurs intentions et je ne croit pas un instant qu'ils se soient repentis depuis l'affaire snowden !
gravatar
Simon a dit :
Un reproche à formuler contre KeePass et l'add-on KeeFox ? Si on utilise ça, qu'on synchronise le fichier .kdbx entre ses différents clients via une solution perso (son propre owncloud, par ex.) et qu'on utilise ensuite des mots de passe générés par le programme, c'est pas mal sécurisé.

Évidemment, il faut un mot de passe principal pour accéder à KeePass et on peut ajouter une clé en plus.

Le seul soucis : Quand on veut se connecter à un compte depuis une machine qu'on ne gère pas (ne serait-ce que pour montrer un truc à un pote), si les mots de passent ressemblent à "10aPHzrmVCk7PjmRST8o", c'est plus chauds de les retenir...
gravatar
John Doe a dit :
@Simon :
J'utilise Keepass et le module KeeFox depuis plusieurs mois et j'en suis très satisfait.

On peut imaginer créer, par exemple, 3 bases de données :

- les sites "sensibles" : banques/Assu, impôts, mails, FAI...
- d’autres sites du quotidien : blogs, web-marchands...
- le système et réseau : les mdps de l'OS, partitions/fichiers chiffrés, serveurs... ownCloud ;)

Vous n'avez donc a retenir que 3 mots de passe pour en avoir plusieurs dizaines, centaines...pour ceux qui sont moins rassurés, on peut utiliser un mdp de tête, avec les méthodes citées plus haut, pour les sites les plus "sensibles".

Ensuite, le module permet de se connecter directement aux sites enregistrés dans la BDD.

Je pense que l'usage d'une clé avec un mot de passe "maître" est un plus. Il y a également un générateur de mdp -> plus de prise de tête.

On peut aussi mettre KeePass en version portable sur clé USB avec la BDD et la clé. Votre pote n'aura sûrement pas le module pour vos connecter mais vous pouvez copier-coller votre identifiant et le mot de passe correspondant sur le site auquel on souhaite accéder.

Je n'ai pas testé le client android, si y a des avis ? ;)
gravatar
Pumbaa a dit :
@Simon : Pour ça tu peux installer KeePass sur ton smartphone. Il est disponible sur iOS, Android, Windows Phone et probablement d'autres.

C'est la solution que j'ai retenue et que j'utilise depuis plusieurs années avec succès.
gravatar
Gardouille a dit :
Fichier kdbx (Keepass2) dans Owncloud protégé par phrase de passe + un fichier "clef" stocké sur clef usb (toujours sur le trousseau). J'avoue ne pas beaucoup visiter de sites "sensibles" sur des appareils à base d'Android … Peut-être que j'aurais la possibilité de connecter la clef USB sur un droid via un câble OTG (pas eu le besoin pour le moment :)).

Génération de mot passe via:
* diceware (https://en.wikipedia.org/wiki/Diceware)
* en ajoutant un dé 8 supplémentaire à chaque jet pour sélectionner la liste qui va bien (français, russe, espéranto, espagnol, … … …)
* ajout d'une partie aléatoire via keepass

Petite pause de 5 minutes pour générer son mot de passe avec une tasse de thé et ça justifie le fait d'avoir mes dés à portée :D

Les commentaires sont fermés pour cet article