Adopter les gestionnaires de mots de passe - La Semaine Vétérinaire n° 1588 du 06/06/2014
La Semaine Vétérinaire n° 1588 du 06/06/2014

Entreprise

Auteur(s) : FRANÇOIS-HENRI MÉDARD

Sécuriser ses codes d’accès se révèle nécessaire lors d’utilisation quotidienne de services en ligne. Radioscopie des atouts d’un gestionnaire de mots de passe.

Avec la multiplication des services en ligne qui nécessitent une identification, le choix et la mémorisation des mots de passe relèvent du parcours du combattant. Des solutions existent pour se simplifier la vie. Tour d’horizon des gestionnaires de mots de passe.

UN CASSE-TÊTE QUOTIDIEN À RÉSOUDRE

Déclarations administratives, réseaux sociaux, espaces de stockage en ligne, web apps, etc. Les usages se déportent de plus en plus vers Internet. Les affaires récurrentes de piratage de comptes rappellent combien le choix de mots de passe n’est pas anodin. En matière de clé, sécurité rime avec complexité. Malheureusement, les mots de passe les plus élaborés sont difficiles à retenir : de nombreux d’utilisateurs les oublient régulièrement, ne se souviennent même plus de leur enregistrement sur un site donné ou ne peuvent pas s’identifier, car ils n’ont pas avec eux le précieux calepin sur lequel ils ont noté les éléments d’identification. De nombreuses études révèlent l’imprudence des internautes, qui cèdent à la facilité en choisissant le même mot de passe pour plusieurs sites, de préférence le plus simple possible. Ainsi, “123456”, “azertyuiop” ou encore “password” se disputent le peloton de tête des mots de passe les plus rencontrés en 2013. Même chiffrés, ils n’offrent aucune sécurité : des outils de décryptage permettent en effet de les retrouver en quelques minutes.

L’UTILITÉ D’UN GESTIONNAIRE

Les navigateurs internet proposent une mémorisation des informations d’identification en local. Celle-ci est insuffisante en termes de sécurité, car le cache est facilement récupérable, et de portabilité. En effet, les clés devront de nouveau être saisies et mémorisées si l’utilisateur change de machine ou de navigateur. Le gestionnaire de mots de passe présente de nombreux avantages :

→ la centralisation des informations. Pour accéder à ce trousseau de clés, une identification unique est nécessaire (par fichier, par mot de passe, ou matérielle);

→ la nécessité d’un compromis entre la complexité et la facilité de mémorisation disparaît. Seule la clé unique d’accès au trousseau est à retenir. Les mots de passe individuels peuvent être aussi complexes que l’utilisateur le souhaite, différents pour tous les sites et automatiquement générés par le logiciel ;

→ les fonctions supplémentaires de saisie automatique dans les formulaires internet sont une bonne parade au phishing, car le logiciel ne renseigne pas automatiquement les données d’identification si l’adresse du site est incorrecte (ce qui ne dispense pas l’utilisateur de faire preuve de vigilance!) ;

→ l’accès sur tous les supports, qui passe tout d’abord par une compatibilité inter-plates-formes et navigateurs. Un bon gestionnaire de mots de passe fonctionne a minima sur Windows et OS X. La compatibilité avec les smartphones et les tablettes se développe progressivement sur Android et iOS. Les gestionnaires de mots de passe installés sous forme d’extensions sont, en général, compatibles avec les navigateurs les plus courants (Chrome, Explorer, Firefox) ;

→ la synchronisation. La compatibilité avec toutes les plates-formes est une chose, mais il est hors de question de véhiculer manuellement un fichier de préférences ! Lorsque le gestionnaire de mots de passe ne propose pas nativement une synchronisation instantanée des données, celle-ci reste généralement possible en hébergeant le fichier sur un service de type Dropbox (avec Keepass Password Safe, par exemple).

SÉCURITÉ ET CONFIDENTIALITÉ SUR LE CLOUD

Les gestionnaires de mots de passe assurent un chiffrage des données stockées dans leurs serveurs, mais également lors des échanges avec l’ordinateur de l’utilisateur. Avec un décryptage localisé uniquement sur le poste du client, la clé d’accès au trousseau n’est connue que de l’utilisateur, ce qui offre une sérieuse garantie de confidentialité. Plusieurs éléments sont cependant à prendre en compte.

→ Si l’utilisateur égare sa clé d’accès au trousseau, il est inutile de contacter l’éditeur du logiciel qui sera dans l’incapacité de la lui fournir !

→ Le mot de passe unique doit donc être judicieusement choisi (voir encadré) car, en cas de piratage, une personne mal intentionnée a accès à l’intégralité des données.

→ Lors de litige, qu’il s’agisse de perte des données ou de piratage des serveurs du prestataire de services, les recours sont réduits, notamment dans le cas de services hébergés à l’étranger.

OPTER POUR LE BON OUTIL

Deux modes de fonctionnement sont à différencier : les logiciels installés localement (KeePass, par exemple) et les solutions de type Cloud, qui reposent fréquemment au minimum sur des extensions pour le navigateur et qui présentent des fonctionnalités de synchronisation.

Des services complémentaires peuvent faire la différence :

→ un générateur automatique de mots de passe (avec une rotation périodique) et un indicateur de complexité, généralement proposé dans l’offre ;

→ le stockage d’informations autres que celles des mots de passe (codes PIN, notes, etc.) et le remplissage automatique de formulaires complexes (pour renseigner automatiquement l’adresse, lors d’une commande, par exemple) ;

→ l’importation de mots de passe déjà enregistrés dans les navigateurs lors de la première utilisation ;

→ un système de classement par catégories et un moteur de recherche intégré pour retrouver rapidement un mot de passe ;

→ un service de mot de passe à usage unique (avec LastPass, par exemple) pour empêcher la réutilisation de la clé d’accès.

DES MODÈLES ÉCONOMIQUES VARIÉS

Ils diffèrent selon le logiciel choisi :

→ la gratuité partielle ou totale ;

→ la gratuité selon la plate-forme (bureau, mobile) ;

→ le paiement unique, par abonnement, avec un supplément pour les mises à jour ;

→ une licence commune à toutes les plates-formes (Roboform), ou à acquérir pour chacune d’elles (1Password).

Il est possible d’opter pour une version gratuite, à condition de s’assurer que la version complète comporte l’intégralité des fonctions ultérieurement requises.

Enfin, la portabilité sur d’autres systèmes est à prendre en compte : le gestionnaire de mots de passe devient vite un fidèle compagnon dont il n’est plus possible de se passer. Il serait dommage de renoncer à son logiciel préféré à l’occasion d’un changement de matériel !

LES BONNES PRATIQUES POUR CHOISIR UN MOT DE PASSE

→ Adopter une longueur suffisante.

→ Ne pas utiliser le même mot de passe pour différents sites.

→ Combiner des caractères de nature différente (numéros, lettres, signes diacritiques, majuscules et minuscules), éviter les chaînes linéaires (“12345”, “azertyuiop”, par exemple).

Effectuer des changements fréquents.

Proscrire les mots de passe dérivés de données d’identification trop évidentes.

Constituer le mot de passe avec des moyens mnémotechniques, pour une meilleure mémorisation.

”Pour les professionnels, ne pas dévoiler des informations personnelles sur les réseaux sociaux.

Ne pas écrire ses mots de passe sur papier libre.

LEXIQUE

– L’ingénierie sociale (ou social engineering) est une forme d’acquisition déloyale d’informations et d’escroquerie, utilisée en informatique pour obtenir d’autrui un bien, un service ou des données clés.

– Le phishing (“hameçonnage”) est une technique d’ingénierie sociale qui vise à soutirer les informations d’identification d’un internaute, en usurpant l’identité d’un tiers de confiance (imitation du site d’une banque, par exemple).

Formations e-Learning

Nouveau : Découvrez le premier module
e-Learning du PointVétérinaire.fr sur le thème « L’Épanchement thoracique dans tous ses états »

En savoir plus

Boutique

L’ouvrage ECG du chien et du chat - Diagnostic des arythmies s’engage à fournir à l’étudiant débutant ou au spécialiste en cardiologie une approche pratique du diagnostic électrocardiographique, ainsi que des connaissances approfondies, afin de leur permettre un réel apprentissage dans ce domaine qui a intrigué les praticiens pendant plus d’un siècle. L’association des différentes expériences des auteurs donne de la consistance à l’abord de l’interprétation des tracés ECG effectués chez le chien et le chat.

En savoir plus sur cette nouveauté
Découvrir la boutique du Point Vétérinaire

Agenda des formations

Calendrier des formations pour les vétérinaires et auxiliaires vétérinaires

Retrouvez les différentes formations, évènements, congrès qui seront organisés dans les mois à venir. Vous pouvez cibler votre recherche par date, domaine d'activité, ou situation géographique.

En savoir plus


Inscrivez-vous gratuitement à nos Newsletters

Recevez tous les jours nos actualités, comme plus de 170 000 acteurs du monde vétérinaire.

Vidéo : Comment s'inscrire aux lettres d'informations du Point Vétérinaire

Retrouvez-nous sur
Abonné à La Semaine Vétérinaire, retrouvez
votre revue dans l'application Le Point Vétérinaire.fr