Lassé de retenir des dizaines d’identifiants, peut-être avez-vous décidé de déléguer cette tâche infernale à un gestionnaire de mots de passe. Oui, mais comment choisir un outil digne de confiance qui répondra à vos besoins précis ? La rédaction a listé les critères clés à prendre en compte avant de prendre votre décision.
Comme la plupart des internautes, vous jonglez certainement au quotidien avec des dizaines de mots de passe, chaque compte en ligne exigeant une combinaison unique d'identifiants. Et comme la plupart des internautes, la frustration monte chaque fois un peu plus quand vous devez réinitialiser un mot de passe oublié pour pouvoir vous connecter à un service. Peut-être est-il temps de vous tourner vers un gestionnaire de mots de passe. Mais comment choisir celui qui garantira la sécurité de vos informations tout en étant facile à utiliser ? Pour répondre à vos interrogations, la rédaction s’est attachée à lister et développer les critères de sélection les plus importants, de manière à orienter votre choix vers une solution sécurisée, flexible, polyvalente et ergonomique.
1. Respect total des données privées, y compris pour le fournisseur
Quand on pense gestionnaire de mots de passe, on pense chiffrement, stockage, synchronisation, compatibilité multiplateforme, etc. Mais en réalité, la première chose à vérifier avant même de porter son choix sur une solution plutôt qu’une autre, c’est la confiance que l’on peut octroyer à l’entreprise. Alors bien sûr, à l’image de nombreux services dédiés à la protection des données personnelles, difficile d’obtenir des preuves tangibles autres que ce que veulent bien communiquer les sociétés éditrices. Malgré tout, quelques indices contextuels peuvent vous vous mettre sur la voie, comme les actualités et autres faits rapportés par la presse, générale ou spécialisée.
N'hésitez pas non plus à bien lire la politique de confidentialité propre à chaque gestionnaire. Vous y trouverez des détails concernant le traitement de vos données d’inscriptions et des informations que vous confiez au service. Prendre connaissance de ces conditions est d’autant plus important qu’un gestionnaire de mots de passe détient, par définition, l’ensemble des clés d’accès à vos comptes en ligne, des plus insignifiants aux plus confidentiels.
Vous comprendrez dès lors la nécessité de contrôler la manière dont ces outils gèrent vos identifiants. Outre le vol organisé de mots de passe (même si peu probable avec les services les plus connus, gardez toujours à l’esprit que vous n’êtes jamais à l’abri de rien), il ne faudrait pas non plus que les sociétés à l’œuvre derrière chaque solution se servent des éléments stockés, de vos historiques de remplissages automatiques et de votre parcours de navigation pour tracer vos habitudes sur le web, revendre ces données de profilage et/ou diffuser de la publicité ciblée.
Vous pouvez enfin vous appuyer sur le pays de domiciliation de l’entreprise pour déterminer les protections juridiques encadrant la gestion de vos données personnelles, ou, au contraire, prendre la mesure des lois intrusives auxquelles doit se plier la société éditrice du gestionnaire envisagé.
2. Chiffrement AES ou ECC, non négociable
Maintenant que les questions de respect de la vie privée, sur lesquelles s’engagent l’entreprise et son service, ont été passées en revue, vous allez pouvoir vous pencher sur la sécurité du gestionnaire à proprement parler. Il s’agit de s’assurer que les données stockées sont correctement protégées, en transit comme au repos. Pour ce faire, rien de tel que le recours certain à des algorithmes de chiffrement solides, comme AES (symétrique) ou ECC (asymétrique).
Il est aussi important que les serveurs de stockage eux-mêmes soient suffisamment sécurisés pour empêcher toute intrusion, y compris de la part des équipes internes à l’entreprise. Sur ce point, des garanties de chiffrement zero knowledge doivent être apportées par le service que vous pensez utiliser.
3. Authentification multifactorielle obligatoire
Vos mots de passe auront beau être protégés des interceptions et des intrusions par divers algorithmes de chiffrement fort, rien ne pourra les sauver en cas de piratage de votre mot de passe maître et/ou de votre appareil. Par conséquent, pour préserver ces informations ultra-confidentielles contre des attaques qui viseraient votre compte, un bon gestionnaire de mots de passe doit impérativement prendre en charge la protection multifactorielle. Le cas échéant, privilégiez les applications d’authentification comme méthode complémentaire de vérification. Mieux encore, les clés physiques et les passkeys sont aujourd’hui réputées plus fiables. En revanche, évitez d’opter pour les SMS et les mails de confirmation, plus vulnérables aux tentatives de piratage (phishing et vols d’identifiants consécutifs à des fuites de données).
4. Un générateur créatif et efficace
Considérez toujours qu’un gestionnaire de mots de passe n’est complet que s’il est assorti d’un générateur de mots de passe. Attention toutefois : il est important de vérifier que cette fonctionnalité est à même de créer des codes uniques suffisamment solides, composés d’un grand nombre de caractères aléatoires et variés (majuscules, minuscules, chiffres, symboles).
Dans le meilleur des cas, ce générateur doit pouvoir être utilisé indépendamment du gestionnaire, pour éditer des mots de passe à la demande, mais aussi proposer de manière systématique la création de nouvelles chaînes de caractères à la création de comptes en ligne, que le gestionnaire enregistre automatiquement.
5. Sus aux mots de passe faibles et compromis
Si les mots de passe générés directement par le gestionnaire répondent à priori à tous les critères de sécurité, ce n’est peut-être pas le cas de ceux que vous avez créés manuellement. D’où l’intérêt d’opter pour un service capable de détecter et signaler les identifiants faibles et/ou utilisés pour verrouiller l’accès à des comptes différents.
L’intégration d’un module de surveillances des fuites en temps réel est un vrai plus pour vous aider à rester réactif en cas de compromission de vos identifiants, et les modifier instantanément.
6. Synchronisation flexible et stockage diversifié
Avant de souscrire auprès d’un fournisseur, vérifiez que le gestionnaire qu’il propose est compatible avec tous vos équipements, ainsi qu’avec le ou les navigateurs que vous avez l’habitude d’utiliser. C’est un conseil qui peut sembler évidemment, mais mieux vaut l’anticiper avant de s’engager financièrement.
Outre la compatibilité multiplateforme, dans le cas où vous seriez concerné, renseignez-vous sur les possibilités de déploiement du service sur un serveur personnel, type NAS, ainsi que sur le degré de complexité de la configuration. L’idée serait ici de vous passer des infrastructures cloud de l’entreprise (et donc de tous les éventuels problèmes de maintenance et de fuites sous-jacents), tout en conservant un accès distant sécurisé à vos mots de passe.
Si jamais vous n’avez pas de NAS, vérifiez bien que le gestionnaire prend en charge le stockage cloud en plus du stockage local. Sans ça, vous ne pourriez pas synchroniser vos mots de passe sur l’ensemble de vos appareils, ni y accéder à distance.
Enfin, la mise à disposition d’un mode de synchronisation différentielle est un vrai plus. Souvent baptisée « mode itinérant », la fonctionnalité vous permet de sélectionner les éléments à synchroniser, ou non, entre vos différents appareils. Pratique si vous souhaitez conserver certains mots de passe ou informations confidentielles sur un seul appareil, en local.
7. Stop au partage des mots de passe en clair
Communiquer ses codes en clair pour les comptes partagés est certes entré dans les mœurs, mais, on ne va pas se mentir, il s’agit d’une pratique totalement hérétique. Forts de ce constat, certains gestionnaires de mots de passe intègrent des options dédiées grâce auxquelles vous pouvez enfin partager vos identifiants de manière sécurisée, et vous auriez tort de vous en passer.
Lorsqu’une telle fonction est disponible, assurez-vous qu’elle génère bien des liens de partage chiffrés de bout en bout, aux réglages personnalisables (délai d’expiration, suppression manuelle avant péremption, limite du nombre de consultations, blocage des transferts de liens).
8. Remplissage et connexion automatiques
C’est une condition sine qua non. Si votre gestionnaire ne prend pas en charge le remplissage automatique des champs de connexion sur le web et dans les applications que vous utilisez régulièrement, mieux vaut changer de service. L’ergonomie peut peut-être vous sembler futile, mais gardez en tête qu’elle tient un rôle prépondérant dans la fluidité des usages. Si vous devez ouvrir votre gestionnaire et chercher manuellement vos mots de passe chaque fois que vous tentez d’accéder à vos comptes en ligne, vous risquez de ne plus l’utiliser du tout.
9. Garder le contrôle du compte à distance
Autre mesure de sécurité : vérifier que le gestionnaire choisi répertorie les appareils qui y sont associés et offre des options de déconnexion à distance. En cas de perte de votre appareil ou de piratage du service, vous serez bien heureux de couper l’accès aux équipements dont vous n’êtes pas propriétaire.
10. Un kit de secours pour les étourdis
Last but not least : si vous avez trouvé le gestionnaire qui répond à tous vos critères de sécurité et de fonctionnalités, vérifiez TOUJOURS que vous disposez d’options de récupération du compte en cas de perte ou de compromission du mot de passe maître. Dans la mesure du possible, évitez la récupération par mail et privilégiez les kits de secours locaux (clé de sécurité unique fournie à la création du compte, par exemple). Autre méthode intéressante : la désignation d’une personne de confiance à qui transférer vos données en cas d’impossibilité d’accéder à votre compte.