Chez Clubic, nous (ré)examinons en permanence de nombreux gestionnaires de mots de passe afin de vous orienter vers la solution la mieux adaptée à vos exigences et à votre budget. Nous vous expliquons ici notre approche méthodique qui vous aidera à mieux comprendre comment nous recommandons les services que nous testons.
Même si les navigateurs les plus populaires intègrent aujourd'hui leurs propres solutions de stockage de mots de passe, les exigences particulières de chaque utilisateur peuvent nécessiter l'adoption de gestionnaires tiers. Chez Clubic, nous abordons cette question avec une grande rigueur, conscients que ces services détiennent les clés d'accès à vos informations les plus sensibles. Nous adoptons donc un protocole de test strict, combinant essais pratiques, évaluations qualitatives, analyses poussées et recherches approfondies.
Vous lisez actuellement notre protocole de test des gestionnaires de mots de passe en version 1.0, rédigé le 1er octobre 2024.
Notre méthodologie intègre des données objectives ainsi que des impressions subjectives, permettant une analyse complète de chaque service. Notre but est de vous recommander des gestionnaires de mots de passe qui non seulement respectent les plus hauts standards de sécurité et de confidentialité, mais aussi de partager nos impressions pour vous aider à juger si les services examinés répondent véritablement à vos attentes et pratiques quotidiennes.
Et l'affiliation ?
Certains avis comportent des liens d’affiliation, signalés par la mention « Cet article contient des liens d'affiliation, ce qui signifie qu'une commission peut être reversée à Clubic », en bas d’article. La gestion des commissions d'affiliation est rigoureusement séparée de notre processus éditorial et relève d’une équipe totalement indépendante. De cette façon, les rédacteurs n’ont aucun aperçu des méthodes de monétisation associées à un test spécifique. Les journalistes sont rémunérés pour leur travail et ne reçoivent pas de commission ni de bonus pour les tests qu’ils rédigent. Chez Clubic, la clarté et l'intégrité éditoriale passent avant tout.
Sécurité
Un gestionnaire de mots de passe détenant toutes les clés d'accès à vos comptes en ligne, voire vos informations les plus sensibles comme des numéros de CB, la sécurité est évidemment le critère le plus important à étudier. Nous vérifions ici que le service ne se sert pas dans vos données, et qu'il met en place suffisamment de mesures de protection pour verrouiller correctement vos identifiants.
- Politique de confidentialité : nous étudions la politique de confidentialité dans le détail et accordons une importance toute particulière à la partie concernant la collecte et le traitement des données. Nous contrôlons que seules les informations d’identification liées à la logistique du compte (adresse mail, moyen de paiement) sont conservées, et qu’elles ne sont en aucun cas reliées d’une quelconque manière à l’activité ni au contenu du gestionnaire. Par là même, nous vérifions que ces éléments ne sont pas traités de manière abusive, ni revendus à des services tiers. En marge de l’analyse de la politique de confidentialité, nous prêtons attention à la juridiction dont dépend l’entreprise pour anticiper les possibles dérogations aux promesses de non-divulgation des données privées en fonction des lois nationales et des accords de renseignement internationaux. Enfin, nous gardons un œil actif sur l’actualité liée aux gestionnaires testés. Les informations recueillies tout au long de l’année participent à consolider, ou écorner, la confiance que nous accordons aux outils testés.
- Chiffrement des données : un simple contrat de confiance basé sur une politique de confidentialité ne suffit clairement pas à statuer sur le bon niveau de sécurité d’un gestionnaire de mots de passe. En plus d’engagements généraux, nous exigeons que les solutions testées mettent en place des garanties tangibles pour protéger les informations stockées dans le gestionnaire. Nous nous attachons donc à vérifier la manière dont sont chiffrées les données en transit et au repos. Nous attribuons aussi davantage de crédits aux services sécurisant leurs infrastructures par un chiffrement zero knowledge complémentaire, empêchant l’entreprise elle-même d’accéder aux contenus hébergés par ses serveurs distants.
- MFA : nous nous assurons que les clients web, desktop et mobiles prennent bien en charge l’authentification multifactorielle pour renforcer l’accès au gestionnaire. Nous apprécions la prise en charge de plusieurs méthodes, avec une préférence marquée pour les applications d’authentification, les passkeys et les clés physiques.
- Audit des mots de passe : nous prenons en compte l’intégration de modules d’alerte instantanée en cas de mots de passe compromis, trop anciens, trop faibles et/ou réutilisés. Les conseils éventuellement fournis par le gestionnaire concernant les mesures immédiates à prendre en cas d’alerte sont un plus.
Gestion des données
Nous contrôlons ensuite que le gestionnaire testé embarque bien quelques fonctionnalités incontournables dédiées à la gestion polyvalente des informations qui lui sont confiées.
- Générateur de mots de passe : un gestionnaire sans générateur de mots de passe, c’est un peu comme une eau gazeuse sans rondelle de citron. Ce n’est pas essentiel en soi, mais ça apporte tout de suite une saveur en plus. Dans le cas où le générateur est bien présent, nous vérifions qu’il fonctionne correctement, génère effectivement des mots de passe uniques, longs, solides et aléatoires. Nous apprécions la flexibilité accordée par l’option quand il est aussi possible de modifier les critères de création (types et nombre de caractères). Nous tenons également compte de sa capacité à proposer de créer et sauvegarder automatiquement de nouveaux mots de passe à l’ouverture d’un compte utilisateur, sur le web comme dans les applications installées sur le système, sans avoir besoin d’ouvrir le gestionnaire au préalable.
- Remplissage et connexion automatiques : nous examinons l'habileté du gestionnaire à s’intégrer aux interfaces web et aux applications, sur mobile comme sur desktop. Il s’agit ici de vérifier que le logiciel propose systématiquement de remplir les champs de connexion lorsque des identifiants associés à l’URL sont détectés dans sa base de données, mais aussi de proposer l’enregistrement de noms d’utilisateur et de mots de passe existants lorsqu’ils ne sont pas déjà stockés dans le gestionnaire. Si le gestionnaire prend en charge les passkeys, nous vérifions qu’ils fonctionnent correctement selon l’appareil et le système d’exploitation utilisés (authentification par empreinte, Windows Hello, code PIN).
- Partage sécurisé des mots de passe : un gestionnaire autorisant le partage sécurisé des mots de passe gagne de fait un bonus. Si l’option est disponible, nous évaluons les techniques de chiffrement et de sécurité complémentaires mises en place, et donnons du crédit à toute fonctionnalité additionnelle offrant à l’internaute un contrôle total sur les données partagées (délai avant expiration du partage, nombre de consultations autorisées, blocage des transferts de liens de partage, fin du partage avant la date d’expiration, etc.).
- Alias : comme le partage sécurisé des mots de passe, la mise à disposition d’un générateur d’alias (mail et/ou identité numérique) constitue un plus pour le gestionnaire. Si tel est le cas, nous prêtons attention au nombre d’alias qu’il est possible de créer et d’utiliser en même temps. Nous vérifions aussi qu’il est possible de supprimer et regénérer des identités et des adresses mail fictives à tout moment.
- Gestion d'autres données personnelles : nous testons la polyvalence du gestionnaire en matière de données prises en charge. Le service peut-il stocker d’autres informations que des mots de passe (numéros de CB, comptes bancaires, codes, notes confidentielles, etc.) ? Si oui, comment ces données additionnelles sont-elles organisées ? Les critères de remplissage, de connexion automatique et de partage sécurisé s’appliquent-ils aussi à ces éléments ?
Synchronisation
Stocker ses mots de passe dans un endroit sécurisé, c'est bien. Pouvoir y accéder d'où l'on veut, quand on veut et comme on veut, c'est encore mieux. Nous vérifions donc que le gestionnaire offre des outils de synchronisation efficaces et flexibles pour répondre aux besoins les plus spécifiques.
- Utilisation 100 % offline : nous nous assurons que le gestionnaire testé synchronise les éléments stockés sur l’appareil pour rester disponibles hors connexion. Il serait dommage de rester enfermé dehors faute d’accès à Internet.
- Importation / exportation : nous testons la facilité avec laquelle il est possible d’importer rapidement des listes de mots de passe existantes. Nous contrôlons que le gestionnaire offre des outils d’automatisation pour les transferts depuis les navigateurs les plus populaires et qu’il prend en charge les importations depuis d’autres services concurrents. Nous en profitons aussi pour vérifier que le gestionnaire testé propose des options simplifiées pour exporter les mots de passe dans des formats de fichiers courants.
- Mode itinérant : nous recherchons l’éventuelle disponibilité d’un mode itinérant, c’est-à-dire d’une option permettant de ne synchroniser localement qu’une partie choisie de ses coffres-forts et mots de passe.
- Installation sur un serveur personnel : nous prenons en considération la possibilité de déployer le gestionnaire sur un NAS ou un autre serveur distant personnel.
Prise en main
Nous jugeons de l'ergonomie générale du service. Sont ici passés au crible les logiciels et applications clients, mais également la réactivité et la pertinence de l'assistance, ainsi que les solutions proposées en cas de perte du mot de passe principal.
- Applications : Nous veillons à ce que le gestionnaire soit disponible pour les plateformes les plus courantes (Windows, macOS, GNU/Linux, Android et iOS). Nous évaluons aussi la manière dont les interfaces s'adaptent aux différents types d'appareils et aux spécificités des systèmes d'exploitation, tout en respectant une charte graphique et structurelle cohérente. La mise à disposition de ressources en ligne pour déployer le gestionnaire sur des serveurs distants est un plus.
- Ergonomie : nous prêtons attention à la manière dont est organisé le gestionnaire. Sa prise en main est-elle intuitive ? Les fonctionnalités essentielles sont-elles facilement accessibles ? L’ajout de nouveaux mots de passe se fait-il rapidement ? L’interface est-elle agréable à parcourir ?
- Service client : nous sollicitons le service client pour évaluer la disponibilité, la réactivité et la pertinence de l’assistance. Peut-on contacter le support par chat ? Des réponses pertinentes sont-elles fournies dans un délai raisonnable ? En français ? Peut-on aisément trouver des ressources sur les plateformes officielles des gestionnaires pour résoudre les problèmes les plus rudimentaires ?
- Kit de secours : nous étudions les modalités de récupération du compte en cas de perte du mot de passe principal. Un kit est-il fourni à l’ouverture du compte ? Peut-on désigner une personne de confiance ?
Rapport qualité/prix
Nous nous concentrons sur le détail des offres gratuites et payantes, et jugeons de leur pertinence au regard de l'ensemble des critères précédemment étudiés.
- Stockage gratuit : nous décortiquons les capacités de stockage comprises dans la version gratuite du gestionnaire et signalons les limites en termes de nombre de mots de passe et/ou de Go, le cas échéant.
- Stockage payant : nous étudions la quantité de stockage supplémentaire commercialisée avec les offres payantes du service.
- Mode famille : nous actons, ou non, de la disponibilité d’un mode famille et mentionnons le nombre d’utilisateurs ou d’utilisatrices pouvant se créer des espaces personnalisés, distincts les uns des autres, avec un même abonnement.
- Tarifs : il s’agit ici de mettre en perspective la grille tarifaire vis-à-vis des options fournies, ainsi que de comparer les prix avec ceux pratiqués par la concurrence, à prestations égales.
Pour aller plus loin
Tous les critères mentionnés et développés ici sont soumis à un système de sous-notations et de coefficients pour aboutir à la note finale. Au-delà de nombreux paramètres identifiés et analysés de manière objective, nos prises en main incluent immanquablement une part de subjectivité, en particulier concernant les aspects liés à l'ergonomie et à la hiérarchie que nous opérons parmi les fonctionnalités mises en avant. Il s'agit en effet de fournir des avis détaillés sans tomber dans le travers de simples analyses de fiches techniques.
Car si l'efficacité théorique des services testés peut, à elle seule, justifier que l'on recommande un gestionnaire de mots de passe plutôt qu'un autre, ce sont finalement les conditions d'utilisation pratique et nos recherches complémentaires qui confirment, ou temporisent, des spécifications alléchantes sur le papier, mais pas toujours bien exploitées en réalité.
20 décembre 2024 à 08h50