Gestionnaire de mots de passe

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Un gestionnaire de mots de passe est un type de logiciel ou de service en ligne qui permet à un utilisateur de gérer ses mots de passe, soit en centralisant l'ensemble de ses identifiants et mots de passe dans une base de données (portefeuille), soit en les calculant à la demande. Le gestionnaire de mots de passe est protégé par un mot de passe unique — appelé mot de passe maître —, le seul que l'utilisateur se doit de retenir.

Affranchi de la contrainte de se souvenir de ses différents mots de passe, l'utilisateur peut ainsi se permettre d'en choisir de plus compliqués (et donc de plus robustes), et d'avoir un mot de passe différent pour chaque compte ou chaque document (de sorte que si l'un des mots de passe est intercepté, les autres comptes ou documents ne sont pas rendus vulnérables).

Cet article traite essentiellement des portefeuilles de mots de passe.

Sécurité[modifier | modifier le code]

En principe, les mots de passe sont stockés de manière chiffrée. Néanmoins, lorsque le programme accède aux données, il est fréquent que celles-ci soient temporairement stockées en clair^[1], ce qui peut poser des problèmes de sécurité, puisqu'un logiciel malveillant exécuté à l'insu de l'utilisateur, tel qu'un cheval de Troie, pourrait y accéder.

Le principal inconvénient d'un gestionnaire de mot de passe tient au fait que si le mot de passe principal est découvert, l'ensemble de ceux qui sont enregistrés est compromis. Ceci illustre la relation qui existe entre l'utilisabilité et la sécurité : une utilisabilité accrue implique des risques plus élevés.

Méthodes de chiffrement[modifier | modifier le code]

Pour chiffrer les informations qu'ils gèrent, les gestionnaires de mots de passe utilisent des algorithmes de chiffrement. Les plus fréquemment employés sont :

AES, sans doute le plus connu, est utilisé par la plupart des logiciels, dont LastPass, KeePass, 1Password, Bitwarden, Teamlock, Keeper et LockSelf.
Twofish est également implémenté dans le même KeePass.

Ce sont tous des algorithmes de chiffrement symétrique, c'est-à-dire à clé secrète servant à la fois au chiffrement et au déchiffrement des informations.

Formes[modifier | modifier le code]

Un gestionnaire de mots de passe peut prendre la forme d'un logiciel autonome, ou d'un module d'extension pour un navigateur web. Les mots de passe peuvent être stockés en local (sur un disque dur, sur un support amovible tel qu'une clé USB), en utilisant les technologies de l'informatique en nuage, ou bien sur un site web^[2]. Cette dernière solution a l'avantage d'être accessible depuis n'importe quel ordinateur connecté à Internet, et de réduire le risque de perdre les mots de passe en cas de défaillance du support de stockage ; quant au risque d'interception lors de l'échange sur le réseau, il peut être évité par un chiffrement côté client. Les gestionnaires de mots de passe en ligne constituent une alternative aux systèmes d'authentification unique tels qu'OpenID, et peuvent servir de solution temporaire en attendant leur implémentation.

Fonctionnalités[modifier | modifier le code]

Certains gestionnaires de mots de passe sont capables de remplir automatiquement les formulaires de saisie, à la place de l'utilisateur, dès que l'un des mots de passe enregistrés est requis. Ceci constitue une bonne parade à l'hameçonnage, dans la mesure où, contrairement à un humain, un système de saisie automatique ne peut pas être leurré par des interfaces graphiquement proches. Cependant, certaines procédures d'authentification trop complexes peuvent ne pas être prises en charge par tous les gestionnaires de mots de passe.

Certains gestionnaires de mots de passe sont aussi capables de tester la robustesse des mots de passe, et/ou d'en générer de manière aléatoire.

Sont apparus récemment des dispositifs conçus spécifiquement pour créer, protéger et gérer les mots de passe dits « administrateur » ou « privilège » (exemple : ROOT sur un serveur). Ces solutions sont capables de générer un mot de passe selon une politique prédéfinie, d'en assurer la protection (stockage chiffré), les rotations (choix de la fréquence) et la traçabilité de l'usage. Les mots de passe importants (mainframe, serveurs, bases de données, pare-feu, iPBX, commutateur fédérateur, annuaire LDAP ou Active Directory, etc.) ne sont ainsi plus connus des administrateurs, qui doivent désormais les obtenir de la solution, après authentification.

Les dernières versions de ces solutions sont également capables de gérer les mots de passe embarqués dans les applications.

Liste[modifier | modifier le code]

Cette section a besoin d'être recyclée (septembre 2023).
Une réorganisation et une clarification du contenu sont nécessaires.

Libres[modifier | modifier le code]

Propriétaires[modifier | modifier le code]

1Password développé par AgileBits.
Dashlane
Enpass
Evidian Enterprise SSO, Evidian Authentication Manager, Evidian Web SSO
Evitag NFC - Gestionnaire matériel
Gatora
Hoplite Key Manager - Gestionnaire matériel français
Keeper
LastPass
Lockself - Gestionnaire de mots de passe pour entreprise.
MemMyPass
Norton password manager - Développé par Norton LifeLock
Kaspersky Password Manager - Développé par Kaspersky Lab

Informations de base[modifier | modifier le code]


Nom	Licence	Système d'exploitation prise en charge	Intégration navigateur	Format d'accès	Fuites connues
1Password	Propriétaire	Android, iOS, Linux, macOS, Windows	Oui	Application et Saas
Bitwarden	Server : AGPL-3.0-only Clients : GPL-3.0-only	Android, iOS, Linux, macOS, Windows	Oui	Application et Saas
Dashlane	Propriétaire / Freemium	Android, iOS, macOS, Windows	Oui	Application et Saas
Enpass	Propriétaire	Android, BlackBerry 10, iOS, Windows Store, Windows Phone, macOS, Windows, Linux	Oui	Application et Saas
Firefox Lockwise	Mozilla Public License	Logiciel multiplateforme, application mobile)	Oui	Saas
GNOME Keyring	GPL-2.0-or-later	Type Unix	Intégration avec GNOME Web et Chromium, extension non officielle pour Firefox	Application
Google Password Manager^[3]	Propriétaire		Oui	Saas
Intuitive Password	Propriétaire / Freemium	Android, iOS, Linux, macOS, Windows, Windows Phone	Oui	Saas
KeePass	GPL-2.0-or-later	Windows, (portage informatique non officiel : Android, iOS, Linux, macOS, Windows Phone)	Oui, par saisie automatique	Application, synchronisation externe
KeePassX^[4]	GPL-2.0-only or GPL-3.0-only	Windows, Linux, macOS	Oui, par saisie automatique	Application
KeePassXC	GPL-2.0-only or GPL-3.0-only	Windows, Linux, macOS	Oui	Application, synchronisation externe
Keeper	Propriétaire / Freemium	Android, iOS, Kindle, Linux, Nook, macOS, Windows, Windows Phone	Oui	Application et Saas
KeeWeb	MIT	Windows, Linux, macOS, version WEB	Oui, par saisie automatique	Application, Saas et Application web
Keychain	APSL-2.0	iOS (en tant que trousseau iCloud), macOS	en version iCloud	Logiciel utilitaire
KWallet	LGPL	Type Unix	Intégration avec Konqueror et Chromium, par module complémentaire non officiel pour Firefox	Application
LastPass	Propriétaire / Freemium	Logiciel multiplateforme et application mobile	Oui	Application et Saas	2015 2022
Meldium	Propriétaire / Freemium	Logiciel multiplateforme et application mobile	Oui	Saas
Mitro (defunct)	GPL-3.0-only	Logiciel multiplateforme	Oui	Saas
Mitto	Propriétaire / Saas	Logiciel multiplateforme	Oui	Saas
Myki	Propriétaire / Freemium	Logiciel multiplateforme et application mobile	Oui	Application et Saas
NordPass	Propriétaire / Freemium	Android, iOS, macOS, Windows, Linux	Oui	Application avec fournisseur de preuve
oneID (defunct)	Propriétaire / Freemium	Logiciel multiplateforme et application mobile	Oui	Application et Saas
Pass	GPL-2.0-or-later	Android, FreeBSD, Linux, macOS	Par module complémentaire Firefox et Chromium	Application et Git
Password Safe	Artistic-2.0	Android, iOS, Linux (beta), FreeBSD (beta), Windows (portage informatique non officiel : macOS, Windows Phone)	par saisie automatique	Application
Pleasant Password Server	Propriétaire	Logiciel multiplateforme et application mobile	Oui	Application
Proton Pass	GPL-3.0-or-later	application mobile	module complémentaire pour Chrome, Firefox, Brave et Edge	Saas
SafeInCloud	Propriétaire	Android, iOS, macOS, Windows	Oui	Application et Saas
Yojimbo	Propriétaire	macOS, iOS (iPad seulement)	Non	Application et Saas

Caractéristiques[modifier | modifier le code]

Fournisseur	Coût	Import à partir du navigateur	Import des concurrents	Authentification multifacteur	Export des données	Enregistrement automatique du mots de passe	Remplissage automatique du mots de passe	Formulaires	Formulaire d'identité multiple	Rapport sur la force des mots de passe	Partage sécurisé	Digital legacy (en)	Application portable	Mots de passe des applications	Menu du navigateur des connexions	Chiffrement au niveau des applications	Partage sécurisé des mots de passe
1Password	$3–5 (mensuel)	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui
Bitwarden	Prix libre ou $10 (annuel)	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Dépend	Oui Read only	Oui	Oui	Oui	Oui
Dashlane	Prix libre ou $4.99/$9.99 (mensuel)	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui
Encryptr	Prix libre	Non	?	Non	Oui	Non	?	Non	?	Non	?	?	?	?	?	?	?
Enpass (en)	Prix libre ou $12 (annuel)	Non	Oui	Oui	Oui	Oui	Non	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Non
GNOME Keyring	Prix libre	?	?	?	?	?	?	?	?	?	?	?	?	?	?	?	?
Intuitive Password (en)	Prix libre ou $2 (mensuel)	Non	Oui	Oui	Oui	Oui	Oui	Oui	Non	Oui	Oui	Dépend	Oui	Oui	Oui	Oui	?
KeePass	Prix libre	Oui	Oui	Oui (Plugin)	Oui	Oui	Oui	Oui	Oui	Oui	Optionnel (Requires add-on server)	Dépend	Oui	Oui	Oui	Oui	?
KeePassXC	Prix libre	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Non	Dépend	Oui	Oui	Oui	Oui	?
Keeper (password manager) (en)	Prix libre ou $30 (annuel)	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui
KeeWeb (en)	Prix libre	Non	Oui	Non	Oui	Oui	Oui	Oui	Oui	Non	Oui	Dépend	Oui	Oui	Oui	Oui	?
KWallet KWallet (en)	Prix libre	?	?	?	?	?	?	?	?	?	?	?	?	?	?	?	?
LastPass	Prix libre ou $36.00 (annuel)	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui
Myki (password manager) (en)	Prix libre	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Non	Oui	Oui	Peut-être	Oui	Oui	Oui	Oui	?
NordPass	No cost ou $2.99 mo when paying for a year	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Non	Non	Non	Oui	Oui	Oui
Norton Password Manager	Prix libre	Oui	Oui	Non	Oui	Oui	Oui	Oui	Oui	Non	Non	Non	Oui (iOS - US only)	Oui	Oui	Oui	?
Pass	Prix libre	Oui	Oui (Third-Party)	Oui	Oui	Oui (Third-Party)	Oui (Third-Party)	Oui (Third-Party)	Oui	Oui (Third-Party)	Oui	Dépend	Oui	Oui	Oui (Third-Party)	Oui	?
Pleasant Password Server (en)	Prix libre ou $10 (mensuel)	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui	?
Passkey Portable (en)	Prix libre	Non	Oui	Non	Oui	Non	Non	Oui	Oui	Non	Oui	Oui	Oui	Oui	Non	Oui	?

Références[modifier | modifier le code]

Cet article est partiellement ou en totalité issu de l'article intitulé « Liste des gestionnaires de mots de passe » (voir la liste des auteurs).

↑ (en) Revelation: About, un gestionnaire de mots de passe pour GNOME.
↑ « Comment fonctionne un gestionnaires de mots de passe ? », sur IONOS Digital Guide (consulté le 8 septembre 2022)
↑ « Google Password Manager », passwords.google.com
↑ (en) Dean, Anthony, « KeePassX: Keeping Your Passwords Safe », linuxjournal.com,‎ 16 juillet 2012 (lire en ligne, consulté le 8 décembre 2019)

Bibliographie[modifier | modifier le code]

Neil J. Rubenking, « The Best Password Managers for 2020 », PC Magazine, 7 février 2020
Pogue, David (5 juin 2013). "Remember All Those Passwords? No Need". The New York Times, 8 décembre 2019.

Voir aussi[modifier | modifier le code]

Fatigue de mot de passe

Portail de la sécurité informatique

[1] (en) Revelation: About, un gestionnaire de mots de passe pour GNOME.

[2] « Comment fonctionne un gestionnaires de mots de passe ? », sur IONOS Digital Guide (consulté le 8 septembre 2022)

[3] « Google Password Manager », passwords.google.com

[4] (en) Dean, Anthony, « KeePassX: Keeping Your Passwords Safe », linuxjournal.com,‎ 16 juillet 2012 (lire en ligne, consulté le 8 décembre 2019)

[1]

[2]

[3]

[4]