Magazine Internet

Les gestionnaires de mot de passe sont-ils tous sûrs?

Publié le 02 juillet 2018 par Rhw @RevueHW

Il est essentiel d’utiliser des mots de passe robustes, si l’on considère les plus de 30 millions d’attaques par force brute chaque mois. Mais il est vraiment difficile de créer et de se souvenir d’un mot de passe fort, pour chacun de vos comptes. D’où l’intérêt d’un gestionnaire de mots de passe.

Bien qu’il soit fortement recommandé d’utiliser des mots de passe forts, surtout sur un site WordPress, les gestionnaires de mots de passe ne sont pas tous les mêmes.

En effet, certains viennent éventuellement avec des failles de sécurité, qu’un hacker en profiterait pour voler votre identité via une attaque par force brute.

Il existe, heureusement, des moyens de protéger votre site, ainsi que des gestionnaires de mots de passe fiables.

Parlons un peu plus sur les gestionnaires de mots de passe, les risques potentiels de sécurité qu’ils pourraient présenter, mais aussi comment protéger au mieux votre site WordPress ainsi que quelques un des meilleurs gestionnaires de mot de passe.

Ce qu’est un gestionnaire de mot de passe

C’est un programme, une extension au navigateur, ou un outil qui peut stocker en toute sécurité tous les mots de passes que vous voulez sauvegarder.

De cette façon, vous n’aurez pas à vous souvenir de plusieurs mots de passe complexes pour dix (ou une centaine) de sites sur lesquels vous vous identifiez, comme les courriels, Amazon, YouTube, mais aussi votre fournisseur d’Internet, votre opérateur mobile, et tout le reste.

Vos mots de passe sont stockés en toute sécurité dans l’application, lequel vous protégez par un mot de passe principal. L’idée donc c’est que vous n’aviez qu’à vous souvenir de ce seul mot de passe. Grâce à l’application, vous accédez à tous vos informations d’identifications, et en faire usage si besoin y est.

Certains gestionnaires de mots de passe viennent avec des options supplémentaires telles qu’une identification à deux facteurs, ou un remplissage automatique des champs identifiants et mots de passe pour se connecter sur un site.

Le problème avec les gestionnaires de mots de passe

Bien que les applications qui gèrent les mots de passe soient très pratiques, il y a également des risques de sécurités qui viennent avec. C’est surtout le cas quand vous utilisez une extension d’un navigateur qui est accessible par le gestionnaire de mots de passe que vous utilisez.

Si vous visitez un site web contenant des logiciels malveillants, vulnérable à une attaque CSRF (Cross-Site Request Forgery) ou XSS (Cross-Site Scripting) et que votre gestionnaire de mot de passe est une extension à votre navigateur, tous vos mots de passe peuvent être volés sans que vous les sachiez.

Cela pourrait se produire de plusieurs manières.

Prenons, par exemple, le cas d’une faille de sécurité de LastPass. Le site vulnérable peut être injecté avec un script vérifiant l’extension du navigateur d’un visiteur.

Si l’utilisateur l’a activé en visitant le site, le script affiche une notification en haut de la page sui semble identique à celle que LastPass affiche souvent, celle qui indique qu’il faut se connecter à nouveau en raison d’une session expirée.

L’utilisateur va donc cliquer sur le lien et un site d’hameçonnage, qui ressemble à la page de connexion de LastPast, va se charger.

Les gestionnaires de mot de passe sont-ils tous sûrs?
Les pirates sont de plus en plus malins et les sites d’hameçonnage plus difficiles à détecter.

L’utilisateur se connecterait et le site malveillant vérifierait l’API de LastPass pour confirmer les détails. Si les informations d’identifications sont correctes, le site d’hameçonnage demande une identification à deux facteurs dans lequel l’utilisateur doit entrer.

Le site d’hameçonnage va encore vérifier l’API de LastPass, et si les détails sont confirmés, les informations d’indentification sont automatiquement envoyées au serveur du pirate, qu’il pourra utiliser de suite.

Si l’utilisateur a entré le mauvais identifiant ou mot de passe, le script vérifie l’API LastPass et une fois qu’il verra que les détails ne sont pas les bons, le script charge un message d’erreur, demandant à l’utilisateur de réessayer.

D’autres problèmes de sécurité de LastPass donnent un accès complet aux commandes internes LastPass RPC privilégiés et un accès à l’exécution de code. Il y a eu aussi des problèmes qui permettaient à un pirate de contourner des notifications de LastPass pour créer une attaque d’hameçonnage similaire à celle décrite ci-dessus.

La fête à des failles de sécurité

LastPass n’est pas le seul gestionnaire de mots de passe, basé sur un navigateur, qui a rencontré plusieurs vulnérabilités, selon Network World.

Keeper, Dashlane et 1Password ont tous eu des problèmes.

Par exemple, un problème de sécurité de Keeper permettait à l’extension d’injecter son interface utilisateur dans un site qui n’est pas fiable, le laissant ouvert aux attaques CSRF, XSS ou d’autres.

Dashlane a rencontré une faille de sécurité XSS. La vulnérabilité permettrait à n’importe quel site d’attaquer un autre avec une faille XSS, ce qui compromettrait les cookies et les données de l’utilisateur, y compris les informations d’identifications pour se connecter à n’importe quel site.

Un bug de 1Password a également signalé un nombre de problèmes avec le modèle de sécurité de 1Password qui entraînent la désactivation du modèle de sécurité local, ainsi qu’un certain nombre de fonctionnalité de sécurité, de sandboxing et de virtualisation.

A part la vulnérabilité d’hameçonnage sur LastPass, tous ces problèmes on depuis été corrigés. Mais, des problèmes de sécurité plus similaires apparaissent toujours dans les gestionnaires de mots de passe, surtout pour ceux qui sont des extensions de navigateur.

Les gestionnaires de mot de passe sont-ils tous sûrs?
Les failles se trouvent souvent sur les gestionnaires de mots de passe sont une module d’extension à un navigateur.

Les failles avec les modules d’extensions

Comme mentionné précédemment, de nombreux gestionnaires de mots de passe incluent une fonction de remplissage automatique qui remplit automatiquement le formulaire d’identification d’un site avec les informations correctes précédemment enregistrées. Cette fonctionnalité de remplissage automatique est une source particulière de faille de sécurité, selon Wired.

D’après un rapport, les navigateurs avec des gestionnaires de mots de passe intégrés, qui commencent à être exploités, sont vulnérables depuis longtemps.

Les pirates ont créés des scripts qui peuvent traquer la fonctionnalité de remplissage automatique du gestionnaire de mots de passe pour voler directement les informations d’identification sans même que vous en soyez informé.

Préparez-vous, car, s’il n’y a qu’un millier de sites qui ont étés traqués jusque là, ce n’est que le début.

D’autres problèmes

A part toutes ces failles de sécurité, les gestionnaires de mots de passe ne peuvent pas vous protéger, une fois que vos identifiants de connexion ou votre identité ont été volés.

Vous pouvez rapidement changer votre mot de passe, si vous découvrez une faille de sécurité, mais les vulnérabilités mentionnées ci-dessus peuvent voler les informations vous identifiants sans que vous, ni le site, ne le sachiez.

Après que vous en soyez victime, un gestionnaire de mot de passe ne peut, en aucune façon, vous sauver de ces genres de menace.

Mais vous pensez peut-être que si un site que vous utilisez s’est fait piraté, le site vous en informera.

Détrompez-vous, car pendant des années, il y a eu plusieurs cas où des informations d’identifications ont été volées sur un site, mais les utilisateurs n’en ont pas été informés. Et même qu’on ne va citer que les grandes entreprises comme Yahoo!, Uber ou Equifax.

Ainsi, un gestionnaire de mots de passe sécurisé ne vous mets pas toujours à l’abri, quand les sites web et les entreprises ne sécurisent pas suffisamment leurs sites.

Protégez vos mots de passe et votre site WordPress

Heureusement pour vous, car il existe plusieurs moyens de protéger vos informations d’identification, ainsi que de protéger votre site WordPress contre les risques potentiels de sécurité des gestionnaires de mots de passe.

Il y a aussi des moyens de protéger vos mots de passe tout en profitant de la praticité d’un gestionnaire de mots de passe, même si l’un de vos comptes est piraté.

Devriez-vous utiliser un gestionnaire de mots de passe ?

Avec toutes les failles de sécurité qui viennent avec les différents gestionnaires de mots de passe, est-ce que vous ne devriez plus songer à en utiliser ?

Non, il y en existe des fiables. C’est de loin mieux que de n’en utiliser aucun. Surtout si vous ne voulez plus utiliser le même mot de passe dans tous vos comptes.

Si vous n’en utilisez pas, vous êtes beaucoup plus vulnérable, puisque vous ne disposez d’une couche de sécurité supplémentaire.

Utiliser un gestionnaire de mot de passe, ayant eu des failles de sécurité dans le passé, peut être déconcertant, mais cela ne veut pas dire qu’il n’est pas sûr.

Un gestionnaire de mot de passe correctement pris en charge et souvent mis à jour fera de ces failles des souvenirs, et vos mots de passe sont à l’abri des hackers.

Utilisez des mots de passe forts (moins susceptibles d’être piratés lors d’une attaque par force brute) avec l’aide d’un gestionnaire de mots de passe fiable. Vous n’avez plus à vous souvenir de tous vos mots de passe, sachant qu’ils sont stockés en toute sécurité dans un seul endroit.

Avec les gestionnaires de mots de passes listés un peu plus bas, vous pouvez vous protéger au maximum, si l’un de vos comptes est piraté. Vous pouvez changer vite votre mot de passe, et souvent avant que le pirate ait une chance d’utiliser vos informations d’identification.

Les gestionnaires de mot de passe sont-ils tous sûrs?
Utiliser un gestionnaire de mot de passe sûr est mieux que rien.

Évitez quand même d’utiliser un gestionnaire de mots de passe qui est une extension ou qui est intégré au navigateur, comme celui fourni avec Chrome.

Utilisez à la place des programmes autonomes, car ils sont plus sûrs. Assurez-vous de ne pas utiliser l’option du remplissage automatique si l’application en possède.

Vous pouvez, en plus, stocker vos mots de passe dans un fichier crypté, comme une option de sauvegarde qui s’ajoute au gestionnaire de mots de passe sécurisé que vous utilisez. Ainsi, dans le cas où vous oubliez votre mot de passe maître, vous disposez d’un autre moyen pour récupérer vos informations d’identification.

Autres façons de protéger vos mots de passe

À part utiliser un gestionnaire de mots de passe, voici d’autres options pour protéger vos mots de passe :

  • Utilisez différents mots de passe complexes pour chaque site sur lequel vous vous inscrivez.
  •  N’utilisez pas un mot de passe que vous avez utilisé dans le passé.
  • Changez vos mots de passe au moins tous les trois mois.
  • Ne vous inscrivez pas sur un site n’ayant pas un certificat SSL valide.
  • Mettez régulièrement à jour votre navigateur.
  • Faites des recherches sur les extensions de votre navigateur avant de les installer, pour éviter les malwares.
  • Vérifiez souvent les extensions de vos navigateurs pour isoler ceux qui ont été piraté, cela afin d’éviter que votre navigateur ou ordinateur ne soit infecté.
  • N’utilisez jamais une fonction de remplissage automatique.
  • Utilisez un puissant antivirus et anti-malware sur votre ordinateur ainsi que vos appareils mobiles.
  • Planifiez des scans antivirus réguliers.
  •  Soyez prudents en naviguant sur le web, n’allez pas sur un site qui ne dispose pas d’un certificat SSL valide.
  •  Ne vous connectez pas à un site via une connexion Wi-Fi publique.
  •  N’utilisez pas une fonctionnalité de connexion automatique si votre navigateur prend en charge cette option.

Crypter les fichiers est également une option, et vous pouvez utilisez un programme comme VeraCrypt ou l’outil de cryptage intégré de Mac pour y parvenir.

C’est particulièrement prudent quand vous développer localement des sites WordPress, sachant votre ordinateur peut être infecté par des malwares téléchargés accidentellement ou sans que vous en soyez conscient (en ligne ou par email).

Protégez votre site WordPress

Il existe également plusieurs façons de protéger les utilisateurs de votre site WordPress contre les failles de sécurité qui sont souvent associées à l’utilisation de gestionnaires de mots de passe pas fiables.

Sécurisé donc votre site WordPress :

  • Utilisez un certificat SSL (comme le certificat gratuit de Let’s Encrypt) sur votre site.
  • Activez l’authentification à deux facteurs.
  • Imposez à tous les utilisateurs l’authentification à deux facteurs.
  • Demandez à tous les utilisateurs d’utiliser des mots de passe robustes.
  • Utilisez un plugin de sécurité.
  • Faites tous ce qui est dans votre pouvoir pour renforcer la sécurité globale de votre site.

Les meilleurs gestionnaires de mots de passe

Les deux gestionnaires de mots de passe suivants sont des applications autonomes qui sont stables et mises à jour régulièrement pour assurer leur sécurité. Ils offrent chacun leurs propres fonctionnalités et expériences utilisateurs. Essayez-les et choisissez celui qui vous convient.

 1Password

Les gestionnaires de mot de passe sont-ils tous sûrs?

On a parlé ci-dessus d’une vulnérabilité de 1Password, mais elle a été entièrement corrigée. 1Password est également mise à jour vigoureusement pour s’assurer que d’autres failles et bugs sont corrigés avant qu’un hacker ait une chance de les exploiter.

C’est également un gestionnaire de mot de passe premium, qui ne dispose pas de fonction de remplissage automatique, pour plus de sécurité, et possède des fonctionnalités supplémentaires comme une clé secrète à utiliser avec votre mot de passe principal, ainsi qu’un kit d’urgence à remplir en cas d’oubli du mot de passe.

Vous pouvez y stocker plus que des mots de passe, comme votre numéro de sécurité, les informations sur votre passeport, et bien d’autres. Une option pour synchroniser l’application sur votre ordinateur à vos appareils mobiles est également disponible, pour une utilisation plus pratique.

 KeePass

Les gestionnaires de mot de passe sont-ils tous sûrs?

Un outil autonome, KeePass est un gestionnaire de mots de passe gratuit et libre. Son interface utilisateur est un peu plus compliquée à utiliser, mais c’est une option fiable, puisque ce n’est pas le personnel limité d’une entreprise, qui s’occupe de la maintenance.

Maintenance et audit régulier sont effectués par une grande communauté d’experts en sécurité, pour toujours fournir les meilleures fonctions de sécurité possibles.

Alors qu’il est doté de puissantes fonctionnalités de base, la synchronisation avec les appareils mobiles n’est pas disponible. Il existe, cependant, des extensions mobiles, non officielles, développées par la communauté.

Conclusion

Les hackers qui exploitent les programmes destinés à assurer votre sécurité, les sites web qui ne respectent pas votre vie privée, votre identité qui peut être volée, tout cela laisse à croire qu’Internet est un endroit effrayant.

Mais heureusement, les gestionnaires de mots de passe fiables et les astuces ci-dessus peuvent vous aider, et contribuent à votre sécurité sur le web.


Retour à La Une de Logo Paperblog

A propos de l’auteur


Rhw 642 partages Voir son profil
Voir son blog

Magazine