Si n'importe quel expert en cyber-sécurité vous recommandera les yeux fermés d'utiliser un gestionnaire de mots de passe, ces coffres-forts numériques ne sont pas pour autant des solutions magiques. Ils offrent une protection robuste, mais certaines situations spécifiques peuvent encore mettre vos données en péril si vous n'êtes pas vigilant.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Ne pas utiliser le même mot de passe partout, utiliser des combinaisons variées... on connaît bien les recommandations et c'est certainement la raison pour laquelle l'utilisation de ces outils s'est progressivement généralisée, permettant de sécuriser efficacement nos identifiants. Cependant, que vous soyez un particulier ou une PME. il est toutefois nécessaire de comprendre les limites de leur efficacité.
Une forteresse qui peut avoir quelques failles
Le premier problème technique concerne l'état de votre appareil. Un gestionnaire de mots de passe chiffre vos données, mais il doit les déchiffrer en local pour vous les rendre accessibles. C'est précisément là que les infostealers interviennent. Ces logiciels malveillants, discrets mais insidieux, agissent souvent comme des enregistreurs de frappe (keyloggers). Si votre ordinateur est infecté, le pirate peut intercepter votre mot de passe maître au moment même où vous le tapez, ou pire, exfiltrer votre base de données directement depuis la mémoire vive. Pour détecter ce type de malware, il faut compter sur un antivirus en parallèle.
Certains attaquants ont trouvé la solution pour contourner totalement le problème du mot de passe : le vol de session. Quand vous vous connectez à un site, un fichier témoin appelé cookie est créé pour maintenir votre connexion. Des malwares sophistiqués dérobent ce cookie, ce qui permet au pirate d'accéder à votre compte sans jamais connaître votre mot de passe, ni même ouvrir votre gestionnaire. Le presse-papier de votre système pose un risque similaire. Si vous copiez manuellement un mot de passe pour le coller, un logiciel malveillant peut surveiller cette zone et récupérer le texte avant qu'il ne soit utilisé. Là encore, la base de données virale mise à jour d'un antivirus saura contrer cette attaqu…
Reste aussi la vulnérabilité humaine, particulièrement sur les tentatives d'ingénierie sociale. On ne compte plus les victimes de hackers ayant joint leur victime par téléphone pour les convaincre, via diverses manipulations psychologiques, de se rendre sur un site frauduleux pour y saisir leur identifiant et mot de passe. En théorie, dans ce genre de situation, le gestionnaire refusera de remplir automatiquement les champs sur un faux site, il détectera l'URL frauduleuse. Or bien souvent, les personnes malintentionnées réussissent à convaincre leurs victimes de désactiver leur gestionnaire de mots de passe et de saisir manuellement leurs informations.
Un autre risque souvent oublié, c'est bien sûr le vol ou la perte de votre appareil. Si quelqu'un met la main sur votre ordinateur, tablette ou smartphone déverrouillé, le gestionnaire devient accessible. Sans chiffrement et sans mot de passe de démarrage, votre coffre-fort numérique se retrouve grand ouvert. On ne peut donc que conseiller de verrouiller chacun de ses appareils, voire d'activer une protection supplémentaire à l'ouverture de l'application si le service propose cette option.
Votre mot de passe maître joue un rôle central. S'il est faible, réutilisé ailleurs ou divulgué, la sécurité s'effondre complètement. Un mot de passe maître court ou prévisible devient vulnérable aux attaques automatisées, surtout si la base de données est volée.
Un gestionnaire de mots de passe reste essentiel
Malgré ces vecteurs d'attaque, l'utilisation d'un gestionnaire dédié reste évidemment une base d'une bonne hygiène numérique. Le premier intérêt est simple : il permet de générer des mots de passe longs, complexes et uniques pour chaque service, sans les mémoriser. Cela neutralise complètement les attaques par "bourrage d'identifiants", où un mot de passe volé sur un site est testé sur des dizaines d'autres. Vous n'aurez à retenir que votre mot de passe maître, alors choisissez le bien.
Ces logiciels agissent également comme un rempart contre le phishing, à condition de les utiliser correctement - et de ne pas suivre les conseils douteux d'un inconnu au téléphone ! Contrairement à vous, le gestionnaire ne se laisse pas tromper par une URL proche de celle attendue. Si vous êtes sur g0ogle.com au lieu de google.com, le remplissage automatique refuse de s'activer. Dernièrement, des petits malins ont mis en place leurs attaque en redirigeant les internautes sur rnicrosoft.com au lieu de microsoft.com.
Surtout, le gestionnaire de mots de passe est généralement disponible sur un large nombre de plateformes. Cela signifie donc qu'il sera beaucoup plus simple de synchroniser ses identifiants de manière sécurisée d'un appareil à l'autre, mais aussi de changer de smartphone ou de tester tel ou tel système ou navigateur sans aucune frustration.
