Les gestionnaires de mots de passe, expliqués aux Canadiens

L'essentiel

Un gestionnaire est un coffre chiffré. Vous retenez un seul mot de passe maître; il retient le reste.
Bitwarden, 1Password, Proton Pass et Trousseau Apple sont les plus courants. Chacun a ses compromis.
Cherchez le chiffrement de bout en bout, une politique de confidentialité claire, et un hébergement transparent.
Les Canadiens devraient vérifier si le fournisseur stocke leurs données au Canada, aux États Unis ou dans l'UE.

La meilleure chose que vous pouvez faire pour votre sécurité en ligne est d'adopter un gestionnaire de mots de passe. Pas parce que c'est à la mode, mais parce que l'alternative, retenir des dizaines de mots de passe forts uniques, n'est pas faisable pour un cerveau humain.

Ce guide explique ce qu'est vraiment un gestionnaire, comment il fonctionne, ce qu'il faut chercher en tant que Canadien, et quelles options méritent considération.

Ce qu'est vraiment un gestionnaire de mots de passe

Un gestionnaire est un coffre chiffré. Vous y entrez tous vos identifiants une fois, le coffre les chiffre avec un mot de passe maître que vous seul connaissez, et à partir de là le gestionnaire remplit vos mots de passe quand vous visitez un site.

Le calcul derrière est simple. Votre mot de passe maître passe par une fonction de dérivation de clé, qui produit une clé de chiffrement. Cette clé chiffre le coffre. Sans le mot de passe maître, le coffre est illisible, même pour l'entreprise qui l'héberge.

C'est ce qu'on appelle architecture à connaissance nulle ou chiffrement de bout en bout. C'est aussi ce qui rend un gestionnaire sûr même si l'entreprise elle même se fait pirater. Quiconque vole le fichier chiffré ne peut toujours pas lire son contenu.

Pourquoi vous en avez vraiment besoin

L'utilisateur Internet moyen a maintenant environ 100 à 168 comptes en ligne, selon les études. Personne ne retient 168 mots de passe forts uniques. Donc deux comportements: réutiliser sur plusieurs sites, ou choisir des mots de passe simples.

Les deux sont dangereux. Comme nous l'expliquons dans comment créer un mot de passe fort, la réutilisation est le facteur principal des prises de contrôle. Un gestionnaire enlève le choix entre sécurité et santé mentale.

~168

Comptes personnels en ligne par utilisateur

36%

Adultes nord américains utilisant un gestionnaire

3×

Risque accru de vol d'identité sans gestionnaire

Ce qu'il faut chercher

Le marché s'est consolidé autour de quelques options crédibles. Les caractéristiques qui comptent vraiment:

Chiffrement de bout en bout

Votre coffre doit être chiffré avec votre mot de passe maître avant de quitter votre appareil. Le fournisseur ne devrait pas pouvoir le lire. Cherchez la mention architecture à connaissance nulle dans leur documentation. Si elle n'y est pas, passez votre chemin.

L'emplacement des données

La plupart des gestionnaires majeurs stockent votre coffre chiffré sur des serveurs infonuagiques, ce qui rend la synchronisation possible. L'emplacement de ces serveurs compte pour les Canadiens de deux façons:

Conformité. Si vous avez une PME, stocker des identifiants clients dans un centre de données américain peut avoir des implications sous la LPRPDE ou la Loi 25 du Québec.
Juridiction. Les données aux États Unis sont potentiellement assujetties au CLOUD Act et aux procédures juridiques américaines, même pour un client canadien.

Pas un déal breaker pour un usage personnel, mais bon à savoir. Certains fournisseurs, dont 1Password et Bitwarden, permettent aux clients d'affaires de choisir leur région de données.

Un historique propre

LastPass a subi une violation sérieuse en 2022, où des attaquants ont éventuellement obtenu des données de coffres chiffrés avec les URL non chiffrées des sites enregistrés. Les coffres eux mêmes sont restés chiffrés, mais l'exposition des URL fut un vrai échec. Beaucoup d'utilisateurs ont migré ailleurs.

Vérifiez si votre candidat a connu des incidents, comment il a géré la divulgation, et ce qu'il a changé. Les fournisseurs honnêtes publient leur historique.

Code source ouvert

Certains gestionnaires, comme Bitwarden et Proton Pass, publient leur code source. Des chercheurs indépendants peuvent l'auditer. Pas strictement nécessaire, mais signal fort de confiance.

Les options pour les Canadiens

Bitwarden

Code source ouvert, gratuit pour usage personnel, prix modeste pour les plans premium et famille. Hébergement par défaut aux États Unis, région UE disponible sur les plans payants. Bonne réputation. La version gratuite est complètement fonctionnelle, ce qui est rare.

1Password

D'origine canadienne, siège à Toronto. Applications soignées, partage familial fluide, mode voyage excellent pour passer les frontières. Abonnement seulement, pas de gratuit. Hébergement sur AWS dans des régions au choix, dont le Canada.

Proton Pass

Construit par l'équipe de Proton Mail, basé en Suisse. Code source ouvert. Positionnement très axé sur la vie privée. Inclut l'aliasing courriel, qui permet d'utiliser une adresse unique par site sans les gérer vous même.

Mots de passe Apple / Trousseau iCloud

Intégré à chaque appareil Apple. Si tout votre foyer fonctionne sur iPhone et Mac, c'est très bien. Chiffré de bout en bout, gratuit, profondément intégré. L'inconvénient: il fonctionne mal hors du monde Apple.

Gestionnaire de mots de passe Google

Intégré à Chrome et Android. Pratique si vous vivez dans l'écosystème Google. Le chiffrement de bout en bout est disponible mais pas activé par défaut. À activer dans les paramètres.

Et les mots de passe sauvegardés dans le navigateur?

Sauvegarder dans le navigateur vaut mieux que réutiliser des mots de passe faibles, mais ce n'est pas un vrai gestionnaire. Les navigateurs n'ont souvent pas de mot de passe maître séparé, ne chiffrent pas toujours au repos de la même façon robuste, et lient votre sécurité au profil navigateur connecté.

Si vous comptez sur le navigateur aujourd'hui, traitez ça comme une étape de transition. Exportez vos identifiants, importez les dans un vrai gestionnaire, puis effacez les du navigateur.

🍁 Première étape

Générez une longue phrase de passe aléatoire pour votre mot de passe maître. Notre générateur fonctionne entièrement dans votre navigateur. Nous ne voyons jamais ce qu'il produit.

Ouvrir le générateur →

Comment migrer sans devenir fou

Choisissez un gestionnaire. Inscrivez vous. Définissez un mot de passe maître avec une longue phrase de passe que vous avez écrite quelque part.
Installez les applications et extensions sur tous vos appareils.
Importez les mots de passe sauvegardés dans votre navigateur. Le gestionnaire vous guidera.
Sur les deux semaines suivantes, à chaque connexion à un site, laissez le gestionnaire enregistrer. Générez un mot de passe frais pour les comptes importants.
Activez la 2FA sur le gestionnaire lui même. C'est le seul compte où vous ne pouvez pas vous permettre une compromission.

Vous n'avez pas à tout régler en un week end. La plupart des gens ont une installation fonctionnelle après deux semaines de navigation normale.

Risque vs récompense

On demande parfois: n'est ce pas risqué de tout mettre au même endroit? Question juste. La réponse honnête: oui, en théorie. Mais en pratique, l'alternative est de réutiliser des mots de passe ou de les noter dans des fichiers non chiffrés, ce qui est bien pire.

Le profil de risque d'un gestionnaire bien utilisé, avec un mot de passe maître fort et la 2FA, est nettement plus bas que celui de gérer 168 comptes avec votre mémoire. Choisissez le moindre risque.