Votre gestionnaire de mots de passe est-il vraiment sécurisé ?

L’année dernière, nous avons assisté à une vague de nouveaux rapports à propos des données personnelles de divers services en ligne, et même de gestionnaires de mots de passe connus, qui ont été divulguées. Si vous utilisez un coffre numérique, vous vous êtes certainement imaginé le pire lorsque vous avez entendu parler de ces fuites de données : les cybercriminels ont eu accès à tous les mots de passe des comptes que vous conservez dans le gestionnaire de mots de passe.

Ces craintes sont-elles fondées ? Nous allons prendre l’exemple de Kaspersky Password Manager afin de vous expliquer le fonctionnement des multiples niveaux de défense des gestionnaires de mots de passe et voir ce que vous pouvez faire pour renforcer leur sécurité.

Quelques principes généraux

Commençons par voir pourquoi les gestionnaires de mots de passe sont une bonne idée. Le nombre de services sur Internet ne cesse d’augmenter et cela signifie que nous devons utiliser beaucoup de noms d’utilisateur et de mots de passe. Ce n’est pas facile de tous les retenir et vous ne pouvez pas non plus les écrire n’importe où puisque ce pourrait être dangereux. La seule solution est de stocker tous vos identifiants dans un seul endroit sécurisé puis de verrouiller ce coffre-fort à l’aide d’une clé unique. Ainsi, vous n’avez qu’à vous souvenir du mot de passe principal.

Lorsque vous activez Kaspersky Password Manager pour la première fois, le programme vous demande de créer le mot de passe principal que vous utiliserez pour ouvrir votre coffre-fort numérique. Vous pouvez alors saisir dans ce coffre-fort toutes les données de chaque service en ligne que vous utilisez : URL, nom d’utilisateur et mot de passe. Vous pouvez le faire manuellement, ou vous pouvez utiliser l’extension du navigateur du gestionnaire de mots de passe et vous servir du raccourci pour transférer tous les mots de passe enregistrés dans le navigateur vers le coffre-fort. En plus des mots de passe, vous pouvez conserver d’autres documents personnels dans le coffre-fort, comme une copie de votre carte d’identité, les données de votre assurance, les informations bancaires ou des photos importantes.

Pour visiter un visite, il vous suffit d’ouvrir le coffre-fort puis de copier manuellement les données nécessaires dans le formulaire de connexion ou d’autoriser le gestionnaire de mots de passe à remplir automatiquement les identifiants de connexion sauvegardés pour le site en question. Ensuite, il ne vous reste plus qu’à verrouiller à nouveau votre coffre-fort.

Le coffre-fort numérique et le verrouillage automatique

Maintenant, analysons les mécanismes de protection. Le fichier du coffre-fort est chiffré grâce à un algorithme de cryptographie asymétrique basé sur le cryptage Advanced Encryption Standard (AES-256) généralement utilisé partout dans le monde pour protéger les données confidentielles. Pour accéder au coffre-fort, vous utilisez une clé qui dépend de votre mot de passe principal. Si ce mot de passe est fort, les cybercriminels auront besoin de beaucoup de temps pour le déchiffrer sans la clé.

De plus, notre gestionnaire de mots de passe verrouille automatiquement le coffre-fort lorsque l’utilisateur est inactif pendant un certain temps. Si un cybercriminel a accès à votre dispositif et réussit à déjouer le système de protection du système d’exploitation et à atteindre le fichier du coffre-fort, il ne pourra pas lire ce qu’il contient puisqu’il lui manquera le mot de passe principal.

Vous choisissez comment vous souhaitez configurer le verrouillage automatique. Le paramètre par défaut de l’application ne verrouille le coffre-fort qu’après qu’un laps de temps assez long s’est écoulé. Si vous avez l’habitude d’utiliser votre ordinateur portable ou votre smartphone dans un endroit qui n’est pas complètement sûr, vous pouvez faire en sorte que le verrouillage automatique s’active au bout d’une minute.

Il y a tout de même une autre faille potentielle : si un cybercriminel a envoyé un cheval de Troie ou a utilisé une autre méthode pour installer un protocole d’accès à distance sur votre ordinateur, il pourrait essayer d’extraire les mots de passe du coffre-fort tant que vous y êtes connecté. En 2015, un outil de piratage similaire a été créé pour le gestionnaire de mots de passe KeePass. Il déchiffrait et conservait dans un nouveau fichier toute une archive qui contenait les mots de passe exécutés sur l’ordinateur lorsque KeePass était ouvert.

Kaspersky Password Manager est généralement utilisé avec les antivirus de Kaspersky, ce qui diminue grandement le risque d’exécution du gestionnaire de mots de passe sur un ordinateur infecté.

Le principe de connaissance zéro

Le fichier chiffré avec les mots de passe peut être sauvegardé sur votre dispositif et sur l’infrastructure Cloud de Kaspersky. Cela vous permet d’utiliser le coffre-fort depuis plusieurs appareils, dont plusieurs ordinateurs personnels et smartphones. Une option spéciale dans les paramètres permet de synchroniser les données sur tous les dispositifs équipés de Kaspersky Password Manager. Vous pouvez également utiliser la version Web du gestionnaire de mots de passe depuis n’importe quel dispositif en vous connectant à votre compte My Kaspersky.

Quelle est la probabilité d’une fuite de données si vous utilisez le Cloud ? Tout d’abord, il est important de comprendre que nous suivons le principe de connaissance zéro. Cela signifie que le mot de passe de votre coffre-fort est autant chiffré pour Kaspersky que pour n’importe qui d’autre. Les développeurs de Kaspersky ne peuvent pas lire le fichier. La personne ne peut ouvrir le fichier que si elle connaît le mot de passe principal.

La plupart, mais pas tous, des services actuels qui stockent les mots de passe et autres secrets ont adopté un principe similaire. Si vous lisez un article à propos d’une fuite de données d’un service de stockage basé sur le Cloud, ne paniquez pas : cela ne signifie pas forcément que les cybercriminels ont pu déchiffrer les données volées. Avec ce genre de faille, c’est comme si vous volez le coffre-fort d’une banque mais que vous n’avez pas la combinaison pour l’ouvrir.

Dans ce cas, votre mot de passe principal est la combinaison. Voici un autre principe de sécurité important : Kaspersky Password Manager ne sauvegarde pas votre mot de passe principal sur vos dispositifs ou sur le Cloud. Même si un cybercriminel a accès à votre ordinateur ou au service de stockage basé sur le Cloud, il ne pourra pas obtenir le mot de passe principal du produit. Vous êtes la seule personne à connaître ce mot de passe.

Un mot de passe principal fort

La divulgation d’un fichier chiffré qui contient les mots de passe peut aussi créer des problèmes. Une fois que les cybercriminels sont dans le coffre-fort, ils pourraient essayer de le pirater.

On trouve principalement deux méthodes d’attaque. La première se fait par force brute. En général, cette procédure est très longue. Si votre mot de passe contient une dizaine de caractères choisis au hasard et inclus des majuscules, des minuscules, des caractères spéciaux et des chiffres, il leur faudra réaliser plus d’un sextillion d’opérations pour attaquer par force brute toutes les combinaisons. On parle là d’un nombre entier à 21 chiffres !

Si vous avez décidé de faire les choses simplement et avez choisi un mot de passe simple, comme un mot ou une combinaison de chiffres telle que « 123456 », l’analyse automatique va le deviner en moins d’une seconde puisque, dans ce cas, l’attaque par force brute ne dépend pas de symboles individuels mais d’un dictionnaire avec les combinaisons les plus populaires. Malgré ça, de nombreux utilisateurs choisissent encore leur mot de passe à partir de dictionnaires (des combinaisons de symboles qui sont depuis longtemps dans les dictionnaires des scanners des cybercriminels).

Cet éventuel problème a été communiqué aux utilisateurs du gestionnaire de mots de passe LastPass en décembre 2022. Lorsque le compte d’un développeur de LastPass a été piraté, les cybercriminels ont eu accès à l’hébergement Cloud de l’entreprise. Parmi les données obtenues, les cybercriminels ont trouvé les sauvegardes des mots de passe du coffre-fort des utilisateurs. L’entreprise a expliqué aux utilisateurs qu’ils n’avaient rien à craindre s’ils avaient suivi les conseils donnés, et qu’ils avaient créé un mot de passe principal unique et fort, puisque ça leur « prendrait des millions d’années » de deviner ces mots de passe par force brute. En revanche, les gens qui avaient utilisé des mots de passe plus faibles ont immédiatement dû les changer.

Heureusement, la plupart des gestionnaires de mots de passe, dont Kaspersky Password Manager, vérifie automatiquement la force de votre mot de passe principal. S’il est faible ou moyen, le gestionnaire va vous avertir et vous ne devez pas l’ignorer.

Un mot de passe principal unique

La seconde méthode d’attaque repose sur le fait que les gens utilisent souvent les mêmes identifiants de connexion pour divers services en ligne. Si les informations d’un de ces services sont divulguées, les cybercriminels vont automatiquement utiliser les combinaisons identifiant – mot de passe pour attaquer par force brute d’autres services. Cette attaque est connue comme le credential stuffing et est souvent fructueuse.

Les utilisateurs de Norton Password Manager ont été avertis de ce genre d’attaque au cours des premières semaines de cette année. L’entreprise NortonLifeLock (anciennement connue comme Symantec) a annoncé qu’il n’y avait aucune faille au sein de son infrastructure. Pourtant, de nombreuses tentatives ont été enregistrées début décembre 2022 : les cybercriminels ont essayé d’accéder aux comptes de Norton Password Manager en utilisant les mots de passé volés à cause d’une fuite d’un autre service. Les enquêtes menées par NortonLifeLock ont révélé que les cybercriminels avaient pu utiliser cette attaque pour accéder aux comptes de certains de ses utilisateurs.

La morale de cette histoire est que vous ne devez pas utiliser le même mot de passe pour plusieurs comptes différents. Quant aux méthodes techniques qui vous permettent de vous protéger contre ce genre d’attaque, Kaspersky Password Manager peut réaliser deux vérifications importantes de votre base de données de mots de passe…

Tout d’abord, le programme vérifie s’il est unique : l’application vous avertit si un de vos mots de passe est déjà utilisé pour d’autres comptes.

Ensuite, notre gestionnaire de mots de passe vérifie si vos mots de passe figurent dans les bases de données divulguées. Pour réaliser cette vérification du mot de passe en toute sécurité, le système utilise l’algorithme de hachage SHA-256. Cela signifie que l’application n’envoie pas le mot de passe pour qu’il soit vérifié mais calcule une somme de contrôle pour chaque mot de passe et compare le hachage avec la somme dans la base de données des mots de passe compromis. Si la somme de contrôle correspond, l’application vous avertit que le mot de passe a été divulgué et que vous devriez le changer.

N’oubliez pas que le programme ne vérifie que les mots de passe sauvegardés dans le coffre-fort. C’est à vous de vérifier que le mot de passe principal est unique : vous êtes la seule personne à le connaître et il doit être différent de tous vos autres mots de passe.

Un mot de passe principal facile à retenir

Les mots de passe principaux peuvent être divulgués d’autres façons, et c’est là que le facteur humain entre en jeu. Par exemple, certaines personnes écrivent leur mot de passe principal sur un document qui peut être volé, comme un fichier non chiffré sur le bureau de leur ordinateur ou un post-it collé au mur.

Essayez de vous en souvenir au lieu de l’écrire. Il est vrai que les règles de sécurité disent qu’un mot de passe doit être long et complexe, et on vous recommande même parfois de générer une combinaison aléatoire de 12 à 16 caractères. Il est difficile de se souvenir d’un tel mot de passe. C’est pourquoi de nombreux utilisateurs essaient d’utiliser des mots de passe plus simples et deviennent alors la cible des cybercriminels.

Comment créer un mot de passe principal fort et facile à retenir ? Une bonne idée serait de choisir un mot de passe basé sur trois ou quatre mots secrets. Par exemple, vous pouvez prendre le nom de la ville où vous avez passé des vacances de rêve, puis le nom du bar où vous êtes allé lors de ce séjour et enfin le nom de votre cocktail préféré et combien vous en avez bu. Un tel mot de passe sera long, unique et facile à retenir sauf si vous avez bu trop de cocktails vous avez oublié toutes ces informations.