L\u2019ann\u00e9e derni\u00e8re, nous avons assist\u00e9 \u00e0 une vague de nouveaux rapports \u00e0 propos des donn\u00e9es personnelles de divers services en ligne, et m\u00eame de gestionnaires de mots de passe connus, qui ont \u00e9t\u00e9 divulgu\u00e9es. Si vous utilisez un coffre num\u00e9rique, vous vous \u00eates certainement imagin\u00e9 le pire lorsque vous avez entendu parler de ces fuites de donn\u00e9es\u00a0: les cybercriminels ont eu acc\u00e8s \u00e0 tous les mots de passe des comptes que vous conservez dans le gestionnaire de mots de passe.<\/p>\n
Ces craintes sont-elles fond\u00e9es ? Nous allons prendre l\u2019exemple de Kaspersky Password Manager<\/a> afin de vous expliquer le fonctionnement des multiples niveaux de d\u00e9fense des gestionnaires de mots de passe et voir ce que vous pouvez faire pour renforcer leur s\u00e9curit\u00e9.<\/p>\n Commen\u00e7ons par voir pourquoi les gestionnaires de mots de passe sont une bonne id\u00e9e. Le nombre de services sur Internet ne cesse d\u2019augmenter et cela signifie que nous devons utiliser beaucoup de noms d\u2019utilisateur et de mots de passe. Ce n\u2019est pas facile de tous les retenir et vous ne pouvez pas non plus les \u00e9crire n\u2019importe o\u00f9 puisque ce pourrait \u00eatre dangereux. La seule solution est de stocker tous vos identifiants dans un seul endroit s\u00e9curis\u00e9 puis de verrouiller ce coffre-fort \u00e0 l\u2019aide d\u2019une cl\u00e9 unique. Ainsi, vous n\u2019avez qu\u2019\u00e0 vous souvenir du mot de passe principal.<\/p>\n Lorsque vous activez Kaspersky Password Manager<\/a> pour la premi\u00e8re fois, le programme vous demande de cr\u00e9er le mot de passe principal que vous utiliserez pour ouvrir votre coffre-fort num\u00e9rique. Vous pouvez alors saisir dans ce coffre-fort toutes les donn\u00e9es de chaque service en ligne que vous utilisez : URL, nom d\u2019utilisateur et mot de passe. Vous pouvez le faire manuellement, ou vous pouvez utiliser l\u2019extension du navigateur du gestionnaire de mots de passe et vous servir du raccourci pour transf\u00e9rer tous les mots de passe enregistr\u00e9s dans le navigateur vers le coffre-fort. En plus des mots de passe, vous pouvez conserver d\u2019autres documents personnels dans le coffre-fort, comme une copie de votre carte d\u2019identit\u00e9, les donn\u00e9es de votre assurance, les informations bancaires ou des photos importantes.<\/p>\n Pour visiter un visite, il vous suffit d\u2019ouvrir le coffre-fort puis de copier manuellement les donn\u00e9es n\u00e9cessaires dans le formulaire de connexion ou d\u2019autoriser le gestionnaire de mots de passe \u00e0 remplir automatiquement les identifiants de connexion sauvegard\u00e9s pour le site en question. Ensuite, il ne vous reste plus qu\u2019\u00e0 verrouiller \u00e0 nouveau votre coffre-fort.<\/p>\n Maintenant, analysons les m\u00e9canismes de protection. Le fichier du coffre-fort est chiffr\u00e9 gr\u00e2ce \u00e0 un algorithme de cryptographie asym\u00e9trique bas\u00e9 sur le cryptage Advanced Encryption Standard<\/em> (AES-256) g\u00e9n\u00e9ralement utilis\u00e9 partout dans le monde pour prot\u00e9ger les donn\u00e9es confidentielles. Pour acc\u00e9der au coffre-fort, vous utilisez une cl\u00e9 qui d\u00e9pend de votre mot de passe principal. Si ce mot de passe est fort, les cybercriminels auront besoin de beaucoup de temps pour le d\u00e9chiffrer sans la cl\u00e9.<\/p>\n De plus, notre gestionnaire de mots de passe verrouille automatiquement le coffre-fort lorsque l\u2019utilisateur est inactif pendant un certain temps. Si un cybercriminel a acc\u00e8s \u00e0 votre dispositif et r\u00e9ussit \u00e0 d\u00e9jouer le syst\u00e8me de protection du syst\u00e8me d\u2019exploitation et \u00e0 atteindre le fichier du coffre-fort, il ne pourra pas lire ce qu\u2019il contient puisqu\u2019il lui manquera le mot de passe principal.<\/p>\n Vous choisissez comment vous souhaitez configurer le verrouillage automatique. Le param\u00e8tre par d\u00e9faut de l\u2019application ne verrouille le coffre-fort qu\u2019apr\u00e8s qu\u2019un laps de temps assez long s\u2019est \u00e9coul\u00e9. Si vous avez l\u2019habitude d\u2019utiliser votre ordinateur portable ou votre smartphone dans un endroit qui n\u2019est pas compl\u00e8tement s\u00fbr, vous pouvez faire en sorte que le verrouillage automatique s\u2019active au bout d\u2019une minute.<\/p>\n Il y a tout de m\u00eame une autre faille potentielle\u00a0: si un cybercriminel a envoy\u00e9 un cheval de Troie ou a utilis\u00e9 une autre m\u00e9thode pour installer un protocole d\u2019acc\u00e8s \u00e0 distance sur votre ordinateur, il pourrait essayer d\u2019extraire les mots de passe du coffre-fort tant que vous y \u00eates connect\u00e9. En 2015, un outil de piratage similaire a \u00e9t\u00e9 cr\u00e9\u00e9 pour le gestionnaire de mots de passe KeePass<\/a>. Il d\u00e9chiffrait et conservait dans un nouveau fichier toute une archive qui contenait les mots de passe ex\u00e9cut\u00e9s sur l\u2019ordinateur lorsque KeePass \u00e9tait ouvert.<\/p>\n Kaspersky Password Manager<\/a> est g\u00e9n\u00e9ralement utilis\u00e9 avec les antivirus de Kaspersky<\/a>, ce qui diminue grandement le risque d\u2019ex\u00e9cution du gestionnaire de mots de passe sur un ordinateur infect\u00e9.<\/p>\n\n Le fichier chiffr\u00e9 avec les mots de passe peut \u00eatre sauvegard\u00e9 sur votre dispositif et sur l\u2019infrastructure Cloud de Kaspersky. Cela vous permet d\u2019utiliser le coffre-fort depuis plusieurs appareils, dont plusieurs ordinateurs personnels et smartphones. Une option sp\u00e9ciale dans les param\u00e8tres permet de synchroniser les donn\u00e9es sur tous les dispositifs \u00e9quip\u00e9s de Kaspersky Password Manager<\/a>. Vous pouvez \u00e9galement utiliser la version Web du gestionnaire de mots de passe depuis n\u2019importe quel dispositif en vous connectant \u00e0 votre compte My Kaspersky<\/a>.<\/p>\n Quelle est la probabilit\u00e9 d\u2019une fuite de donn\u00e9es si vous utilisez le Cloud\u00a0? Tout d\u2019abord, il est important de comprendre que nous suivons le principe de connaissance z\u00e9ro. Cela signifie que le mot de passe de votre coffre-fort est autant chiffr\u00e9 pour Kaspersky que pour n\u2019importe qui d\u2019autre. Les d\u00e9veloppeurs de Kaspersky ne peuvent pas lire le fichier. La personne ne peut ouvrir le fichier que si elle conna\u00eet le mot de passe principal.<\/p>\n La plupart, mais pas tous, des services actuels qui stockent les mots de passe et autres secrets ont adopt\u00e9 un principe similaire. Si vous lisez un article \u00e0 propos d\u2019une fuite de donn\u00e9es d\u2019un service de stockage bas\u00e9 sur le Cloud, ne paniquez pas\u00a0: cela ne signifie pas forc\u00e9ment que les cybercriminels ont pu d\u00e9chiffrer les donn\u00e9es vol\u00e9es. Avec ce genre de faille, c\u2019est comme si vous volez le coffre-fort d\u2019une banque mais que vous n\u2019avez pas la combinaison pour l\u2019ouvrir.<\/p>\n Dans ce cas, votre mot de passe principal est la combinaison. Voici un autre principe de s\u00e9curit\u00e9 important : Kaspersky Password Manager<\/a> ne sauvegarde pas votre mot de passe principal sur vos dispositifs ou sur le Cloud. M\u00eame si un cybercriminel a acc\u00e8s \u00e0 votre ordinateur ou au service de stockage bas\u00e9 sur le Cloud, il ne pourra pas obtenir le mot de passe principal du produit. Vous \u00eates la seule personne \u00e0 conna\u00eetre ce mot de passe.<\/p>\n La divulgation d\u2019un fichier chiffr\u00e9 qui contient les mots de passe peut aussi cr\u00e9er des probl\u00e8mes. Une fois que les cybercriminels sont dans le coffre-fort, ils pourraient essayer de le pirater.<\/p>\n On trouve principalement deux m\u00e9thodes d\u2019attaque<\/strong>. La premi\u00e8re<\/strong> se fait par force brute. En g\u00e9n\u00e9ral, cette proc\u00e9dure est tr\u00e8s longue. Si votre mot de passe contient une dizaine de caract\u00e8res choisis au hasard et inclus des majuscules, des minuscules, des caract\u00e8res sp\u00e9ciaux et des chiffres, il leur faudra r\u00e9aliser plus d\u2019un sextillion d\u2019op\u00e9rations pour attaquer par force brute toutes les combinaisons. On parle l\u00e0 d\u2019un nombre entier \u00e0 21 chiffres\u00a0!<\/p>\n Si vous avez d\u00e9cid\u00e9 de faire les choses simplement et avez choisi un mot de passe simple, comme un mot ou une combinaison de chiffres telle que \u00ab\u00a0123456\u00a0\u00bb, l\u2019analyse automatique va le deviner en moins d\u2019une seconde puisque, dans ce cas, l\u2019attaque par force brute ne d\u00e9pend pas de symboles individuels mais d\u2019un dictionnaire avec les combinaisons les plus populaires. Malgr\u00e9 \u00e7a, de nombreux utilisateurs choisissent encore leur mot de passe \u00e0 partir de dictionnaires (des combinaisons de symboles qui sont depuis longtemps dans les dictionnaires des scanners des cybercriminels).<\/p>\n Cet \u00e9ventuel probl\u00e8me a \u00e9t\u00e9 communiqu\u00e9 aux utilisateurs du gestionnaire de mots de passe LastPass<\/a> en d\u00e9cembre 2022. Lorsque le compte d\u2019un d\u00e9veloppeur de LastPass a \u00e9t\u00e9 pirat\u00e9, les cybercriminels ont eu acc\u00e8s \u00e0 l\u2019h\u00e9bergement Cloud de l\u2019entreprise. Parmi les donn\u00e9es obtenues, les cybercriminels ont trouv\u00e9 les sauvegardes des mots de passe du coffre-fort des utilisateurs. L\u2019entreprise a expliqu\u00e9 aux utilisateurs qu\u2019ils n\u2019avaient rien \u00e0 craindre s\u2019ils avaient suivi les conseils donn\u00e9s, et qu\u2019ils avaient cr\u00e9\u00e9 un mot de passe principal unique et fort, puisque \u00e7a leur \u00ab\u00a0prendrait des millions d\u2019ann\u00e9es\u00a0\u00bb de deviner ces mots de passe par force brute. En revanche, les gens qui avaient utilis\u00e9 des mots de passe plus faibles ont imm\u00e9diatement d\u00fb les changer.<\/p>\n Heureusement, la plupart des gestionnaires de mots de passe, dont Kaspersky Password Manager<\/a>, v\u00e9rifie automatiquement la force de votre mot de passe principal. S\u2019il est faible ou moyen, le gestionnaire va vous avertir et vous ne devez pas l\u2019ignorer.<\/p>\n La seconde m\u00e9thode d\u2019attaque<\/strong> repose sur le fait que les gens utilisent souvent les m\u00eames identifiants de connexion pour divers services en ligne. Si les informations d\u2019un de ces services sont divulgu\u00e9es, les cybercriminels vont automatiquement utiliser les combinaisons identifiant \u2013 mot de passe pour attaquer par force brute d\u2019autres services. Cette attaque est connue comme le credential stuffing<\/em> et est souvent fructueuse.<\/p>\nQuelques principes g\u00e9n\u00e9raux<\/h2>\n
Le coffre-fort num\u00e9rique et le verrouillage automatique<\/h2>\n
Le principe de connaissance z\u00e9ro<\/h2>\n
Un mot de passe principal fort<\/h2>\n
Un mot de passe principal unique<\/h2>\n