Choisir un gestionnaire de mot de passe
S’il y a bien un problème universel, c’est le fait d’avoir trop de comptes et de mots de passe à retenir. Pour y remédier, nous avons développé un très mauvais réflexe : utiliser toujours les mêmes mots de passe.Il existe pourtant une solution bien meilleure : les gestionnaires de mot de passe. Par Marc-André Gagnon, spécialiste en sécurité de l’information. Le principe? Entrer tous ses précieux identifiants dans une base de données qui sera quant à elle bien sécurisée (imaginez un coffre-fort numérique). Il existe deux catégories de gestionnaires de mot de passe, ceux locaux et ceux infonuagiques. Gestionnaires de mots de passe locaux Ces gestionnaires conservent vos mots de passe dans une base de données locale sur un appareil en particulier. Vos informations ne quittent jamais votre appareil, et vous avez la responsabilité de faire des sauvegardes de votre base de données manuellement et régulièrement. Dans cette catégorie, deux joueurs sont incontournables : KeePass et PasswordSafe. Ces deux logiciels sont à code ouvert et sont gratuits. Keepass pour Windows a été audité par le European Commission's EU Free and Open Source Software Auditing project (EU-FOSSA) en 2016, et aucune vulnérabilité critique n’a été trouvée dans le logiciel. Ceci offre une bonne garantie que le code source est exempt de failles importantes et de portes dissimulées (backdoors). Étant donné que ces logiciels sont à code ouvert, il existe des dizaines de clones et de versions dérivées, sur toutes les plateformes (Windows, Linux, IOS, Android). Il faut cependant faire attention, car ces clones n’offrent aucune garantie quant aux vulnérabilités. Si vous êtes soucieux de la sécurité, n’utilisez que les versions officielles. Gestionnaire de mot de passe Prix Plateformes KeePass 0$ Windows (Linux / OSX : utilisez le clone KeePassX) Password Safe 0$ Windows Gestionnaires de mots de passe infonuagiques Il existe aussi les gestionnaires de mots de passe infonuagiques, qui conservent votre base de données de mots de passe dans le nuage. Ils représentent un compromis intéressant, en termes de facilité d’utilisation et de sécurité. Ces solutions, si elles sont bien implémentées, sont considérées sécuritaires et offrent en plus des avantages intéressants : Tous les navigateurs sont supportés. Vos mots de passe sont accessibles sur tous vos appareils, en tout temps. Possibilité de partager certains mots de passe avec d’autres utilisateurs (conjoints, enfants, etc.). Vous pouvez surveiller les accès à votre compte, définir des appareils de confiance, etc. Certains gestionnaires offrent de définir un contact d’urgence, qui pourra accéder à votre base de données s’il vous arrivait malheur. Comme tous les services infonuagiques, il y a un coût annuel à payer. Lastpass possède toutefois un forfait gratuit intéressant. Gestionnaire de mot de passe infonuagique Prix ($ US) Permet authentification double facteur Plateformes Lastpass 0$ - 24$ / an Oui Internet Explorer / EDGE Mozilla Firefox Google Chrome Apple Safari Opera 1Password 35,88$ / an Non Chrome Firefox Safari Opera Dashlane 39,99$ / an Oui Internet Explorer Chrome Firefox Safari Est-ce que le fournisseur du logiciel (ou un pirate) peut accéder à mes mots de passe ? Le fournisseur ne peut pas lire votre base de données, car elle est chiffrée grâce à votre mot de passe maître. Toutes les opérations de chiffrement et de déchiffrement sont effectuées localement sur votre appareil, et votre mot de passe maître n’est jamais transmis au fournisseur d’aucune façon. Si la technique est bien implémentée selon les meilleures pratiques (et la technique est complexe), on juge alors qu’il est impossible pour le fournisseur, et pour un pirate éventuel, de déchiffrer vos mots de passe sans votre mot de passe maître. Conseils essentiels Choisissez un mot de passe principal complexe et unique. Essayez 15 caractères ou plus, avec des lettres, chiffres et caractères spéciaux. Étant donné que ce mot de passe protégera tous les autres, vous ne pouvez pas vous permettre d’être paresseux ! Une technique facile à retenir consiste à utiliser la première lettre de chaque mot d’une phrase que vous vous rappellerez. Par exemple, le mot de passe «Iya12pomd1s,ok?» correspond à la phrase « Il y a 12 pommes dans un sac, ok? ». Pour plus de détails concernant cette technique, je vous recommande cet article de Bruce Schneier (en Anglais) . Vous devrez vous rappeler de votre mot de passe maître, car il ne sera pas récupérable. Certains gestionnaires de mots de passe infonuagiques peuvent proposer des options pour en faciliter la récupération, mais les options demeurent limitées, car le fournisseur ne peut pas déchiffrer vos informations, et ne connaît pas votre mot de passe maître. Activez l’authentification à double facteur Pour les gestionnaires de mots de passe infonuagiques, il s’agit d’associer son compte avec son appareil intelligent (d’autres options existent). L’accès à votre base de données sera alors accordé seulement si vous connaissez votre mot de passe maître, ET que vous démontrez que vous avez entre les mains l’appareil intelligent associé au compte. Ainsi, même si votre mot de passe est compromis (par un virus par exemple), l’attaquant sera bloqué par un deuxième facteur. Il s’agit selon moi de la meilleure façon de sécuriser votre compte, avec le moins d’effort. Cela s’applique d’ailleurs à tous vos comptes infonuagiques (Google, Apple, Facebook, Microsoft, Amazon, etc.), et pas seulement votre fournisseur de gestionnaire de mot de passe !Au CES, les téléviseurs voient grand !
Mathieu Roy a passé la semaine dernière au CES (Consumer Electronics Show) de Las Vegas, et il a concocté cette petite vidéo rien que pour vous, membres du forum! Entre le téléviseur qui couvre le mur au complet, celui qui se déroule et le projecteur table à café, lequel préférez-vous?? On attend vos commentaires!
Windows 10: au doigt et à l’oeil! La chronique de Mathieu Roy
Microsoft a récemment annoncé ses plans concernant le déploiement de la technologie «Eye Control» sur son très populaire système d’exploitation Windows 10. L’objectif est bien simple: rendre possible le contrôle des fonctions de l’ordinateur par le simple mouvement des yeux. Par Mathieu Roy, chroniqueur Web et médias sociaux. Si contrôler son ordinateur avec ses yeux peut sembler tout droit sorti d’un film de science fiction pour certaines personnes, cela amène aussi à se demander: à quoi cela peut bien servir? Les impacts liés à cette technologie sont énormes, particulièrement pour les personnes atteintes de maladies neuromusculaires dégénératives comme la SLA. Le physicien de renommée internationale, Stephen Hawking, utilise déjà une technologie de contrôle semblable. Malheureusement les solutions de «eye tracking» ne sont pas à la portée de tous, souvent développées à grands frais et à petite échelle. Le seul moyen de communication vers l’extérieur Microsoft permettra donc, à moindres coûts, à une personne souffrant de SLA de communiquer avec ses proches en rédigeant un texte qu’elle composera en regardant la succession des lettres qui composent le mot. Ou comment nos yeux deviennent un clavier et une souris. C’est en découvrant le tragique destin du joueur de la NFL Steve Gleason que des employés de Microsoft ont décidé de créer un concours de programmation et de former une équipe de recherche dédiée afin d’accélérer le développement de cette technologie. L’idée: la rendre accessible au plus grand nombre. Ainsi, depuis 2014, Microsoft travaille en collaboration avec la compagnie Tobii, qui fabrique les modules capables de lire les mouvements de l’oeil. Une personne qui voudra utiliser la technologie «Eye Control» sur Windows 10 devra se prémunir d’un module de lecture des mouvements de l’oeil. Et ça sera tout! L’option du suivi des yeux sera en effet intégrée dans Windows 10. On devra attendre à l’année prochaine car, même si la phase bêta a été officiellement lancée ce mois-ci, il n’y a pas encore de date annoncée pour le déploiement au grand public du «Eye Control». Harish Kulkarni, chef scientifique chez Microsoft, est bien conscient que la vitesse de mise en place de ce système peut grandement améliorer la qualité de vie des gens touchés par la maladie: «ce n’est pas comme si quelqu’un allait mourir si on ne travaillait pas aujourd’hui, certes, mais dans notre cas c’est littéralement le cas: il s’agit toujours d’une course contre la progression de la maladie d’un patient». Des considérations marketing? Microsoft n’est pas seul à s’intéresser au suivi des yeux. Facebook a notamment fait l’acquisition de la start-up The Eye Tribe en décembre 2016. Officiellement, l’ambition de Facebook est de nous permettre de faire défiler notre fil d’actualité seulement avec le mouvement des yeux. Officieusement, on peut spéculer... Facebook ne serait-il pas également intéressé par d’autres informations que vos yeux pourraient lui transmettre? Pourrait-on par exemple calculer le temps passé à regarder des publicités? Il s’agirait d’une donnée importante et unique qui pourrait permettre à Facebook de demander plus d’argent aux annonceurs selon la qualité de notre attention sur leurs annonces. On pourrait du même coup arriver à créer des publicités au design hyper efficace en fonction des endroits où nos yeux se posent en premier, et où ils passent le plus de temps. Si pareille utilisation voit le jour, cela viendrait révolutionner le monde de la publicité en ligne. Les gestionnaires de sites pourraient vendre des espaces de publicité en ligne à plus fort prix, en fonction de la qualité de l’attention des internautes. Les annonceurs, eux, pourraient payer les frais publicitaires seulement si leur publicité à été vue (et regardée) et non pas aussitôt que la page Web est téléchargée. Encadrer le développement de cette technologie Bien des gens sont emprisonnés dans leur propre corps à cause de la maladie. Le projet de suivi des yeux de Microsoft est fascinant et il aura sans aucun doute un impact énorme sur les personnes malades, mais aussi sur leurs proches. Face à toutes ces avancées, nous devrons créer les balises qui encadreront les compagnies qui possèdent ces technologies… Si d’un côté on offre la possibilité de communiquer à certaines personnes, de l’autre on fait face à une technologie qui pourrait devenir très invasive. Envie d'en jaser sur le forum? De donner une mention "J'aime" à cet article ou de le commenter? Inscrivez-vous ici, c'est rapide et gratuit!
