Sécurisez vos mots de passe avec Lastpass

Introduction du cours

A chaque fois c'est pareil : vous arrivez sur un site web, vous voulez créer un compte et on vous demande de choisir un mot de passe. Et là vous vous dites : "La barbe, encore un mot de passe à retenir !". Vous n'avez pas que ça à faire, déjà qu'il faut retenir le code secret de votre carte bleue et les 150 choses que vous devez faire dans la journée...

Pressé de passer à autre chose, vous utilisez votre mot de passe favori. Vous tapez : "C-H-U-C-K-Y" (oui c'est le nom de votre chien, en tout cas j'espère que ce n'est pas celui de l'un de vos enfants ! :-° ).

Et là, voilà que le site vous fait un affront supplémentaire : "Veuillez rentrer entre 8 et 20 caractères, comprenant au moins une lettre majuscule, une lettre minuscule, un chiffre, un caractère spécial et un symbole mésopotamien". C'est en général à ce moment précis que vous rêvez de mettre la main sur l'ingénieur geek qui a eu cette idée géniale :

« Mais mais... c'était pour que ton mot de passe soit plus sécurisé ! »

Le problème est pourtant entier : notre ami ingénieur geek a raison de vous demander un mot de passe compliqué. Il a même raison de dire que vous devriez utiliser un mot de passe complètement différent sur chaque site.
Mais vous, de votre côté, vous avez aussi raison : vous n'avez pas que ça à faire de retenir 150 mots de passe. Votre mémoire est limitée.

Heureusement, il existe des solutions ! J'en utilise moi-même une qui s'appelle Lastpass, qui m'évite d'avoir à retenir des tonnes de mot de passe. Parce que n'allez pas croire, mais j'étais comme vous avant, j'avais le même mot de passe super simple sur tous les sites que je fréquentais. :p

Pourquoi il ne faut pas utiliser le même mot de passe partout

Rassurez-vous, je ne veux pas jouer les moralisateurs. Je comprends tout à fait que ce soit compliqué de retenir plusieurs mots de passe et que vous n'ayez pas envie de le faire. Je vais vous expliquer juste après comment je fais pour gérer mes mots de passe sans me prendre la tête... mais avant ça, j'aimerais juste vous expliquer pourquoi il ne faut pas utiliser le même mot de passe sur plusieurs sites.

On ne le dira jamais assez : utiliser le même mot de passe partout, c'est mal. Oui, mais pourquoi ?

Ubisoft, LinkedIn, Last.fm, OVH, Ubuntu, Apple... on ne compte plus les annonces de sites qui ont été piratés. La faille Heartbleed d'OpenSSL, quant à elle, a affecté simultanément un très grand nombre de sites et posé la question de la sécurité des mots de passe.

Bien souvent, les pirates cherchent à récupérer les mots de passe, et ils arrivent à extraire des listes géantes comme celle-ci (qui vient de LinkedIn) :

Les mots de passe volés du site LinkedIn

Rien que sur LinkedIn, ce sont entre 6 et 8 millions de mots de passe qui ont été volés comme ça !

Mmmh... ce sont des mots de passe ça ? On dirait qu'ils sont cryptés...

En effet, fort heureusement la plupart des sites web cryptent les mots de passe... Mais pour les plus simples d'entre eux, il existe des techniques qui permettent de les décrypter. En fait, avec un ordinateur assez puissant, on peut aujourd'hui décrypter un grand nombre de mots de passe simples...

Le plus gros problème ici vient du fait que beaucoup de gens utilisent le même mot de passe sur plusieurs sites (oui, je suis sûr que vous y compris ;) ). Ou peut-être que vous utilisez un même mot de passe avec de légères variations à chaque fois, mais malheureusement les pirates disposent aussi d'outils pour tester des variations de mots de passe, ce qui ne vous met pas beaucoup plus à l'abri...

Du coup, si vous êtes sur un site comme LinkedIn qui se fait pirater, vous allez devoir changer votre mot de passe sur LinkedIn mais aussi sur tous les autres sites où vous avez mis le même mot de passe : Paypal, Facebook, Google... Sinon, n'importe qui pourra accéder à votre compte sur ces autres sites !

Si vous utilisez le même mot de passe sur plusieurs sites, un pirate pourrait en tirer profit !

Inquiétant ? En fait, il n'y a qu'une seule vraie solution : utiliser des mots de passe longs, très compliqués et surtout complètement différents sur chacun des sites que vous visitez. Ca a l'air impossible et pourtant je le fais, laissez-moi vous expliquer comment. :)

Installer LastpassLastpass et ses concurrents

Avant qu'on ne m'accuse de faire de la publicité exclusive pour Lastpass, je tiens à signaler qu'il existe plusieurs services de gestion des mots de passe :

• 1password

• KeePass

• RoboForm

• StickyPassword

• ... et bien sûr, Lastpass

Vous pouvez essayer tous les services de cette liste. Si je vous présente Lastpass, c'est tout simplement parce que c'est celui que j'utilise et donc que je connais le mieux. C'est aussi l'un des plus populaires. :)

Voici ce qu'il faut savoir en quelques lignes sur Lastpass :

• C'est un outil qui sert à gérer tous vos mots de passe en les cryptant de façon avancée pour plus de sécurité

• Vos mots de passe peuvent être synchronisés entre votre ordinateur, votre tablette, votre smartphone...

• Lastpass est gratuit, avec une version payante à 1$ par mois si vous voulez l'utiliser aussi sur smartphone (ce n'est pas vraiment obligatoire)

• Lastpass peut générer des mots de passe compliqués pour vous, c'est lui qui les retiendra ensuite

Pour résumer Lastpass en une phrase : il vous suffit de ne retenir qu'un mot de passe pour débloquer tous vos autres mots de passe. D'où le nom, Lastpass (c'est le "dernier mot de passe" que vous aurez besoin de retenir).

Mais... c'est nul non ? Si tous mes mots de passe peuvent être débloqués grâce à un mot de passe principal, alors un pirate qui connaît mon mot de passe principal a accès à tous mes mots de passe !

Oui.
Mais on peut aller plus loin et augmenter la sécurité : c'est pour cela qu'il est fortement recommandé d'utiliser en plus un générateur de codes secrets que vous portez sur vous. En gros, pour avoir accès à mes mots de passe, il vous faudra utiliser votre mot de passe principal et quelque chose que vous possédez (une clé spéciale ou votre smartphone). Si vous n'avez pas les deux, vous ne pourrez rien faire !

(cela veut donc dire que pour me pirater mes comptes il faut deviner mon mot de passe et m'agresser dans la rue pour récupérer ma clé spéciale ! :p )

Bref, en faisant les choses correctement comme je vais vous le montrer, vous ne serez pas moins sécurisés, vous serez beaucoup plus sécurisés !

Installer Lastpass

Commencez par vous rendre sur https://lastpass.com :

Le site lastpass.com

Lastpass prend la forme d'une extension pour votre navigateur web (il y en a pour Internet Explorer, Safari, Firefox, Google Chrome, Opera...). Si vous hésitez, le mieux est d'installer la version recommandée : l'installeur universel. Ce programme installera automatiquement les extensions pour tous vos navigateurs.

L'installeur universel de LastpassPremières étapes de l'installation

Lancez ensuite le programme d'installation :

Accueil de l'installation

Vous devez commencer par choisir sur quel navigateur vous voulez installer Lastpass.
Cochez donc les navigateurs que vous utilisez au quotidien. Dans le doute, vous pouvez l'installer sur tous les navigateurs, ça ne pose pas de souci.

Sélectionnez les navigateurs sur lesquels vous voulez installer Lastpass

Lastpass s'installe ensuite (ça ne prend pas très longtemps) :

Lastpass s'installe !Création du compte

On va vous demander si vous avez déjà un compte ou si vous souhaitez en créer un.

Comme c'est la première fois que vous découvrez Lastpass, il vous faut créer un compte. :D

Créez votre compte... et choisissez bien votre mot de passe principal !

Votre compte est constitué :

• De vore adresse e-mail

• De votre mot de passe principal (très important)

Choisissez soigneusement votre mot de passe principal, c'est lui qui débloquera tous vos mots de passe ensuite. Il faut donc choisir un mot de passe assez long (au moins 10-12 caractères), avec des lettres, des chiffres et des symboles spéciaux (des "+", des "?" ou des accents "â", "è"...). Voici quelques exemples de mots de passe que je considère comme "corrects" :

• jEf7n!Uv23M

• e4c8hàp22qq

• V?àçg6cDDzxP

• ... (ne prenez aucun de ceux-là, inventez le vôtre !)

Hum... J'en ai marre encore un mot de passe à retenir ! C'est trop long, trop compliqué, je ne le retiendrai jamais ! :'(

Allons, un petit effort. C'est le seul mot de passe que vous aurez besoin de retenir !
Au pire, notez-le sur un bout de papier pour quelques jours si vous avez peur de l'oublier, mais ensuite, brûlez ce bout de papier (ou mangez-le ! :D ).

On vous demandera aussi de saisir une phrase qui vous aide à vous rappeler de votre mot de passe. Personnellement, ce type de champ ne me plaît pas et je préfère ne pas le remplir pour éviter qu'une autre personne puisse deviner le mot de passe. Ici, comme le champ est obligatoire, je mets n'importe quoi dedans. ;)

Enfin, Lastpass vous propose gentiment de partir à la recherche de mots de passe non sécurisés sur votre ordinateur :

Lastpass peut récupérer vos mots de passe pour les sécuriser

Je vous conseille de laisser Lastpass rechercher des mots de passe non sécurisés. Vous pouvez être surpris du nombre de mots de passe qu'il peut parfois trouver !

Les mots de passe non sécurisés sont généralement enregistrés par les navigateurs web eux-mêmes. Internet Explorer, Chrome, Firefox... Ils ont tous des services qui vous permettent d'enregistrer vos mots de passe, mais ils sont loin d'être aussi sécurisés que Lastpass !
Autre gros avantage de Lastpass : vous pouvez aussi accéder à vos mots de passe depuis n'importe quel navigateur !

Une fois que c'est fait, ouf, vous avez terminé !

Bravo, c'est installé ! :o)

A vous de décider si vous voulez que Lastpass se déconnecte à chaque fois que vous fermez votre navigateur. Je vous recommande la déconnexion automatique surtout si vous êtes sur un ordinateur utilisé par plusieurs personnes à la fois.

Utiliser Lastpass pour gérer ses mots de passeConnexion à Lastpass

Maintenant que vous avez installé Lastpass, vous devriez voir une icône s'afficher dans votre navigateur web.

Tous les exemples qui suivent montreront l'extension Lastpass pour Google Chrome. Si vous avez un autre navigateur, il peut y avoir quelques légères différences, mais le principe reste le même.

Cliquez sur l'icône grisée de Lastpass pour vous connecter

L'icône de Lastpass est grisée quand vous n'êtes pas connecté à Lastpass, et elle est colorée une fois que vous êtes connecté. Un clic dessus ouvre un menu qui vous demande votre login (e-mail) et votre mot de passe principal Lastpass (vous vous souvenez, celui que vous ne devez surtout pas oublier :D ).

Connexion à Lastpass

Lastpass vous propose de retenir votre e-mail. Vous pouvez laisser cette case cochée, c'est pratique.
En revanche, il vous propose de retenir votre mot de passe principal. C'est une TRÈS mauvaise idée pour la sécurité de votre compte. Ne cochez pas cette case. Si vous le faites, il vous dira que c'est une très mauvaise idée de toute façon. ;)
N'oubliez pas que le mot de passe principal est l'élément qui déverrouille tous vos mots de passe. Il faut que vous fassiez l'effort de le saisir au moins une fois à chaque fois que vous allumez votre navigateur.

Une fois que vous êtes connecté, Lastpass synchronise tous vos mots de passe (cryptés) qu'il connaît. Si vous avez enregistré des mots de passe sur une autre machine, vous les retrouverez donc ici !

Pour information, les mots de passe sont stockés de façon cryptée sur les serveurs de Lastpass. La technique employée est réellement robuste : l'équipe de Lastpass ne peut pas lire vos mots de passe, il n'y a que votre mot de passe principal que vous seul connaissez qui permet de les décrypter.

Découvrir Lastpass

Si vous cliquez sur l'icône colorée de Lastpass, le menu s'ouvre :

Menu principal de Lastpass

J'ai encadré en rouge les fonctionnalités que j'utilise le plus souvent en pratique :

• Mon coffre-fort Lastpass : affiche une fenêtre qui résume la liste des sites et des mots de passe enregistrés dans Lastpass

• Formulaires : vous permet de saisir des informations personnelles (comme votre adresse personnelle, ou même votre numéro de carte bleue) pour que Lastpass puisse les remplir automatiquement pour vous lorsque vous arrivez sur un nouveau site (par exemple un site e-commerce). C'est très pratique, je l'utilise, mais vu l'importance des informations j'active une double sécurité en demandant à Lastpass de me redemander mon mot de passe principal à chaque fois que je veux remplir des formulaires.

• Générer un mot de passe sécurisé : vous permet de générer des mots de passe sécurisés et complexes pour les sites que vous visitez. C'est là que Lastpass est génial : il vous aide à créer de multiples mots de passe très complexes... que vous n'aurez pas besoin de retenir, puisqu'il les retient pour vous ! Rappelez-vous : la seule chose que vous avez besoin de retenir, c'est votre mot de passe principal.

• Notes sécurisées : c'est un petit bloc-notes qui vous permet de saisir du texte qui sera crypté en même temps que vos mots de passe. Si vous avez des informations confidentielles dont vous voulez vous souvenir, vous pouvez utiliser ce menu pour en ajouter.

Un clic sur "Mon coffre-fort Lastpass" ouvre une fenêtre qui ressemble à ceci (une fois que vous avez plein de mots de passe dedans :p ) :

Le coffre-fort Lastpass contenant tous vos mots de...