Les gestionnaires de mots de passe ont le vent en poupe ces dernier temps puisqu’ils permettent de conserver, à un seul et même endroit, la totalité des mots de passe utilisés sur Internet. Nous avons donc réalisé un comparatif entre les trois solutions gratuites et payantes du moment : KeePass, Dashlane et LastPass.

C’est le jour de commander vos cadeaux de Noël, il y a de nombreuses promos, mais vous êtes au travail. Pas grave, vous essayez de vous connecter au compte chez votre e-commerçant préféré, mais vous avez oublié votre mot de passe. Plutôt que de vous embêter à redemander vos informations de connexion par mail, ou de choisir des mots de passe très courts et donc peu sécurisés, il y a une autre solution. Celle-ci consiste à utiliser un gestionnaire de mot de passe. Embarquez avec nous dans la découverte de trois solutions gratuites et payantes : KeePass, DashLane et LastPass.

 

Introduction

La sécurité n’est pas quelque chose qui se décrète. C’est une série d’actions concrètes, qui permet d’assurer que les données sont à l’abri, protégées d’autres personnes potentiellement malveillantes. C’est pourquoi, après vous avoir donné quelques conseils plus généraux sur la sécurité de votre smartphone, nous nous penchons sur un outil : le gestionnaire de mots de passe.

Le gestionnaire est un outil qui centralisera vos informations de connexion (nom d’utilisateur et mot de passe) aux différents services que vous utilisez (revendeurs, forums, comptes mails, etc.) et vous permettra d’utiliser des mots de passe bien plus complexes. Nous vous présentons donc trois solutions, payantes ou gratuites, Keepass, Dashlane et LastPass, qui pourront vous accompagner partout, que ce soit sur ordinateur ou mobile.

password

Comme son nom l’indique, un gestionnaire de mots de passe doit vous aider à mieux gérer vos différents mots de passe. Tous fonctionnent globalement de la même manière : vous pouvez créer de nouveaux mots de passe, générés aléatoirement, à utiliser sur les différents sites web ou applications que vous visitez. Pas besoin de vous souvenir de ces mots de passe, vous n’aurez qu’à réfléchir à créer un mot de passe unique — le maître — qui vous permettra d’accéder à votre gestionnaire de mot passe.

Ce mot de passe maître doit donc être assez fort, puisqu’il permettrait à une personne mal intentionnée de prendre la main sur tous les comptes intégrés au gestionnaire de mot de passe.

 

Dashlane, une très bonne expérience utilisateur, qui se paie chère

Dashlane n’est ni gratuit, ni open source. Par contre il a pour avantage de proposer une expérience utilisateur largement plus unifiée et plus simple que ses concurrents. L’avantage d’une solution unifiée c’est notamment de synchroniser automatiquement tous vos mots de passe entre les différentes plateformes. Ainsi, il propose nativement des clients sur Android et iOS ainsi que sur PC et Mac.

Côté sécurité, Dashlane propose également un chiffrement en AES 256 bits. Il propose donc le même niveau de chiffrement que KeePass, mais il ne s’agit cependant pas d’une solution open source, et le code est donc propriétaire. Surtout, contrairement à KeePass, celui-ci est payant et plutôt cher, puisqu’il faudra débourser 39,99 euros par an pour profiter des services de ce gestionnaire de mots de passe. À voir donc si pour vous, la synchronisation et une très bonne expérience utilisateur pouvant valoir le coup de dépenser autant.

dashlane

 

LastPass, le client totalement online

LastPass est similaire à ses concurrents au niveau des fonctionnalités avec un chiffrement en AES-256. Jusqu’il y a quelques jours encore, LastPass était payant si vous souhaitiez profiter de la synchronisation des données sur les clients mobiles. Ainsi il n’est plus nécéssaire d’être abonné premium pour pouvoir utiliser les applications mobiles dans la limite d’un utilisateur par compte. Si l’on ne souhaite pas avoir à retaper des mots de passe longs et forts sécurisés présents sur PC, ce qui s’avère plutôt pénible sur mobile, c’est fort appréciable.

Toutefois, si vous souhaitez avoir plusieurs utilisateurs sur votre compte, ainsi que bénéficier d’une synchronisation entre un nombre illimité d’appareils, vous devrez toujours payer 12,99 dollars par an. Comme chez la concurrence, cette application vous donne également le choix dans vos méthodes de déverrouillage, permettant d’utiliser là encore votre empreinte pour déverrouiller votre accès à votre base de mots de passe.

montage_lastpass

Bien que cette solution soit tournée vers le cloud, il n’y a pas de soucis à avoir concernant vos données, puisque l’éditeur ne possède bien sûr aucun accès à vos mots de passe. Ceux-ci sont stockés en local sur votre appareil si vous utilisez l’application et transférés via une communication chiffrée de bout en bout. Une fois sur les serveurs de LastPass, vos données sont hachées et salées selon la norme PBKDF2. Peut-être un des points les plus intéressants, l’éditeur peut vous alerter via la fonction « challenge de sécurité » quant aux mots de passe faibles, y compris votre mot de passe maître que vous pourriez avoir rentré dans votre base de données. De quoi inciter un utilisateur à changer ses mots de passe pour une combinaison plus forte.

 

KeePass : sécurisé mais pas user-friendly

Bénéficiant d’une forte renommée, KeePass est un gestionnaire de mot de passe gratuit, open source, et disponible sur de nombreuses plates-formes. C’est également, encore à ce jour, la seule solution officiellement labellisée par l’ANSSI, l’agence nationale de la sécurité des systèmes d’information.

montage_keepass

Un des grands avantages de KeePass, c’est qu’en plus d’être gratuit, celui-ci est le seul gestionnaire de mot de passe qui est open source, sous licence GPL2. Cela veut dire que c’est le seul gestionnaire de mot de passe dont le code source n’est pas privé et n’est la propriété d’aucune entreprise. Cela veut donc aussi dire que ce code peut être examiné (audité) par n’importe qui afin de pouvoir détecter des failles dans l’application et garantir sa sécurité, et donc celle de vos données.

 

Un projet open-source

KeePass est un projet communautaire, et plutôt que d’être développé par une seule société, il s’agit d’un client qui est développé à la base sur Windows, avec un nombre important de clients alternatifs disponibles sur toutes les plateformes, dont Android. On ne trouve pas un seul client, mais une multitude de clients basés sur le code source original.

La conséquence de ce point fort de KeePass est également son principal point faible : sa fragmentation. Comme Android lui-même, ce gestionnaire dispose d’un écosystème qui a permis l’apparition de nombreuses solutions. Contrairement à ses concurrents, il ne propose pas d’expérience utilisateur unifiée et de synchronisation de vos clés en natif. À vous donc de vous construire votre propre expérience.

 

KeePass sous Android

On vous conseille sur Android d’utiliser KeePass2Android puisque cette application vous permettra d’exploiter votre base chiffrée, stockée sur un service de stockage en ligne tel que Dropbox ou Google Drive afin d’avoir votre base toujours accessible. Disponible sur le Play Store celle-ci pourra également vous permettre de choisir votre méthode de déverrouillage pour votre base de mots de passe. Il est ainsi possible d’utiliser votre mot de passe maître, mais également de la déverrouiller en utilisant votre capteur d’empreinte si votre smartphone en possède un.

Keepass2Android Philipp Crocoll (Croco Apps)

Concernant les algorithmes proposés, KeePass est compatible avec un chiffrement des données en AES/Rijndael et un « hash » (ou salage en bon français) avec SHA-256. KeePass2Android travaille par exemple directement en AES-256 afin de vous permettre de sécuriser vos mots de passe. Cependant, si au niveau technique KeePass est intouchable, il faudra quelques efforts pour bénéficier d’une solution sur chaque plateforme, puisque KeePass ne propose pas de synchronisation de votre base, à moins de passer par divers plugins et manipulations ou par le client KeeWeb.

 

Les différences entre les services

 KeePassDashlaneLastPass
Modèle économiqueGratuit et Open SourcePayant et propriétaire. 39,99 euros par an, par abonnementGratuit et propriétaire. Accès gratuit sur mobile, dans la limite d'un utilisateur.

12,99 dollars par an pour avoir jusqu'à 5 utilisateurs sur un compte.
Stockage des donnéesEn localEn local et sur les serveurs de Dashlane, communication chiffrée et données chiffrées en AES256En local et sur les serveurs de LastPass, communication chiffrée et données chiffrées et hachées.
Plateforme couvertesAndroid, iOS, Windows Phone 7, 8, 8.1, 10, Blackberry 10, PC, MacOS, LinuxAndroid, iOS, PC, MacOSAndroid, iOS, Windows Phone 8, 8.1, 10, PC, MacOS, Linux
Synchronisation des donnéesPas en natifOui, natifOui, natif
Méthodes de déverrouillage proposésMot de passe, schéma, empreintes digitalesMot de passe, code PIN, empreintes digitalesMot de passe, empreintes digitales

 

Avant de choisir, définissez vos priorités

Après l’examen de ces différentes solutions vient l’heure du choix. Et puisqu’aucune solution n’est véritablement un cran en dessous, il s’agira de définir vos priorités.

Avez-vous besoin d’un support sur une grande diversité de terminaux ? Le modèle économique d’un logiciel de ce genre doit-il uniquement reposer sur une communauté ? Si oui, alors vous serez sûrement conquis par KeePass et ses multiples clients proposés sur des plateformes que les autres logiciels ne couvrent pas forcément.

Si au contraire, la simplicité d’usage et l’expérience en tant qu’utilisateur sont le point le plus important pour vous, alors vous serez sûrement plus convaincu par Dashlane ou LastPass. Entre ces deux solutions, c’est également une question de budget puisque LastPass est désormais gratuit, contrairement à Dashlane.

Nous espérons en tout cas que ce dossier vous permettra d’y voir un peu plus clair et vous incitera à adopter un gestionnaire de mots de passe, pour éviter de se retrouver avec des identifiants bien trop simples. C’est une première étape nécessaire dans l’amélioration de la sécurisation de vos données.