Je recommande régulièrement aux gens d’utiliser une sorte de système de gestion des mots de passe qui leur permet de définir des mots de passe difficiles à craquer (qu’ils soient courts et compliqués ou longs et faciles à retenir) de manière unique pour chaque site et service, et qui leur permet également de remplir ces mots de passe partout où ils en ont besoin.
Lowell Nelson m’a envoyé un courriel il y a quelques semaines pour me demander pourquoi je suis si chaud pour les options tierces, comme 1Password, Dashlane et LastPass, alors qu’Apple a une solution robuste et multiplateforme de son propre chef qui inclut la synchronisation : Keychain. (Keychain décrit plus spécifiquement la partie OS X, tandis que iCloud Keychain permet la synchronisation entre les appareils et l’utilisation avec iOS.)
C’est une question formidable, et je préfère ne pas dire aux gens d’acheter un service payant (qu’il s’agisse de frais uniques ou d’un abonnement) à moins que l’utilité de cet utilitaire soit si élevée qu’elle l’emporte sur le coût.
Examinons les détails. Comme j’ai testé et étudié 1Password et LastPass de manière approfondie, je les utilise comme base de comparaison. Vous devriez pouvoir trouver des réponses à chacun des points ci-dessous dans les FAQ ou les descriptions des fonctionnalités de toute alternative suffisamment robuste.
Bien que le Trousseau d’Apple, 1Password et LastPass puissent tous stocker d’autres sortes de données en toute sécurité, les mots de passe sont l’élément le plus fiable qui puisse être utilisé dans tout un écosystème et sur toutes les plateformes.
À quel point vos données sont-elles sécurisées ?
Un » coffre-fort » de mots de passe doit garder les mots de passe, eh bien, en sécurité, dans trois domaines principaux :
-
Données au repos sur un appareil. Les mots de passe doivent être sécurisés sur un appareil contre toute personne autre que le propriétaire qui y accède.
-
Données stockées sur des serveurs. Il devrait être difficile ou impossible pour un attaquant d’accéder aux mots de passe stockés dans le cloud et de les déchiffrer.
-
Données en transit lors de la synchronisation ou vers et depuis un accès Web. Un chiffrement fort devrait empêcher un fouineur de débrouiller les nouvelles entrées, les récupérations et les mises à jour, ainsi que les sessions interactives.
Keychain et iCloud Keychain sont plutôt robustes à ces égards. OS X et iOS doivent être déverrouillés pour remplir les entrées du trousseau, et l’app d’accès au trousseau d’OS X nécessite un mot de passe administratif ou utilisateur pour déverrouiller et voir les mots de passe. Avec Touch ID ou un code d’accès dans iOS et FileVault 2 dans OS X, les mots de passe sont hautement sécurisés également lorsque vous êtes éteint (OS X) ou verrouillé (iOS). iCloud Keychain utilise un chiffrement basé sur le périphérique qui empêche Apple de pouvoir (ou d’être obligé de) déchiffrer vos mots de passe.
1Password et LastPass utilisent une méthode de cryptage de phrase de passe « coûteuse » pour vos bases de données stockées localement, de sorte que même si quelqu’un met la main dessus, un pirate ne peut que forcer brutalement les tentatives de mot de passe à un rythme très, très lent. LastPass a testé cela involontairement après un piratage : aucun rapport n’a émergé sur des coffres de mots de passe déverrouillés.
LastPass synchronise tout via ses serveurs, mais crypte avec des clés connues uniquement des utilisateurs. 1Password synchronise via Dropbox et d’autres services basés sur le cloud (en s’appuyant sur leurs méthodes de sécurité et de cryptage au repos) ainsi que par le biais de ses abonnements complémentaires pour le partage avec les membres de la famille ou de l’équipe, mais il verrouille tout avec des clés appartenant à l’utilisateur.
LastPass et les options d’équipe ou de famille pour 1Password vous donnent également accès via un navigateur Web, et utilisent un décryptage basé sur le navigateur au lieu d’un logiciel client natif ; les entreprises ne possèdent pas vos clés. Cependant, il y a une faiblesse à se fier au navigateur. Les logiciels malveillants et autres exploits basés sur le navigateur rendent ce dernier beaucoup plus vulnérable que le niveau de sécurité offert par les applications natives et la synchronisation en nuage. Les failles de Safari dans iOS et OS X sont découvertes régulièrement (bien que très peu soient observées dans la nature), et vous pourriez être tenté d’accéder à vos mots de passe à partir d’une machine inconnue fonctionnant sous un autre OS.
À quel point le système est-il facile à utiliser ?
Un système de mots de passe doit être facilement invocable. S’il ne l’est pas, vous ne l’utiliserez pas systématiquement, car c’est la nature humaine. Pire, si vous l’installez pour quelqu’un d’autre afin d’améliorer sa sécurité, il peut être peu probable qu’il l’utilise du tout si ce n’est pas un rappel constant et superbement simple.
Keychain est largement utilisé par Apple comme un moyen de se souvenir des mots de passe pour des champs spécifiques sur les pages web, et de stocker les mots de passe pour une récupération et un contournement automatiques dans ses logiciels (comme AirPort Admin dans OS) ou avec des logiciels tiers qui utilisent les crochets Keychain d’Apple. Dans Safari mobile et desktop, Keychain fonctionne très bien, de la suggestion d’un mot de passe fort, à son stockage, en passant par la possibilité de le ressortir ou d’utiliser d’autres alternatives stockées.
Mais alors qu’il est largement utile dans OS X, car plus de développeurs l’ont adopté et il y a Keychain Access pour des consultations et des récupérations directes, dans iOS vous devez forer vers le bas dans Paramètres > Safari > Mots de passe pour afficher, modifier ou (glisser tout en bas) ajouter des mots de passe. En outre, vous ne pouvez pas invoquer Keychain dans les boîtes de dialogue de connexion non Web d’Apple, ce qui le rend inutile pour les usages courants. Et si vous pouvez inventer un mot de passe lorsque vous en avez besoin, il est difficile d’y accéder et ne peut être récupéré facilement que sur une page Web correspondante.
L’ajout d’extensions par Apple à partir d’iOS 8 permet d’invoquer 1Password, LastPass et d’autres outils dans Safari et d’autres apps. De nombreuses apps iOS que j’utilise sont liées directement à l’API de 1Password qui permet une invocation directe. Dans le pire des cas, je peux passer à LastPass ou 1Password pour trouver le mot de passe, le copier, puis repasser à l’app et le coller.
Vous pouvez également utiliser l’app pour créer des mots de passe forts qui sont conservés à la création, synchronisés automatiquement et copiés dans le presse-papiers pour être utilisés dans d’autres apps.
La situation multiplateforme est bien pire. Apple ne rend pas iCloud Keychain disponible en dehors de ses propres systèmes d’exploitation. 1Password et LastPass (et d’autres apps) sont disponibles sur une grande variété de plateformes majeures, et en plus ils ont un accès par navigateur (par défaut avec LastPass et comme option d’abonnement avec 1Password).
iCloud Keychain n’a aucun mécanisme de partage avec d’autres personnes – une partie du récit continu dont je discute depuis des années sur la façon dont Apple ne conçoit pas ses systèmes depuis le début pour reconnaître que les gens travaillent en groupe et en famille. (Ne commençons pas à parler des problèmes liés au partage familial.)
La plupart des systèmes de mots de passe ont un mécanisme permettant de partager des secrets avec d’autres personnes possédant un compte. 1Password permet une transmission directe sans abonnement ou, plus récemment, un accès partagé de manière sélective entre les membres de groupes professionnels et familiaux. LastPass, parce que les éléments sont stockés de manière centralisée, offre cela depuis des années.
Choisir entre eux
Si vous utilisez presque entièrement des mots de passe uniquement sur des sites Web, que vous utilisez uniquement iOS et OS X, et que cela ne vous dérange pas de mémoriser et de taper des mots de passe exigés par Apple pour ses services, Keychain avec iCloud Keychain fait l’affaire. Si toutes ces conditions ne sont pas réunies, un système de gestion des mots de passe vaut la peine d’être investi.
Mise à jour : une version précédente de cette histoire indiquait qu’iOS ne fournissait pas d’accès aux mots de passe stockés ou un moyen d’en créer de nouveaux. C’est le cas ; c’est juste enterré dans les paramètres.