Des mots de passe cachés, mais sous la main


François Picard - 21/02/2012

Par souci de sécurité, on augmente sans cesse le nombre de mots de passe, mais cela devient difficile de les mémoriser, à moins de trouver une solution simple et efficace.

Qu’il s’agisse de codes d’accès à des sites Web, à des comptes bancaires, à des services en ligne ou autres, on en ajoute chaque semaine de nouveaux et garder en sécurité tous ces codes devient un souci majeur. Les applications proposées ne manquent pas, autant sur ordinateur que sur ordiphone, mais certaines sont peu fiables ou trop complexes. Après en avoir testé plusieurs, nous en avons retenu deux qui sont multiplateformes, Handy Safe de Paragon Software et Splash ID de SplashData.

Les solutions faciles

De nos jours, il faut un code et un mot de passe ou un numéro d’identification personnel (NIP) pour accéder à toutes sortes de services ou faire fonctionner des logiciels. Quand on n’en a que quelques-uns, on peut facilement les mémoriser, mais avec le danger de les oublier si on ne les utilise pas souvent. Beaucoup de gens les inscrivent sur de petits papiers ou dans leur agenda, au risque de se les faire dérober par des parents ou des collaborateurs. D’autres encore optent pour l’utilisation du même mot de passe pour plusieurs services de peur de mélanger leurs mots de passe, ce qui n’est pas très sécuritaire non plus.

Si on recherche mots de passe ou password dans l’App Store d’Apple ou l’Android Market de Google, on tombe sur différents logiciels qui permettent d’enregistrer les mots de passe et d’en faire une sauvegarde sécurisée, mais habituellement juste sur un appareil qu’on doit donc toujours avec soi et qu’il ne faut absolument pas perdre. Certaines applications de gestion de mots de passe gratuites sont vraiment de type amateur et le niveau de sécurité des données sauvegardées laisse à désirer. D’autres sont très complexes et la plupart ne permettent pas d’importer une base de données de mots de passe qu’on avait déjà, ce qui oblige à tout réécrire sans erreur.

Finalement, le plus simple serait d’écrire en traitement de texte sa liste de codes et mots de passe, puis de la sauvegarder avec un mot de passe suffisamment complexe (minuscules, majuscules et chiffres) pour que des pirates ne le devinent pas. Dans Word de Microsoft Office, on peut le faire en allant à Outils > Protéger un document… > Chiffrer le document et écrire le mot de passe. Le fichier créé est récupérable avec le mot de passe dans Office, OpenOffice ou dans la plupart des suites bureautiques compatibles Office pour iPhone, Android ou BlackBerry. C’est une bonne solution, sauf qu’il faut savoir qu’on trouve sur le marché des utilitaires capables de retrouver les mots de passe utilisés dans Microsoft Office. Ce n’est pas tout le monde qui se sert de tels logiciels, mais il y a un risque qu’il faut évaluer avant de choisir cette option.

Des solutions professionnelles qui ont fait leurs preuves

SplashID

Le logiciel SplashID de SplashData

Le logiciel SplashID de SplashData.

Depuis dix ans, je me sers de SplashID de la compagnie californienne SplashData. J’en ai profité sous Palm OS, sous Windows Mobile, sous iOS et maintenant sous Android en plus de sa version de base sur PC, mais on peut aussi en avoir des versions pour Mac, BlackBerry, WebOS ou juste pour une clé de mémoire flash sécurisée. Les versions Windows et Mac coûtent 19,95 $, alors que les versions pour chacun des appareils portatifs reviennent à une dizaine de dollars. Dans le passé, plusieurs versions de SplashID ont été francisées, mais nous n’avons pas trouvé la dernière version en français.

SplashID est un système de gestion et de sécurisation de mots de passe très ouvert. On fait une base de données de mots de passe avec la version PC ou Mac et, à partir de là, on la synchronise avec le ou les appareils portatifs sur lesquels on a aussi installé le logiciel SplashID. Chaque enregistrement de la base de données peut avoir un formatage différent si on veut, avec un nombre de lignes variable. Sur chaque appareil, la base de données est chiffrée en format AES Blowfish 256 bits, ce qui en rend très difficile le déchiffrement.

On trouve également dans le logiciel un générateur de mots de passe qui permet de créer de nouveaux mots de passe plus difficiles à trouver. Mais, ce que j’apprécie surtout dans la dernière version de SplashID, c’est le mode de synchronisation par Wi-Fi entre l’ordinateur de bureau et les téléphones intelligents Android, iPhone ou BlackBerry. Il suffit d’activer le logiciel SplashID sur les deux appareils et de presser un bouton pour que la synchronisation se fasse sans aucune autre intervention, si bien que c’est facile d’avoir tous les appareils à jour.

Handy Safe Pro

Le logiciel Handy Safe Pro de Paragon Software

Le logiciel Handy Safe Pro de Paragon Software

Le principal concurrent de SplashID est Handy Safe Pro de Paragon Software, qui est tout aussi pratique et sécuritaire, mais coûte moins cher actuellement et est disponible avec une interface en français contrairement à SplashID. On peut acheter la version pour les ordinateurs de table PC ou Mac pour 9,99 $ et la version pour ordiphone ne coûte que 1,99 $ dans les marchés en ligne respectifs. J’aime bien la grande simplicité de Handy Safe Pro. De plus, si quelqu’un envisage de passer de SplashID à Handy Safe Pro, un mode d’importation de la base de données a été prévu à cette fin. Il faut juste exporter la base de données de SplashID sans mot de passe et effacer ce fichier non sécurisé après l’avoir importé dans Handy Safe Pro.

Dans Handy Safe Pro, le chiffrement est en Blowfish 448 bits, plus sûr encore que celui de SplashID. L’ajout de données est facile grâce à différents modèles de base et une image représente à l’écran la carte dont les données sont sauvegardées. On peut envoyer des données directement à un autre appareil par SMS ou par courriel, soit une fiche à la fois, soit l’ensemble. Comme pour SplashID, c’est plus facile de rédiger les fiches de la base de données de mots de passe sur un clavier d’ordinateur que sur un écran tactile, puis de synchroniser les données ensuite. Avec Handy Safe Pro, contrairement à SplashID, la synchronisation par Wi-Fi n’est possible qu’avec les appareils iPhone, iPad et ceux sous Windows Phone 7, pas encore avec les appareils sous Android qui doivent être synchronisés par câble USB. C’est juste un peu plus complexe, mais cela se fait quand même facilement.

À chacun de choisir son mode de gestion des mots de passe de façon sécurisée et pratique. À moins, bien sûr, de décider de toujours les mémoriser pour faire travailler sa mémoire, ce qui peut présenter des avantages à long terme… si les nerfs tiennent.

Pour consulter l’édition numérique du magazine de décembre 2011/janvier 2012 de Direction informatique, cliquez ici

François Picard est journaliste et éditeur du webzine Atout Micro.




Tags: , , , , , , ,