Pourquoi stocker des mots de passe dans une application de notes est une mauvaise idée
De nombreuses personnes trouvent pratique de stocker des mots de passe dans des applications de prise de notes, comme Evernote ou Notes d’Apple, mais cette pratique peut compromettre votre sécurité. Voyons pourquoi les applications de notes sont un coffre-fort risqué pour des données sensibles - et la meilleure façon de stocker vos mots de passe.
Pourquoi stocker des mots de passe dans des applications de notes est une mauvaise idée
Beaucoup de gens se rendent coupables de noter des mots de passe en texte clair - que ce soit sur un post-it ou dans une application pour smartphone - pour des raisons de commodité. En fait, environ un quart d’entre nous stocke des mots de passe dans une note ou un document numérique, selon des données du Pew Research Center.
Malheureusement, cette commodité s’accompagne de risques de sécurité sérieux, car le principal objectif des applications de prise de notes n’est pas de protéger des informations sensibles, ce qui entraîne de nombreuses lacunes en matière de cybersécurité. La plus grande de ces lacunes est le fait que la plupart des applications de notes classiques ne sont pas automatiquement cryptées.
L’absence de cryptage vous rend dépendant de la sécurité de votre appareil. Si votre téléphone ou votre ordinateur portable est perdu ou volé (ou simplement déverrouillé entre de mauvaises mains), tous vos mots de passe sont immédiatement exposés.
Bien que vous puissiez verrouiller votre téléphone entier avec un code ou un verrou biométrique, si les notes sont synchronisées dans le cloud, et que quelqu’un accède à votre compte cloud en infiltrant la sécurité ou les défenses du fournisseur, il peut contourner complètement la sécurité de votre appareil. Si cela semble peu probable, considérez qu’Evernote, par exemple, a une fois dû réinitialiser 50 millions de mots de passe d’utilisateurs après une violation de base de données.
Même les notes “cryptées” ne sont pas assez sûres
Bien que certaines applications de notes offrent un cryptage, il n’est souvent pas aussi robuste que dans les gestionnaires de mots de passe. Par exemple, l’application Notes d’Apple permet de verrouiller des notes avec une phrase de passe, utilisant un cryptage de bout en bout avec AES-GCM.
Cependant, toutes les applications de notes n’atteignent pas ce niveau de sécurité. Par exemple, le cryptage d’Evernote est plus limité : il vous permet de crypter du texte dans des notes en utilisant AES-128, mais cela nécessite une action manuelle pour chaque morceau de texte sensible. Plus important encore, le stockage standard d’Evernote n’est pas crypté de bout en bout par défaut, de sorte que l’entreprise théoriquement a accès à vos données sur ses serveurs. Ce n’est certainement pas la meilleure façon de stocker des mots de passe.
Au-delà des faiblesses du cryptage, les applications de notes manquent de fonctions essentielles de gestion des mots de passe. Par exemple, elles n’ont pas de fonctionnalité de partage de mots de passe sécurisée ; des capacités de génération automatique de mots de passe pour créer des mots de passe forts et uniques adaptés aux exigences spécifiques des sites Web ; et elles ne fournissent pas d’alertes de surveillance de violation pour informer les utilisateurs lorsque leurs identifiants stockés apparaissent dans des violations de données connues.
Enfin, elles ne peuvent pas remplir automatiquement les formulaires de connexion sur les sites Web, vous devez donc copier manuellement vos mots de passe dans le presse-papiers, et il existe plusieurs types de logiciels malveillants conçus pour surveiller et voler le contenu du presse-papiers.
L’alternative sécurisée : les gestionnaires de mots de passe
À ce stade, vous vous demandez peut-être : “D’accord, si je ne devrais pas utiliser mon application de notes, quelle est la meilleure façon de stocker des mots de passe ?” La réponse est de passer à un gestionnaire de mots de passe. Les gestionnaires de mots de passe sont des applications spécifiquement conçues pour stocker vos mots de passe (et d’autres informations privées) de manière sécurisée. Ils cryptent tout avec un mot de passe principal (ou une phrase de passe) que vous seul connaissez, et proposent des fonctionnalités pratiques, comme le remplissage automatique, les générateurs de mots de passe forts et la synchronisation entre appareils.
Voici quelques-uns des meilleurs gestionnaires de mots de passe que je recommande, selon différents besoins et mon expérience personnelle avec eux.
Meilleur dans l’ensemble : Bitwarden
Bitwarden est mon choix privilégié pour la plupart des utilisateurs. Il est gratuit pour un usage de base, open source (c’est-à-dire que son code est public et vérifié par la communauté) et disponible sur toutes les plateformes : Web, PC, Mac, Linux, iOS, Android, extensions de navigateur - vous l’appelez.
J’ai commencé à utiliser Bitwarden il y a quelques années après avoir essayé d’autres services, et il a trouvé le parfait équilibre entre sécurité et facilité d’utilisation. Bitwarden a une fonctionnalité astucieuse appelée Bitwarden Send, qui vous permet d’envoyer du texte ou des fichiers cryptés à quelqu’un d’autre. Je l’ai utilisée pour partager des mots de passe Wi-Fi et d’autres informations privées avec des amis en toute sécurité.
Meilleur local : KeePassXC
Peut-être que vous êtes quelqu’un qui ne fait pas confiance aux services cloud en ce qui concerne les mots de passe. Peut-être êtes-vous un utilisateur Linux ou simplement très soucieux de votre vie privée. Dans ce cas, KeePassXC pourrait être le choix idéal.
KeePassXC est le successeur soutenu par la communauté du classique KeePass, qui est un nom respecté dans la gestion des mots de passe depuis longtemps. Contrairement à Bitwarden, KeePassXC stocke tout localement. Vos mots de passe vivent dans un fichier de base de données crypté sur votre propre appareil. (Vous pouvez toujours synchroniser ce fichier via Dropbox ou similaire si vous le souhaitez, mais vous êtes en contrôle.)
Meilleure expérience utilisateur : 1Password
1Password est un produit payant (pas de niveau gratuit significatif, malheureusement), mais en retour, vous obtenez une application hautement raffinée que beaucoup considèrent comme la référence en matière d’expérience utilisateur. J’ai présenté 1Password à des membres de ma famille qui ne sont pas férus de technologie, et c’était le seul gestionnaire avec lequel ils ont réellement adhéré et qu’ils utilisent quotidiennement.
L’application facilite tout. Le design est clair et convivial, avec des invites et des instructions précises lorsque vous la configurez. Elle est également très intégrée. Par exemple, sur iPhone et Mac, 1Password semble être une partie native du système (elle fonctionne même avec l’Apple Watch pour se déverrouiller), et sur Windows ou Android, elle se comporte également bien.
Une fois que vous aurez fait le saut vers un gestionnaire de mots de passe et découvert la meilleure façon de stocker vos mots de passe, vous pourrez respirer plus facilement en sachant qu’une synchronisation d’application de notes aléatoire ou un vol d’appareil n’exposera pas votre entière identité en ligne. Pour plus d’options, explorez notre liste des meilleurs gestionnaires de mots de passe pour chaque plateforme.
Crédit image : Canva. Toutes les captures d’écran par David Morelo.
