Gestionnaire de mot de passe : Guide de survie

02

Nous connaissons tous les “password manager”, logiciels à vocations sécuritaires et pratique dont nombre d’entre vous (et surtout nous, IT) avons l’usage chaque jours.

Ces logiciels gardent tous vos crédentiels protégés par un seul et unique mot de passe “Maître” connu de vous uniquement.

Mais que faire lorsque vous perdez ce mot de passe maître ?

Dans ce cas vous imaginez bien qu’il ne suffit pas de cliquer sur “Mot de passe oublié” comme vous le feriez pour un autre compte sur Internet.

Dans cet article nous passerons en revue une partie des gestionnaires de mot de passe du marché et les méthodes possibles pour se sortir de ce genre de situation.

Les principaux gestionnaires de mot de passe et leur politique de mot de passe maître.

Lorsque vous décidez d’utiliser un gestionnaire de mots de passe, il vous appartient de prendre conscience de l’importance du mot de passe maître.

En effet s’il y a un seul mot de passe qu’il est important de retenir c’est bien celui-là, pour la simple et bonne raison qu’il est le sésame permettant d’accéder à tous les autres.

Suivant le gestionnaire de mot de passe que vous utilisez, récupérer son accès en cas d’oubli du mot de passe maître peut être relativement facile ou un vrai cauchemar (impossible dans nombre de cas).

Voici ici un petit tour d’horizon des gestionnaires de mot de passe les plus connus et les méthodes mises à disposition par ces derniers pour récupérer vos accès.

00_lastpass

LastPass

LastPass possède un guidé dédié à la récupération du mot de passe maître.

Pour faire court, en cas d’oubli ou de perte de votre mot de passe maître vous pouvez activer un code OTP (One Time Password) afin d’accéder à votre coffre-fort.

Ce code n’est évidemment valable qu’une seule fois puisqu’il vous sera nécessaire de redéfinir un mot de passe maître à la suite de cette procédure.

Il est important de noter que pour des raisons anti-usurpation assez évidentes cette procédure de récupération n’est possible que d’un ordinateur à partir duquel vous avez déjà accédé à votre coffre-fort.

Il vous sera aussi nécessaire d’avoir accès à la boite mail que vous avez lié à votre compte LastPass.

Dans le cas où vous ne parviendriez pas à vous authentifier suite à un changement de mot de passe vous pouvez exécuter un “roll-back” de votre coffre-fort en une version antérieure (qui sera alors verrouillée avec votre ancien mot de passe), il est important de noter que les modifications qui auraient été faites après ce “point de restauration” sont alors perdues.

Cette procédure nécessite, elle aussi que vous ayez accès à la boite mail que vous avez lié à votre compte LastPass.

Si ces deux méthodes s’avèrent infructueuses ou que vous n’avez définitivement plus accès à la boite mail liée à votre compte, hé bien, vous n’avez plus qu’à supprimer votre coffre-fort et recommencer de zéro.

00_dashlane

Dashlane

Dashlane est un peu plus restrictif que LastPass, ce qui, en somme est à la fois une bonne et une mauvaise chose.

Version courte: “There is no existing password recovery procedure“.

Cela signifie que si vous perdez votre mot de passe maître, votre coffre-fort restera définitivement verrouillé, et ce, même si vous l’avez synchronisé sur différentes plateformes ou sauvegardé en cloud.

Si vous utilisez l’application mobile Dashlane et que vous l’avez paramétrée pour :

  • ne vous demander le mot de passe maître qu’au redémarrage du mobile.
  • avoir un accès rapide type code pin pour l’utilisation courante.

Alors vous pouvez avoir accès à votre coffre-fort aussi longtemps que vous ne redémarrerez pas votre mobile (profitez-en pour recopier les différentes entrées de votre coffre-fort).

En effet, il n’est pas possible de changer le mot de passe maître à partir de l’application mobile.

En dehors de ça, votre seule option restante est de créer un nouveau compte ou de réinitialiser votre compte existant (afin de pouvoir réutiliser votre adresse mail), ce qui, bien entendu supprimera votre coffre-fort existant et vous devrez donc repartir de zéro.

Cela peut paraître draconien mais pour un gestionnaire de mot de passe c’est en réalité plutôt une bonne chose, l’absence de procédure de récupération du mot de passe maître coupe pour ainsi dire toute tentative de social engineering.

00_keepass

KeePass

KeePass permet le verrouillage de votre coffre-fort via un mot de passe maître, un “fichier key” ou les deux.

Le coffre-fort produit par KeePass est un fichier plat d’extension “.kdbx” utilisable avec n’importe quel client KeePass pourvu que vous connaissiez le mot de passe maître, que vous possédiez le “fichier key” ou, le cas échéant, les deux.

Le déport du coffre-fort a ce côté très pratique qu’il peut être partagé / synchronisé sur un espace de stockage distant type Dropbox / Google Drive mais tant que votre coffre-fort reste stocké sur votre ordinateur, le risque qu’un tiers mette la main dessus est limité.

Mais voila : KeePass est libre, open-source et pas réellement maintenu par une équipe centralisée, si vous oubliez / perdez votre mot de passe maître ou votre “fichier key” hé bien tant pis pour vous.

En effet KeePass ne possède aucune backdoor, ou procédure de récupération du mot de passe maître.

Il est donc conseillé de faire une copie de votre .kdbx coffre-fort avant de changer votre mot de passe maître, juste au cas où.

Maintenant, vous pourriez penser à cracker le verrou de votre coffre-fort, c’est probablement un mauvaise idée.

KeePass possède une protection intégrée anti bruteforce (il existe une méthode pour byPass cette sécurité).

Dans tous les cas, plus votre mot de passe maître avait une complexité élevée moins il est probable que vous parveniez à le casser.

Il n’existe pas de méthode miracle à ce jour.

00_1password

1Password

La politique du mot de passe maître de 1Password est relativement proche de celle de DashLane, le principe est simple : Les équipes de 1Password n’ont accès ni à votre coffre-fort ni à la clé de chiffrement, il n’y a donc aucun moyen pour eux de vous reset le mot de passe maître ou de vous accorder l’accès à votre coffre-fort de quelques manière que ce soit. Ils expliquent pourquoi ici, et vous offre quelques astuces qui pourraient aider mais globalement l’issue la moins préjudiciable sera de repartir d’un backup pour lequel vous vous souvenez de votre mot de passe maître, bien évidemment, toutes modifications antérieures à ce point de restauration seront perdues.

Si vous êtes authentifié sur 1Password à partir d’une autre plateforme (mobile par exemple) vous serez en mesure de consulter le contenu de votre coffre-fort et donc probablement de l’exporter mais à partir du moment où vous devrez vous ré-authentifier vous resterez à la porte.

00_roboform

Roboform

Roboform est dans le domaine de la gestion des mots de passe depuis un certain temps maintenant mais leur politique de mot de passe maître est relativement semblable à celle de ses concurrents. Ils nous l’expliquent en détail ici, sur le fond leur ligne de conduite est la suivante :

Si vous n’êtes pas authentifié et que vous avez oublié votre mot de passe maître vous pouvez lancer une procédure de reset mais votre coffre-fort existant sera supprimé dans l’opération.

Si vous avez paramétré Roboform pour “se souvenir de votre mot de passe” alors vous ne serez jamais dans une telle situation (jusqu’à ce qu’un événement vous force à “hard delog” comme une mise à jour ou une réinstallation du soft) mais il est important de noter que la fonctionnalité “se souvenir du mot de passe” sacrifie considérablement la sécurité dans le cas ou votre ordinateur est physiquement accessible par des tiers.

Comment se prémunir d’une telle situation ?

Vous aurez, je pense, bien noté qu’en cas de perte du mot de passe maître la tendance penche nettement vers le “tant pis pour vous”, en effet on observe que, pour une majorité de gestionnaire de mot de passe vous devez pouvoir vous authentifier, dans le cas contraire, vous ne pouvez pas et ça s’arrête là.

C’est, à mon sens, un gage de sérieux de leur part quant à leur vocation à fournir un service de “coffre-fort” à proprement parler.

Si vous craignez un jour ne plus pouvoir accéder à votre coffre-fort le mieux est alors d’agir dès maintenant, voici donc une petite liste de chose qu’il est possible de faire avant qu’il ne soit trop tard.

  • Prenez note ou exportez vos OTP ou code de backups

Certain gestionnaire de mot de passe propose l’utilisation de code de backups et autres “one-time passwords” afin de lancer une procédure de récupération d’urgence.

Habituellement ils ne vous sont présentés qu’une fois lors de la création de votre compte ou lorsque vous les générez sur demande. Leur utilité peut aller de la récupération du compte à la redéfinition du mot de passe maître, il est donc primordial de les conserver sur un support fiable, dans un endroit sûr, en dehors de votre coffre-fort évidemment.

  • Prenez note de votre mot de passe maître

Il n’est, d’ordinaire, pas recommandé d’écrire quelque mot de passe que ce soit et plus particulièrement lorsque ce mot de passe sert à déverrouiller un accès à d’autre mots de passe. Cependant la perte de votre coffre-fort justifie peut être de fournir un effort d’inventivité pour trouver un endroit sûr ou stocker la note de ce mot de passe.

Bien évidemment, un post-it sur votre écran n’est clairement pas une bonne idée.

  • Utilisation des contacts d’urgence

Si votre gestionnaire de mot de passe gère le partage de mot de passe ou plus précisément les “emergency contacts”, utilisez ces services.

DashLane par exemple vous donne la possibilité de définir un ou plusieurs contacts d’urgence qui seront autorisés à accéder à votre coffre-fort si vous même n’en êtes plus capable.

Cette fonctionnalité est généralement utilisée dans le cas d’urgences médicales mais il peut tout à fait servir dans le cas où vous oublieriez votre mot de passe maître.

Ces contacts d’urgence ne sont généralement pas autorisés à changer le mot de passe maître mais, au besoin, ils vous fourniront un accès à votre coffre-fort afin d’en faire une sauvegarde.

Conclusion

Il est important de se rappeler qu’un gestionnaire de mot de passe fourni un service très différent de votre boite mail ou de votre compte bancaire, il ne vous enverra pas d’Email de redéfinition de mot de passe après quoi tout sera réglé, il vous appartient de faire preuve de rigueur dans l’utilisation des coffre-forts de mot de passe, considérant que si vous êtes suffisamment prudent pour verrouiller vos accès vous l’êtes tout autant pour vous assurer de pouvoir y accéder.

Sources & ressources :

Georges

Consultant Sécurité