HS09 – LastPass
Aaaahhh les mots de passe. Le plupart des gens en ont ras le bol, littéralement. Alors ils font quoi ? ils mettent le même mot de passe partout, le notent sur un post-it et le collent sous leur clavier, la cachette parfaite ! Ce qu’il ne faut évidemment surtout pas faire.
Ouais bah t’es gentil mais on fait comment nous, simples mortels, pour se souvenir d’autant de mots de passe ? La plupart du temps je ne me suis pas connecté depuis tellement longtemps que ça se finit en “mot de passe oublié” de toute façon.
Nous sommes d’accord, c’est une galère… et encore, si l’on souhaite vraiment suivre les bonnes pratiques : ils doivent faire parfois plus de 8 caractères mais moins de 16, avec des majuscules, des minuscules, des chiffres, des caractères spéciaux mais pas n’importe lesquels, il ne faut pas utiliser le même mot de passe partout, il ne faut pas les noter dans un carnet, il ne faut les donner à personne, il faut les changer tous les 3 mois, utiliser la double authentification… Et vous finissez comme dans la maison qui rend fou des 12 travaux d’Astérix.
Alors avant même d’aller plus loin je vous invite à lire l’article que j’ai consacré aux bonnes pratiques, à ce que j’aime appeler l’hygiène informatique. La gestion des mots de passe en fait partie même si elle ne représente finalement qu’un maillon d’une chaîne que l’on doit vouloir aussi solide que possible en sachant que la solidité d’une chaîne n’est égale qu’à la solidité du maillon le plus faible. Alors si ce n’est qu’un des maillons, autant se simplifier la vie pour pouvoir consacrer plus de temps aux autres.
Je vous présente ici LastPass, un gestionnaire de mots de passe parmi d’autre, c’est celui que j’utilise maintenant depuis plus de 2 ans et il m’apporte entière satisfaction. Si vous avez aussi bien, mieux ou tout autre chose et que cela vous convient, parfait ! N’en changez surtout pas, c’est suffisamment difficile de trouver chaussure à son pied mais si ce n’est pas le cas, voilà un bel exemple de ce qui existe pour vous simplifier a vie et par la même occasion pour aider à bien dormir. Ce type d’outil me semble aujourd’hui indispensable pour sécuriser et simplifier l’accès aux multiples plateformes auxquelles nous nous sommes confrontés. On parle de sécuriser son argent ici, pas de son compte Leclerc.
Pour que vous compreniez bien le danger à utiliser le même mot de passe partout, imaginons que Bob utilise le même mot de passe sur sa boîte mail, et sur meetic. Maintenant imaginons que la base de données Meetic soit piratée, et que le pirates récupère les identifiants et mots de passe des membres. Il va faire quoi le pirate d’après vous ? Il va essayer de se connecter aux boîtes mails avec le mot de passe qu’il aura trouvé sur Meetic, parce qu’il sait qu’il ne faut pas prendre les gens pour des cons mais qu’il ne faut pas oublier qu’ils le sont. Et une fois sur la boîte mail de Bob, il va changer le mot de passe, il va voir à quels site il est abonné, et essayer le même mot de passe partout. Si ça marche pas, pas de souci, mot de passe oublié et hop, il a accès à tous vos comptes. Première chose ici, la double authentification qui vous oblige certes à taper un code quand vous vous connectez, mais qui vous protège entre autre de ça. Deuxième chose, si vous avez un mot de passe différent partout, le pirate l’a dans l’os. Il a votre compte Meetic (et encore avec la double authentification même pas), mais c’est tout.
Alors des gestionnaires de mots de passe gratuits existent (LastPass dispose aussi d’une version gratuite), j’en ai testé, j’ai toujours été fini un peu déçu ou bloqué à cause d’une fonctionnalité qui me manquait. Avec LastPass, j’ai tout trouvé tout ce dont j’avais besoin, et même plus. Encore une fois, si vous avez mieux en terme de fonctionnalité, dîtes le en commentaire, ça pourrait m’intéresser et en intéresser d’autres.
Mais c’est quoi un gestionnaire de mot de passe ? Y’a un p’tit monsieur qui vient taper tes mots de passe à ta place ? Super sécurisé ton truc !
Le principe de base que l’on retrouve sur tous les logiciels de ce type est que vous disposez d’un mot de passe “maître”. C’est ce mot de passe qui va vous donner accès à tous les autres. C’est d’ailleurs de ce dernier mot de passe a retenir que “Lastpass” a tiré son nom.
Ah ben bravo, tout ça pour ça. Le pirate chope celui-là et il n’a même plus besoin de faire “mot de passe oublié”.
Avec certains gestionnaires gratuits c’est effectivement le cas. Vous avez un fichier sur votre pc, votre “coffre” disons, qui va avoir une extension genre .pass, au lieu de .doc pour votre fichier Word, que vous allez ouvrir avec votre gestionnaire. Il vous demande alors votre mot de passe maître puis vous accéder aux mots de passe. Ca se présente sous une forme de liste, avec le nom, l’URL du site Internet, le nom d’utilisateur et le passe associé. Vous jouez du copier/collez et voilà. Oui mais bon, c’est pas très pratique à utiliser tout ça. A chaque fois que vous voulez accéder à un site vous êtes bon pour faire la manip. Et puis si quelqu’un récupère ce fichier, c’est le début de la fin. Et c’est là que j’ai découvert LastPass.
Site Internet : https://www.lastpass.com/fr
Tarifs / fonctionnalités : https://www.lastpass.com/fr/pricing
Tester la solidité d’un mot de passe : https://howsecureismypassword.net/
Savoir si un de nos mot de passe a déjà été compromis : https://haveibeenpwned.com/
Première chose à comprendre, vous accéder à vos mots de passe la première fois, il va vous falloir plus qu’un simple mot de passe maître comme dans le cas du fichier de tout à l’heure. Un petit malin à l’autre bout du monde ne pourras pas y accéder comme ça. Si vous allez au bout de la démarche de sécurité il va vous falloir votre mot de passe maître certes mais aussi un code de double authentification, et une acceptation de ce nouveau périphérique (demande envoyée par mail). Vous pouvez alors enregistrer votre PC comme autorisé pendant 30 jours à accéder à votre coffre et là plus besoin de quoi que ce soit pour avoir accès à vos mots de passe. Par contre le petit malin de tout à l’heure il lui faut votre mot de passe maître, votre code de double authentification, et l’accès à votre boîte mail. Autant dire, compliqué !
Bon admettons, et ça se présente comment ton truc ?
Une extension dans votre navigateur, n’importe lequel, tous compatibles, qui va, lorsque vous vous connecter à un site, automatiquement remplir vos informations d’identification sur l’URL du site s’il est connu de LastPass. Vous allez sur un site, et vous cliquez sur “Se connecter”, sans même connaître votre mot de passe. Magique. Avec la version à 3€/mois, vos mots de passe sont synchronisés partout, PCs, téléphone (app mobile), tablette.
Mais LastPass c’est aussi un coffre fort numérique Vous pouvez y stocker vos informations de formulaire pour ne plus avoir à saisir votre adresse lorsque vous vous enregistrez sur un site, créer des notes sécurisées comme noter un numéro de compte, enregistrer vos CB pour que ces infos se remplissent automatiquement sur les sites marchands… Il vous permet de créer des mots de passe aléatoires en fonction de vos critères de longueur et de complexité, bref, du tout en un.
Une fonctionnalité très intéressante, vous pouvez partager un mot de passe avec un autre utilisateur LastPass. Par exemple je partage le mot de passe du site des impôts avec ma femme. Si elle change le mot de passe parce que le site le lui demande, il est mis à jour dans LastPass et synchronisé avec moi. Je ne m’en rendrai même pas compte.
Allez une petit vidéo pour mieux/réexpliquer tout ça. Lui propose “Google authenticator” pour l’authentification à deux facteur. Je ne vois aucune raison de ne pas utiliser LastPass Authenticator à la place. Il fait la même chose mais à l’avantage de pouvoir être sauvegardé dans LastPass, ce qui vous simplifiera d’autant la vie si vous changez de téléphone par exemple.
https://www.youtube.com/watch?v=aPr6dmo7Uek
Si vous faîtes cette démarche, vous aurez des mot passe super complexes partout, de la double authentification partout où cela est possible, je pense notamment aux échanges, vous n’aurez plus jamais besoin de vous souvenir de vos mots de passe, il se saisiront automatiquement pour vous, y compris sur mobile, y compris dans les applications mobile (c’est pas réservé aux sites web), et vous pourrez les partager, sans même que l’autre ne puise les afficher si vous le souhaitez.
La version gratuite vous limite à 1 appareil, PC ou MAC ou mobile. Je trouve que pour le service rendu, à 3€ par mois, ce serait dommage de passer à côte. La sécurité a un prix et ceux ui la négligent finisse par s’en mordre les doigts. Je dispose personnellement d’un compte famille ce qui m’a permis de rattacher des comptes gratuits au mien (5 comptes max) et ainsi de leur faire bénéficier de toutes les fonctionnalités. Vous pouvez également désigner un compte de dernier recours. Imaginons que vous décédiez, c’est triste mais ça arrive même a des gens très bien parait il, le compte désigné pourra demander accès au votre, et sans opposition de votre part au bout de deux semaines pourra avoir accès à votre coffre.
Je suis tellement convaincu de la nécessité de cette couche de sécurité et de la facilité d’utilisation de LastPass que je viens de demander à devenir ambassadeur LastPass pour pouvoir proposer un lien sponsorisé. Ceux l’utilisant pourraient ainsi me soutenir en me permettant de recevoir une commission s’ils s’abonnent à LastPass avec mon lien.
Bref je vous invite chaudement à cesser d’utiliser le même mot de passe partout, à ne plus les écrire sur des bouts de papier, à utiliser un gestionnaire de mots de passe (quel qu’il soit) et à mettre en place la double authentification partout où cela est possible. Si notre cher XRP pump à 100$ et que vous vous rendez compte que votre compte Binance ou autre a été piraté, vous risqueriez de pleurer un moment.
Si vous avez des questions sur le sujet, n’hésitez pas à me suivre sur Twitter/Discord et m’envoyer un DM, je serai ravi de vous renseigner si je le peux.
https://twitter.com/cryptapero
https://discord.gg/emavAwgU94
Prenez soin de vous 😉