Il y a une différence énorme entre une règle qu’on enfreint et une règle qu’on ne peut pas tenir. « Un mot de passe différent sur chaque site », c’est la deuxième.
De tout le catéchisme qu’on nous a récité — la majuscule, le chiffre, le caractère spécial, le changement obligatoire tous les trois mois —, le NIST a jeté presque tout par-dessus bord dans le SP 800-63B. La longueur s’est mise à compter plus que les contorsions. La rotation forcée a disparu, sauf soupçon de compromission. Et l’exigence de symboles a été remplacée par quelque chose de bien plus sensé : vérifier le mot de passe contre les listes de ceux qui ont déjà fuité.
Une seule règle a survécu. Celle de ne pas répéter. Et c’est celle dont on s’est le moins soucié, parce que pour la tenir il fallait quelque chose dont aucune affiche de l’intranet ne parlait.
Pourquoi votre mémoire ne peut pas
Comptez vos comptes. Pas ceux que vous utilisez : ceux que vous avez. La banque, la boîte mail, l’autre boîte mail, la boutique où vous avez acheté des baskets en 2019, le forum, la compagnie aérienne, l’appli du parking, le portail du syndic de copropriété, le site de l’administration qui vous a obligé à créer un compte pour une démarche de cinq minutes.
Maintenant imaginez mémoriser une chaîne longue, aléatoire et différente pour chacun. Ce n’est pas que ce soit difficile. C’est que ce n’est pas un objectif atteignable par un cerveau humain, et avoir soutenu le contraire pendant des années restera l’une des cruautés mineures de la sécurité informatique.
Alors on a fait la seule chose possible : un bon mot de passe et ses variantes.
Roquefort2019! pour la banque et Roquefort2019? pour le forum. Ou carrément
le même partout, avec un astérisque mental du genre « bon, à la banque j’en ai un
autre ».
Et c’est là qu’est le problème, parce que la vraie attaque ne consiste pas à deviner votre mot de passe. Elle consiste à essayer celui qu’on vous a déjà volé ailleurs. Le forum de 2019 fuite — les forums de 2019 fuitent —, quelqu’un récupère cette liste d’adresses et de mots de passe et la teste, en automatique, contre tous les services qui lui passent par la tête. Rien à casser. Vous avez déjà donné la clé ; il ne fait qu’essayer les portes. Ça s’appelle le credential stuffing, et ça marche précisément parce que la seule règle qui comptait était celle que personne ne pouvait tenir.
Un gestionnaire, ce n’est pas du confort
C’est là qu’on vous vend d’habitude le gestionnaire de mots de passe comme un luxe : c’est pratique, ça remplit tout seul, vous n’avez plus à taper. C’est vrai, et c’est le moins important.
Un gestionnaire ne vous fait pas gagner du temps : il rend possible une règle qui, sans lui, est hors d’atteinte. C’est la différence entre vous demander de courir cent kilomètres et vous donner un vélo. Le chiffre ne change pas ; ce qui change, c’est que vous pouvez le faire.
Avec un gestionnaire devant vous, tout le reste du SP 800-63B se règle tout seul. Longs plutôt que compliqués ? Il les génère de la longueur que vous voulez, puisque vous n’allez pas les taper. Différents sur chaque site ? Trivial, par définition. Pas de rotation forcée ? Parfait : vous ne changez que celui qui a fuité, et beaucoup de gestionnaires vous préviennent quand ça arrive. Le seul que vous devez encore mémoriser, c’est le mot de passe maître, et celui-là mérite qu’on le fabrique avec soin — quatre ou cinq mots au hasard dans le générateur et un passage par le vérificateur pour voir ce qu’il vaut.
L’objection honnête
« Mettre tous ses œufs dans le même panier. » Je l’ai entendue mille fois et ce n’est pas une bêtise. Si quelqu’un entre dans votre gestionnaire, il entre partout. C’est un point unique de défaillance, et quiconque vous dit le contraire est en train de vous vendre quelque chose.
La réponse doit être honnête aussi : oui, c’est un panier unique, mais l’alternative n’est pas d’avoir les œufs répartis. C’est de les avoir par terre. Sans gestionnaire, vous ne vous retrouvez pas avec quatre-vingts mots de passe indépendants ; vous vous retrouvez avec le même mot de passe sur quatre-vingts sites, ce qui est le même panier mais sans fermeture, sans chiffrement et recopié sur quatre-vingts serveurs étrangers dont vous ignorez tout de la sécurité.
Regardez le vrai modèle de menace. Faire sauter le coffre chiffré d’un gestionnaire sérieux exige soit une faille grave du produit, soit votre mot de passe maître. Essayer sur votre messagerie le mot de passe que vous aviez mis sur une boutique en ligne n’exige absolument rien : un script et une liste. Vous comparez une attaque qui demande beaucoup à une attaque qui est déjà en cours, en permanence, en pilote automatique.
Ce qui est en revanche une précaution raisonnable : un mot de passe maître long et unique, la double authentification activée sur le gestionnaire, et la conscience que le maître est désormais votre point critique. Traitez-le comme tel.
Lequel, et pourquoi il n’y a pas de réponse unique
Il faut ici dire une chose gênante pour un site qui a des liens d’affiliation : le meilleur gestionnaire est celui que vous allez utiliser, et il y en a plusieurs de bons.
Bitwarden est un logiciel libre, avec une offre gratuite qui couvre les besoins de presque tout le monde, et vous pouvez l’héberger vous-même si l’envie vous prend. Que son code soit auditable n’est pas un argument marketing : ça veut dire que vous ne dépendez de la parole de personne.
KeePass — et ses dérivés — garde tout dans un fichier local. Pas de cloud, pas de compte, pas de fournisseur. Si votre inquiétude, c’est « je ne veux pas que mes mots de passe soient sur le serveur d’un autre », elle est littéralement réglée. En échange, la synchronisation entre vos appareils, c’est votre affaire.
1Password est payant et c’est vers lui que nous pointons ici — lien affilié, que ce soit dit. Ce qu’il fait bien, c’est justement la partie qui décide en général si un gestionnaire survit dans un foyer : que les gens non techniques le comprennent, le partagent avec leur conjoint et ne l’abandonnent pas au bout d’une semaine. Il n’est pas plus sûr que Bitwarden parce qu’il est payant. Il est, pour beaucoup de gens, plus facile à ne pas abandonner.
Et le gestionnaire de votre navigateur. Gratuit, déjà installé, il vous propose déjà d’enregistrer. Il est en dessous des précédents en contrôle, en portabilité et en partage, et il vous attache à un écosystème. Peu importe : utiliser celui du navigateur est incomparablement mieux que n’en utiliser aucun, parce qu’il règle le gros du problème. Quiconque vous dit le contraire fait passer la pureté avant le risque réel.
La phrase qui résume tout
Pendant des années, on nous a dit comment devait être chaque mot de passe et on ne nous a presque jamais dit comment on allait tous se les rappeler. C’était l’étape qui manquait, et sans elle la seule règle qui a survécu n’était pas une règle : c’était un reproche.
Choisissez-en un. N’importe lequel. Le débat sur lequel choisir est marginal à côté de la distance qui sépare avoir un gestionnaire de ne pas en avoir.
Sources : NIST SP 800-63B, « Digital Identity Guidelines: Authentication and Lifecycle Management » (longueur plutôt que complexité, pas de rotation forcée sauf soupçon de compromission, vérification contre les listes de mots de passe compromis) · documentation et modèles de sécurité publiés par Bitwarden, KeePass et 1Password.