Votre gestionnaire de mots de passe est-il vraiment sécurisé ?

L’internaute moyen posséderait environ 168 mots de passe pour ses comptes personnels, selon une étude de 2024. Cela représente une augmentation massive de 68 % par rapport à quatre ans auparavant. Compte tenu des risques de sécurité liés à la réutilisation des identifiants entre plusieurs comptes ou à l’utilisation de mots de passe faciles à deviner, la plupart d’entre nous avons besoin d’aide pour gérer ces accès.

C’est là qu’interviennent les gestionnaires de mots de passe : ils permettent de stocker et de retrouver des mots de passe longs, robustes et uniques pour chacun de nos comptes en ligne.

Cependant, cela ne signifie pas que ces coffres-forts numériques sont une solution miracle ni que vous pouvez relâcher votre vigilance sur Internet. Comme ils contiennent littéralement les clés de notre vie numérique, ils sont devenus une cible privilégiée des cybercriminels. Voici six menaces potentielles et quelques conseils pour les éviter.

6 risques liés à la sécurité des gestionnaires de mots de passe

En accédant aux identifiants stockés dans votre gestionnaire de mots de passe, des cybercriminels pourraient détourner vos comptes pour commettre une usurpation d’identité ou revendre ces accès à d’autres personnes malveillantes. C’est pourquoi ils cherchent en permanence de nouvelles méthodes pour vous cibler. Soyez attentif aux menaces suivantes :

1. Compromission de votre mot de passe “maître”

L’avantage des gestionnaires de mots de passe, c’est qu’avec un seul mot de passe facile à mémoriser, vous pouvez accéder au coffre-fort numérique qui contient tous vos identifiants en ligne.

Le problème, c’est que si des cybercriminels mettent la main sur ce mot de passe maître, ils obtiennent exactement le même niveau d’accès que vous. Cela peut se produire via une attaque par « force brute », consistant à utiliser des outils automatisés pour tester un grand nombre de combinaisons jusqu’à trouver la bonne.

Autre possibilité : l’exploitation d’une faille dans le logiciel du gestionnaire de mots de passe ou un piège via une page de phishing, comme expliqué ci-après.

2. Phishing et publicités frauduleuses

Des cybercriminels ont déjà diffusé des annonces malveillantes sur Google Search pour attirer les victimes vers de faux sites conçus pour récupérer leur adresse e-mail, leur mot de passe maître et leur clé secrète (le cas échéant).

Le danger ? Ces annonces paraissent légitimes et peuvent apparaître en tête des résultats lorsque vous recherchez votre gestionnaire de mots de passe. Les pages de phishing auxquelles elles renvoient imitent parfaitement les sites officiels.

Par exemple, un domaine peut s’appeler « the1password[.]com » ou « app1password[.]com » au lieu de « 1password.com ». Ou « appbitwarden[.]com » au lieu de « bitwarden.com ».

Si vous cliquez sur ce type de lien, vous arriverez sur une page de connexion très convaincante, conçue pour voler vos identifiants de gestionnaire de mots de passe.

3. Logiciels malveillants voleurs de mots de passe

Les cybercriminels ne manquent pas d’imagination. Face aux gains potentiels, certains ont développé des malwares capables de voler les identifiants stockés dans les gestionnaires de mots de passe.

Des chercheurs ESET ont récemment identifié une tentative de ce type menée par une campagne nord-coréenne baptisée « DeceptiveDevelopment ». Le malware « InvisibleFerret » intégrait une porte dérobée permettant d’exfiltrer des données provenant d’extensions de navigateur et de gestionnaires de mots de passe via Telegram et FTP. Parmi les gestionnaires ciblés figuraient 1Password et Dashlane.

Dans ce cas précis, le malware était dissimulé dans des fichiers téléchargés par la victime dans le cadre d’un faux processus d’entretien d’embauche. Mais rien n’empêche qu’un code malveillant similaire soit diffusé par e-mail, SMS ou via les réseaux sociaux.

4. Piratage d’un fournisseur de gestionnaire de mots de passe

Les éditeurs de gestionnaires de mots de passe savent qu’ils constituent des cibles de choix pour les cybercriminels. Ils investissent donc énormément de temps et de ressources pour sécuriser leurs systèmes.

Mais une seule erreur peut suffire. En 2022, ce scénario catastrophe s’est produit chez LastPass. Des pirates ont compromis l’ordinateur portable d’un ingénieur pour accéder à l’environnement de développement de l’entreprise. Ils ont dérobé du code source et des documents techniques contenant des identifiants, ce qui leur a permis d’accéder à des sauvegardes de données clients.

Cela comprenait des informations personnelles et des données de comptes pouvant servir à des attaques de phishing ultérieures, la liste des URL des sites enregistrés dans les coffres, ainsi que les noms d’utilisateur et mots de passe des clients.

Bien que ces derniers soient chiffrés, les pirates ont pu les casser par force brute. Cette attaque aurait conduit à un vol massif de cryptomonnaies estimé à 150 millions de dollars. Elle rappelle que même les fournisseurs les mieux protégés peuvent être victimes d’une violation.

5. Fausses applications de gestionnaire de mots de passe

Les cybercriminels exploitent parfois la popularité des gestionnaires de mots de passe pour diffuser de fausses applications destinées à voler des identifiants ou à propager des malwares.

Même l’App Store d’Apple, pourtant réputé sécurisé, a laissé passer l’une de ces applications malveillantes l’an dernier.

Ces menaces visent généralement à récupérer le mot de passe maître ou à installer un logiciel espion sur l’appareil de l’utilisateur.

6. Exploitation de vulnérabilités

Un gestionnaire de mots de passe reste avant tout un logiciel. Et tout logiciel, développé (en grande partie) par des humains, peut contenir des failles.

Si un cybercriminel découvre et exploite l’une de ces vulnérabilités, il pourrait extraire des identifiants de votre coffre-fort numérique.

Il peut aussi cibler des failles dans les extensions de navigateur ou dans le système d’exploitation de vos appareils pour voler des identifiants, voire des codes d’authentification à deux facteurs (2FA). Plus vous utilisez votre gestionnaire sur différents appareils, plus les opportunités d’attaque sont nombreuses.

Comment sécuriser l’utilisation de votre gestionnaire de mots de passe

Pour vous protéger contre les menaces mentionnées ci-dessus, gardez en tête les conseils suivants :

• Choisissez une phrase secrète maître longue, unique et sécurisée. Par exemple, quatre mots faciles à retenir séparés par des tirets. Cela rendra les attaques par force brute plus difficiles.
• Activez systématiquement l’authentification à deux facteurs (2FA). Ainsi, même si un pirate obtient votre mot de passe, il ne pourra pas accéder à votre compte sans le second facteur.
• Maintenez à jour vos navigateurs, gestionnaires de mots de passe et systèmes d’exploitation afin de bénéficier des versions les plus sécurisées.
• Téléchargez uniquement des applications depuis des boutiques officielles (Google Play, App Store) et vérifiez le développeur ainsi que les avis pour éviter les applications frauduleuses.
• Optez pour un gestionnaire de mots de passe proposé par un éditeur reconnu et digne de confiance.
• Installez un logiciel de sécurité fiable sur tous vos appareils afin de limiter le risque d’attaques visant à voler directement vos identifiants.

Les gestionnaires de mots de passe restent un élément essentiel des bonnes pratiques en cybersécurité. Mais à condition d’adopter des précautions supplémentaires. Les menaces évoluent en permanence : restez informé des tendances numériques actuelles pour garder vos identifiants en ligne bien protégés.