Les mots ont un sensPlanquer ses mots de passe comme un pro (tuto pour les nuls, ou pas)
Parlons informatique. Si tu as déjà un gestionnaire de mots de passe : bien joué 👍, tu peux passer ton chemin tranquillou. Sinon… bah, on va régler ça vite fait. Mieux vaut tard que jamais.
Lire aussi : « Génération Z, boomers : mêmes mots de passe claqués (voire pire) »
Commençons par le commencement : pourquoi un gestionnaire de mots de passe (GMdP) ?
GMdP : n’utilise jamais cet acronyme, personne ne saura de quoi il s’agit, je viens de l’inventer. Un GMdP permet d’utiliser des mots de passe longs, uniques et impossibles à retenir ou à deviner… sans avoir à les mémoriser. Un seul mot de passe « maître » suffit. Ce GMdP protège ta vie numérique en évitant qu’un seul piratage à deux balles donne accès à tous tes comptes, sur ta machine, comme sur ton téléphone. Et si on te pique ton fichier GMdP ? Pas de souci, sauf si c’est la NSA qui t’attaque mais bon… tu ne serais pas en train de lire ce texte. On continue ?
Objectif : te mettre sur les rails des bonnes pratiques d’un habitant du 21e siècle.
Sur ordinateur : KeePassXC ↗ (mon choix perso, garanti 0 placement de produit, promis-juré sur la tête de mon mot de passe maître !)
Commençons par le commencement : ton ordi. On va faire ça sans cloud imposé ni compte en ligne. Un outil local, open source, fiable. Sans gens qui veulent se faire de la thune sur ton dos. Dispo pour Windows, Linux et macOS. Trouve mieux si tu vpeux (nouveau mot inventé, « vpouvoir » : contraction de vouloir / pouvoir, on n’arrête plus le progrès).
Tu le télécharges depuis le site officiel (keepassxc.org ↗), tu l’installes comme n’importe quel programme et tu le lances. Rien de compliqué jusque-là (sinon, demande à tes proches – ça leur prendra 5 minutes – ou « si tu n’as pas de proches », comme dirait l’autre cap’ ↗ ↗ , à internet ↗, ou à moi, t’inquiète, je ne suis pas aussi bourrin que « l’autre »). Sinon, voir la vidéo sous ce texte.
Le maître mot : password
Ensuite, tu crées une nouvelle base de données (le fichier qui contiendra tes mots de passe). Ton coffre-fort. Tu lui donnes un nom, et là arrive le moment le plus important du processus : choisir ton « mot de passe maître ». C’est lui qui protège tout le reste. S’il est faible, tout est faible. S’il est solide, tout est solide. S’il est moyen… bref, tu as capté le concept. Le bon réflexe, c’est de prendre une phrase longue, un peu absurde, facile à retenir mais difficile à deviner. Par exemple : « TaMèreEnTongues@LaBourboule!1970 » ou encore mieux « LMOUS!LeMeilleurSite#21eSiècle ». C’est mille fois mieux que n’importe quel mot de passe court et imbitable. Une fois validé, KeePassXC crée un fichier avec une extension un peu bizarre : .kdbx (à mettre où tu veux, dans /Documents par exemple). C’est ce fichier qui contient tous tes mots de passe. C’est lui qui sera désormais ton précieux !
Ajouter ses mots de passe
Une fois ton coffre créé, tu peux commencer à y ajouter tes comptes : mail, réseaux sociaux, banque, club aqua-poney, etc. Tu entres le nom du machin, ton identifiant, et ton mot de passe. Et surtout, tu peux utiliser le générateur intégré pour créer des mots de passe bien costauds. Plus besoin de réfléchir, ni de recycler les mêmes partout. Petit à petit, tu remplis ton GMdP. Et ta sécurité fait un gros bond sans trop d’efforts. Le mieux sera bien sûr au fur et à mesure de tous les mettre à jour. Et tu supprimes de tes fichiers Word ou Excel (après avoir tout bien testé) ! Il y a aussi une fonctionnalité de pré-remplissage sécurisé de formulaires en ligne.
Et sur mobile ?
KeePassXC n’existe pas sur smartphone mais il existe des applications compatibles, à télécharger sur les stores. Sur Android : KeePassDX ↗. Sur iPhone, Strongbox ↗ ou KeePassium ↗ font le boulot (paraît-il, j’ai jamais testé). Ces applis savent lire le fichier magique .kdbx. Donc tu n’as pas deux systèmes à gérer, juste un seul coffre partagé.
Comment synchroniser cette grosse daube idée de génie ?
Là, deux approches. La version simple et 100 % hors ligne (donc largement conseillée) consiste à copier ton fichier .kdbx sur ton téléphone, avec un câble ou un transfert direct. Tu ouvres ensuite ce fichier avec l’application mobile, tu entres ton mot de passe maître, et tout est là. Ça demande un petit geste manuel de temps en temps, mais en échange, tes données ne passent par aucun serveur. L’autre option, plus confortable mais moins safe (traduction en bon français : secure), consiste à mettre ce fichier dans un service en ligne comme Dropbox, Google Drive ou Nextcloud. Pourquoi pas. Si ton mot de passe maître est complexe, ton fichier est sécurisé (ah voilà le mot que je cherchais !).
Les trois règles à ne jamais oublier
- D’abord, ton mot de passe maître est sacré. Si tu le perds, tu perds tout. Il n’y a pas de bouton « mot de passe oublié ». Donc n’hésite pas à l’écrire quelque part, on ne sait jamais. Sur un papier dans ton portefeuille, sans aucune explication permettant de savoir de quoi il s’agit. Ou en tatouage façon Prison Break ? Attention, des fois avec le temps, les tatouages peuvent se déformer. La faute aux tatoueurs bien entendu !
- Ensuite, pense à faire une copie de ton fichier .kdbx. Une clé USB, un disque dur… peu importe, mais évite de tout garder en un seul endroit (au cas où ça crame).
- Enfin, profite du système pour utiliser des mots de passe différents partout. C’est justement pour ça qu’il existe.
- Ah oui, j’oubliais la quatrième règle : venir tous les jours sur LMOUS (va y avoir d’autres tutos, notamment sur les navigateurs ouèbe, ou pour apprendre à survivre à l’apocalypse qui vient).
Pourquoi c’est une bonne méthode
Tu reprends le contrôle, mon ami·e. Tes mots de passe ne sont pas stockés dans un fichier en clair, piratable en deux temps trois cliquements. Ils ne dépendent pas non plus d’un service externe, d’un abonnement ou d’une entreprise. Et surtout, en cas de piratage d’un site, aucun dégât, aucun stress. Un mot de passe compromis ne donne accès qu’à un seul service. « Suffit » de le changer, et le reste restera verrouillé.
C’est un petit changement d’habitude, mais un énorme gain de sécurité. Et franchement, une fois en place, tout roule, tu dormiras mieux.
PS : je suis (en partie mais pas que) informaticien, et cet article, je vais l’envoyer à beaucoup de monde (anonymement). J’en peux juste plus de voir des gens (y compris des devs informatiques) gérer leurs mots de passe critiques dans un pauvre fichier .txt (ou dans des e-mails). Je déconne pas. Donc si j’ai pris le temps de rédiger cet article, c’est pas pour aguicher le chaland, c’est juste, au final, pour aider et gagner du temps. Et partager.
PS 2 : n’oublie pas de faire les mises à jour quand on te le demande.
PS 3 : désolé de t’avoir tutoyé·e si tu y es réfractaire.
PS x : à ma connaissance, pas de KeePass sur PlayStation.
PS y : no comment
LMOUS tutos : passe le mot !
Voir quelques copies d’écran sur keepassxc.org.
Tuto rapide
Tuto un peu plus long
Quelques conseils
Un peu de détente
Cet article est publié sous licence Creative Commons CC BY‑ND 4.0. Détails ici.
Auteur : Napakatbra / LMOUS.
Article sous licence Creative Commons CC BY‑ND 4.0.