Gestion des mots de passe

🌘 Pourquoi avoir de bons mots de passe ?

Il ne suffit plus d'avoir un mot de passe pour être sécuritaire, il en faut aussi de bons. Je t'explique pourquoi au travers des différentes techniques utilisées par les pirates pour les découvrir.

🌘 Les techniques de découverte de mots de passe

Il ne suffit plus d'avoir un mot de passe pour être sécuritaire, il en faut aussi de bons. Je t'explique pourquoi au travers des différentes techniques utilisées par les pirates pour les découvrir.

Un bon mot de passe est à l'épreuve de ces techniques. Tu vas voir, c'est assez simple, au final !

🌘 Les bases de données du Dark Web

Le Dark web est l'endroit préféré des pirates (et aussi des activistes politiques). Les vols de données et les fuites des entreprises s'y retrouvent souvent. Les dépôts de données sont des endroits difficiles à rechercher, étant donné qu'il est conçu par et pour les groupes criminels afin de se cacher de la police.

Heureusement, il y a des services comme Have I Been Pwned pour recenser les fuites de données.

Have I Been Pwned (https://haveibeenpwned.com/) est un site web que tu peux consulter pour vérifier si tes données personnelles ont été compromises à la suite d’une fuite de données.

On utilise notre adresse courriel pour obtenir la liste des sites. Si tu as plusieurs adresses, tu dois les rechercher une par une.

🌘 Résultat positif

Tu n'as rien à faire !

🌘 Résultat négatif

Assure-toi de changer tous les mots de passe sur ces sites si tu ne l'as pas déjà fait ! En complétant le premier territoire, tu pourras profiter du générateur de mots de passe de ton gestionnaire de mots de passe pour t'assurer qu'ils soient uniques !

🌘 Les dictionnaires de mots de passe fréquents

Sur le web, on peut trouver des dictionnaires des mots de passe les plus fréquents. Ce sont les premiers que les pirates vont essayer, bien avant de tomber dans les algorithmes complexes !

Je te partage quelques sources utilisées pour valider les mots de passe les plus fréquents :

• Richelieu, pour les 10000 mots de passe les plus populaires en France: https://github.com/tarraschk/richelieu
• NCSC, pour les 100000 mots de passe les plus fréquents sur Have I been Pwned : https://www.ncsc.gov.uk/blog-post/passwords-passwords-everywhere
• NordPass : les 200 mots de passe les plus utilisés au Québec: https://nordpass.com/fr/most-common-passwords-list/
• W0lfd3n's Quebec Word List: https://github.com/w0lf-d3n/Quebec_Wordlist

Ce que tu dois retenir, c'est qu'en aucun cas, ton mot de passe ne doit figurer dans ces listes ! Le meilleur moyen pour ça, c'est de générer des mots de passe aléatoires. Dans la prochaine leçon, je vais te présenter comment faire avec un bon gestionnaire de mots de passe.

🌘 Les tables arc-en-ciel (Rainbow Tables)

Une table arc-en-ciel est une structure de données qui permet de retrouver un mot de passe depuis son empreinte, aussi appelée fonction de hachage. Ces tables sont des paires mot de passe / empreinte qui peuvent servir à déduire les mots de passe utilisés sur des systèmes peu sécurisés. Avec cette technique, un mot de passe de 13 caractères peut être retrouvé en 3 minutes.

🌘 Le salage des mots de passe

Pour contrer ce type d'attaque, les mots de passe ne sont plus simplement enregistrés avec leur empreinte, mais on leur ajoute aussi un sel, soit un nombre aléatoire, avant de procéder au calcul de la fonction de hachage. Comme le sel n'est pas connu par l'attaquant, ça empêche d'utiliser les tables arc-en-ciel.

Ce qu'on doit retenir ici, c'est que si on utilise un service plus ancien ou dont on doute de la sécurité, il vaut mieux utiliser un mot de passe le plus long possible.

Idéalement, il faut aussi s'assurer que les services en ligne que l'on utilise appliquent bien la technique du salage de mot de passe. Mais, c'est pas toujours facile à vérifier. En cas de doute, c'est mieux de considérer que ce n'est pas le cas.

🌘 L'attaque par force brute

L'attaque par force brute, c'est une technique où on va essayer tous les mots de passe possibles, un par un, en commençant par les dictionnaires, puis en testant toutes les possibilités en ordre croissant de grandeur. Aujourd'hui, la plupart des systèmes peuvent se protéger contre ce genre d'attaques, par exemple en limitent le nombre d'essai durant une période donnée. Ici encore, le meilleur moyen de résister à cette attaque, c'est d'utiliser un mot de passe le plus long possible, et qui est idéalement aléatoire.

🌘 En résumé

Un bon mot de passe est résistant aux attaques. Il a deux caractéristiques: il est long et aléatoire. Le meilleur moyen de construire des mots de passes longs et aléatoires, et de pouvoir s'en souvenir, c'est d'utiliser des gestionnaires de mots de passe. Nous allons voir ça dans les prochaines leçons.

🌘 Les gestionnaires de mots de passe

Le gestionnaire de mots de passe est un outil essentiel qui va te permettre de garder tous tes mots de passe au même endroit.

🌘 Pourquoi utiliser un gestionnaire de mots de passe ?

Le gestionnaire de mots de passe est un outil essentiel qui va te permettre de garder tous tes mots de passe au même endroit. C'est aussi un bon moyen d'avoir des mots de passe sécuritaires et tous différents les uns des autres. En effet, le gestionnaire de mots de passe permet aussi de générer des mots de passe que tu n'auras qu'à copier sans avoir à les retenir.

Je te conseille d'avoir un mot de passe différent pour chacun des services. La raison est simple : si ton mot de passe se retrouve dans une fuite de données et que tu l'utilises ailleurs, alors les pirates vont aussi pouvoir accéder aux autres services où tu l'as utilisé.

En utilisant des mots de passe différents partout, tu n'as plus à te soucier de ça si ton mot de passe est dévoilé.

Pour visiter tous les autres territoires, tu dois avoir un gestionnaire de mots de passe. C'est un peu ton sac à dos pour y mettre tout ce dont tu as besoin !

🌘 Types de gestionnaires de mots de passe

Il y a quatre types de gestionnaires de mots de passe :

• Les gestionnaires intégrés au navigateur
• Les gestionnaires basés sur un fichier chiffré
• Les gestionnaires basés sur l'infonuagique selon un mode client-serveur
• Le trousseau Apple

🌘 Les gestionnaires intégrés au navigateur

Tous les navigateurs modernes (Chrome, Brave, Firefox, Safari) ont un gestionnaire de mots de passe intégré.

Je te conseille fortement de ne pas l'utiliser, même s'il semble simple et convivial. Voici pourquoi :

• Premièrement, il n'est pas synchronisé automatiquement entre tes appareils, sauf si tu actives la synchronisation. Dans ce cas, une copie de tes mots de passe est hébergée chez le fournisseur du navigateur et n'est pas nécessairement sécurisée.
• Deuxièmement, il a été démontré par des pirates éthiques que les mots de passe peuvent être accédés par certains sites web malicieux, car ils ne sont pas bien sécurisés sur ton ordinateur.
• Troisièmement, il n'y a pas de sauvegarde sécuritaire de ces mots de passe au niveau de ton ordinateur, et ils peuvent aussi être facilement accédés par un autre utilisateur (conjoint, enfants, collègues…, )

🌘 Les gestionnaires basés sur un fichier chiffré

Les gestionnaires basés sur un fichier chiffré sont très sécuritaires parce qu'ils n'utilisent pas de connexion internet. Ils peuvent fonctionner entièrement depuis ton ordinateur. Tout est enregistré dans un fichier qui peut être transporté facilement. Ils sont surtout pratiques dans un contexte d'entreprise où chaque employé.e a un ordinateur fourni par l'entreprise.

Ils peuvent être synchronisés entre plusieurs ordinateurs à l'aide d'une partage de fichier tel que Dropbox, Google Drive ou Nextcloud. Leur principal désavantage est qu'il faut utiliser plusieurs logiciels différents pour chaque appareil, et ils ne sont pas nécessairement facile à configurer sur mobile.

Le principal logiciel de ce type est Keepass Password Safe: https://keepass.info.

C'est un logiciel libre. Il a été développé initialement sur Windows. Sur la page de téléchargement, tu vas pouvoir trouver de nombreux logiciels compatibles pour différentes plateformes.

Par contre, pour la suite de la formation, ce n'est pas celui-ci que je vais te montrer, parce qu'il est plutôt complexe à utiliser sur mobile. Mais, je voulais que tu saches que ça existe !

🌘 Les gestionnaires basés sur un service infonuagique

Les gestionnaires de mots de passe basés sur un service infonuagique sont souvent composés de deux éléments : un client et un serveur. Le client est l'interface que tu utilises et qui permet d'entrer les mots de passe et aussi de les extraire.

Il a généralement la forme d'un carnet de contacts, mais au lieu des contacts, ce sont des identifiants rattachés à un site web ou un logiciel. L'avantage de ces gestionnaires est qu'ils sont accessibles de partout, que tu n'as pas à gérer un fichier de base de données et qu'ils sont faciles à utiliser sur toutes les plateformes (Windows, Mac, Linux, Android et iOS).

Le désavantage est qu'ils peuvent être des cibles intéressantes pour les cyberattaques. Il faudra donc aussi bien le protéger ! C'est ce qu'on va voir en utilisant Bitwarden.

🌘 Quelques recommendations

Je te partage ici quelques services qui ont une bonne réputation si tu ne veux pas utiliser Bitwarden. Si tu en as déjà mis un en place dans cette liste, tu peux le garder. J'ai vérifié qu'ils n'ont aucun antécédent de fuite connu. Je vais mettre cette liste à jour lorsque de nouvelles informations sont publiées.

• NordPass: https://nordpass.com/
• Dashlane: https://www.dashlane.com/
• 1Password: https://1password.com/fr/

Services à éviter :

• LastPass (2 brèches de sécurité majeures en 2022), si tu utilises LastPass, je t'explique comment quitter dans la prochaine leçon.

🌘 Le trousseau Apple

L'écosystème Apple fournir un gestionnaire de mots de passe qui est relié au compte Apple. C'est pratique si tu ne travailles que dans cet écosystème, parce qu'il est synchronisé sur tous tes appareils.

Par contre, ce n'est pas possible d'y accéder depuis Windows ou Linux. C'est donc un choix qui peut avoir certains inconvénients, surtout si on doit changer d'appareil de façon soudaine.

🌘 Recenser tes mots de passe

Je vais te partager une méthode que j'ai développée au fil des dernières années pour faire la gestion de tes mots de passe et autres identifiants.

Je vais couvrir l'utilisation de mots de passe dans le navigateur, mais cette approche s'applique aussi aux mots de passe pour tes logiciels, les réseaux wifi que tu utilises, et même ton cadenas pour le vestiaire du gym, ...

Bref, tout ce qui est secret !

Pour commencer, on va recenser partout où tu as des mots de passe en ce moment.
Je vais te montrer comment recenser tous tes mots de passe. Tu en as partout !

🌘 Créer un répertoire de travail

Pour les fins de l'exercice, je te conseille de faire un répertoire sur ton ordinateur pour y mettre les différents fichiers contenant des mots de passe.

Assure-toi que ce dossier ne soit pas synchronisé avec un outil de fichiers dans le nuage tel que OneDrive, iCloud ou Dropbox.

Tu ne veux pas propager un fichier avec tes mots de passe en clair sur le web sous aucune circonstance !

• Sur MacOS, un bon endroit serait /Users/<ton nom d'utilisateur>/motsdepasse. C'est le dossier parent d'où tu travailles habituellement.
• Sur Windows, un bon endroit pourrait être à la racine du disque, par exemple C:/motsdepasse
• Dans mon cas, sur Linux, mon répertoire est ~/Documents/motsdepasse/.

🌘 Dans ton navigateur

Si tu n'utilises pas déjà un gestionnaire de mots de passe dédié, c'est probable que tu utilises celui qui est intégré avec ton navigateur web. On va commencer par exporter le contenu de celui-ci. Je vais faire l'exemple avec Brave et avec Firefox.

🌘 Brave

Pour aller au gestionnaire de mots de passe de Brave, tu peux utiliser l'adresse suivante: brave://settings/passwords (il faut la copier-coller)

ou encore aller dans le menu

Paramètres > Saisie automatique > Gestionnaire de mots de passe.

Initialement, ton gestionnaire de mots de passe va ressembler à ceci. Avant de le configurer pour avoir le comportement optimal, on va faire une sauvegarde de tes mots de passe.

Au territoire de la Montagne des Clones, je vais te montrer comment faire une sauvegarde chiffrée en utilisant un fichier zip.

C'est ce qu'on va faire ici, en version simplifiée.

• Clique sur les trois petits points à droite du bouton ajouter
• Clique sur Exporter les mots de passe
• Clique à nouveau sur le bouton Exporter les mots de passe

Enregistre le fichier dans le répertoire que tu t'es créé au début de la leçon

Maintenant, va dans le répertoire et compresse le fichier sous la forme d'une archive zip avec un mot de passe. Pour rappel, tu as les instructions dans le premier module de la formation.

Dans ton utilitaire de compression, assure-toi de choisir le format zip, puis active la section pour le mot de passe et choisis-en un ! Ce mot de passe va aussi normalement être saisi dans ton gestionnaire de mots de passe. Mais comme on ne l'a pas encore installé, alors tu peux l'inscrire dans un fichier texte adjacent à ton fichier zip !

Comme nous manipulons des fichiers temporaires sur ton ordinateur local, le risque est limité ! C'est pour ça que ce répertoire ne doit pas être synchronisé dans un partage infonuagique !

🌘 Firefox

Les mots de passe sont enregistrés sous Vie privée et sécurité, dans la section Identifiants et mots de passe, puis dans Identifiants enregistrés.

Vie privée et sécurité > Identifiants et mots de passe > Identifiants enregistrés

Dans la page des identifiants, clique sur les trois points à droite du bouton Se connecter pour synchroniser.

Puis sur Exporter les identifiants.

Clique sur Exporter

Enregistre le fichier dans le répertoire que tu t'es créé au début de la leçon

Nous allons aussi compresser ce fichier en archive zip avec un mot de passe

Une fois compressé, tu peux supprimer le fichier original.

Tu devrais maintenant avoir deux fichiers zip et un fichier contenant ton mot de passe dans un fichier texte.

🌘 Dans le coffre de ton système d'exploitation

Les systèmes d'exploitation ont parfois leur propre coffre à mots de passe, nommé en anglais Password Vault.

C'est le cas sur les systèmes mac OS et certaines distributions Linux. Sur l'interface KDE de Linux, l'outil se nomme le gestionnaire de portefeuille KWallet.

🌘 MacOS

Sur macOS, les mots de passe sont situés dans le trousseau. Tu peux y accéder à partir des paramètres système, puis Mots de passe.

Sur le bouton ..., tu as l'option d'exporter tous les mots de passe. Ça va générer un fichier CSV

🌘 Linux (KWallet)

Dans ce cas-ci, l'exportation se fait au format XML

Le format XML est un fichier texte balisé similaire au code HTML utilisé pour afficher les pages web dans ton navigateur. Assure-toi simplement qu'il ait une extension .xml, et tu pourras l'ouvrir dans Brave.

Les fichiers XML utilisés par les gestionnaires de mots de passe sont hiérarchiques. Ils sont souvent composés de trois niveaux : Le premier définir le contenu général du fichier. Ici, c'est . Le second niveau définit le contenant : ici, c'est le dossier, ou . Le troisième niveau contient les entrées. Ici, is se nomment ou , selon si l'entrée a été chiffrée ou non.

Dans mon cas, ce fichier contient les mots de passe de mes disques durs et de mes clés USB, parce qu'elles sont chiffrées !

🌘 Dans tes courriels

Je suis pas mal certain que certains de tes courriels contiennent des mots de passe, même si ce n'est vraiment pas une pratique que je recommande !

Je t'invite à aller dans ton logiciel de courriel et à chercher de passe et password. Si tu en trouves, retranscris-les dans un fichier texte et sauvegarde-le dans ton répertoire de travail.

Lorsque terminé, produit une archive zip avec un mot de passe comme je t'ai montré juste avant, avec l'ensemble des fichiers que tu as accumulés.

🌘 LastPass

Le 23 décembre 2022, plusieurs sources fiables ont confirmé que LastPass ont été piratés et que les voûtes de mots de passe chiffrées ont été volées. Dans l'immédiat, tes identifiants ne sont pas à risque puisqu'ils doivent découvrir ton mot de passe pour les déchiffrer. Cependant, la protection par double authentification n'est plus utile et ils ont tout le temps voulu pour le faire. Étant donné le mauvais historique de LastPass en cybersécurité, tu veux probablement aller ailleurs !

Voici comment exporter tes données de LastPass au format CSV.

Depuis le menu de gauche, va dans la section Paramètres avancés, puis clique sur Exporter. Tu vas pouvoir télécharger un fichier au format CSV. Met ce fichier au même endroit que les autres, puis zippe le avec un mot de passe, et supprime le fichier original.

À la fin de cette section du cercle de protection, je t'explique comment désactiver ton compte LastPass.

🌘 Dans Google Passwords

Google a aussi son propre gestionnaire de mots de passe. Tu peux y accéder depuis l'adresse: https://passwords.google.com/

C'est possible que tu ne te souviennes pas de t'en être utilisé, puisqu'il est intégré à Android. Mais, ça vaut la peine d'aller voir quels comptes y sont enregistrés. Google a toujours des surprises pour nous !

Voici comment exporter tes mots de passe

Clique sur l'engrenage en haut à droite

Clique sur Exporter

Enregistre le fichier CSV sur ton ordinateur. Tu peux aussi à cette étape en faire une archive zip avec mot de passe et supprimer l'original.

Enfin, pourquoi ne pas en profiter pour désactiver cet autre gestionnaire de mots de passe pour ne plus avoir à y revenir dans le futur !

🌘 Dans un carnet papier

Tu as peut-être un carnet papier ou un feuillet de post-it avec des mots de passe écrits dessus. Je t'invite ici, si tu as un appareil photo (pas ton téléphone, par pitié) ou un numériseur, à les prendre en photo et à déposer celles-ci dans ton répertoire de travail.

Sinon, tu peux retranscrire tout ce que tu trouves dans un fichier texte. Peu importe ton choix, n'oublie pas de créer une archive zip avec un mot de passe et de supprimer les fichiers originaux à la fin.

Normalement, si tout va bien, tu as rapatrié tous tes mots de passe de façon sécurisée dans un répertoire de travail.

Si tu as déjà mis en place une stratégie de sauvegarde, je t'invite maintenant à inclure ce fichier à celle-ci en le copiant sur ton disque externe chiffré ou dans ton répertoire Cryptomator !

Sinon, on va y revenir ! En attendant, tu peux zipper ton répertoire avec un mot de passe et le copier dans ton nuage de fichiers préféré.

🌘 Création d'un compte BitWarden

Nous allons travailler avec le gestionnaire de mots de passe Bitwarden. La raison pour laquelle je l'ai choisi, c'est parce que c'est un logiciel libre. De plus, il est disponible sur toutes les plateformes et traduit en français. Il offre beaucoup de fonctionnalités et il est facile d'utilisation.

Si tu utilises un autre gestionnaire de mots de passe en mode client-serveur tel que LastPass ou 1Password, et que tu souhaites continuer avec celui-ci, tu peux passer à la prochaine leçon. Les exemples sont avec BitWarden, mais tu pourras les adapter à celui que tu utilises déjà.

🌘 Création du compte en ligne

Visite le site de Bitwarden: https://bitwarden.com

(Note: Bitwarden offre maintenant le site européen https://bitwarden.eu)

Clique sur Get Started. Entre ton adresse courriel principale et choisis un mot de passe que tu pourras te rappeler avec certitude. Ce mot de passe-là, c'est le plus important, celui que tu devras retenir à l'avenir.

🌘 Le mot de passe le plus important !

Ce mot de passe, c'est le seul que je vais aussi te conseiller d'écrire à quelques endroits dans ta maison (livres, fond de tiroir), dans ton coffre-fort et possiblement dans ton testament et mandat en cas d'inaptitude (oui, il faut aussi penser à ça, nos données vont nous survivre !).

Comme indice, met quelque chose de pas très évident pour un robot, mais facile pour toi ! Ne met pas d'indice sur l'endroit où tu as pu écrire le mot de passe ! Ça pourrait permettre à quelqu'un d'autre de le retrouver !

🌘 Créer ton compte

Tu peux ensuite créer ton compte et te connecter.

Tu vas maintenant arriver dans l'interface principale de Bitwarden

🌘 Confirmer l'adresse courriel

La première chose à faire est de vérifier ton adresse courriel. Clique sur le bouton Envoyer l'email.

Va maintenant dans ta boîte de courriels, trouve le courriel provenant de l'adresse no-reply@bitwarden.com et clique sur le bouton Verify Email Address Now.

Tu as confirmé ton compte, nous allons pouvoir le personnaliser.

Nous allons créer des répertoires dans notre gestionnaire de mots de passe pour nous organiser.

Tu peux utiliser les différentes fonctions de ton entreprise (comptabilité, service client, marketing ...) pour créer des répertoires pour tes mots de passe. C'est ce que je vais te montrer tout de suite.

🌘 Créer notre structure de répertoires

Je vais te proposer ici une structure de répertoire simple qui va aussi correspondre à la structure d'organisation des données que l'on va utiliser tout au long de la formation.

Nous allons utiliser la partie horizontale de ta carte d'entreprise, c'est-à-dire les services.

Bitwarden n'a qu'un seul niveau de profondeur pour les mots de passe, on va donc composer les noms de répertoires avec des tirets. Si tu utilises un autre gestionnaire qui permet une hiérarchie de répertoires, je te conseille d'en profiter.

🌘 Répertoires par service

Crée ces répertoires par service. Ces répertoires ne sont habituellement pas partagés avec personne. Ils contiennent les identifiants pour tes logiciels.

• Entreprise - Administration: Identifiants pour accéder au contenu partagé au conseil d'administration
• Entreprise - Communications : Logiciels de communication, tels que courriels, réseaux sociaux, clavardage, forums en ligne
• Entreprise - Comptabilité : Logiciels de comptabilité et de gestion de paiements
• Entreprise - Gestion de projets : Logiciels de gestion de projet et d'organisation
• Entreprise - Production : Logiciels de bureautique, de manipulation de données, ...
• Entreprise - Technologie : Ordinateurs, machines virtuelles, serveurs et appareils mobiles
• Entreprise - Secrétariat : Sites gouvernementaux, procès verbaux de CA
• Entreprise - Ressources humaines: Plans de développement, contrats de travail, offres d'emploi, guides de l'employé, ...

Nous allons ensuite créer les répertoires partagés

🌘 Création des répertoires partagés

Pour chacun de tes clients importants (mandats de co-création) et fournisseurs (en délégation ou sous-traitance), crée un répertoire si tu partages des accès avec eux sur des services en ligne.

Dans les fournisseurs, c'est ici que tu peux créer un dossier chacun pour ta délégation à un·e adjoint·e virtuel·le, gestionnaire de médias sociaux, comptable ...

Note qu'ici, pour faire plus d'un partage, tu auras besoin du forfait Entreprise.

• Client(e) - Nom du ou de la client(e) : Identifiants partagés avec le ou la client·e
• ...
• Fournisseurs - Nom du fournisseur : Identifiants partagés avec un fournisseur
• ...
• Employé(e) - Nom de l'employé(e) : Identifiants et documents partagés avec un employé·e
• ...

La meilleure pratique est de limiter les partages au minimum. C'est toujours mieux que chaque personne ait ses propres comptes et que personne d'autre y ait accès.

Mais, il y a des exceptions, par exemple, le réseau social Instagram ne permet pas d'avoir plusieurs comptes pour publier sur un même profil. Tu voudrais aussi possiblement utiliser Bitwarden pour y mettre certains documents confidentiels dont tu pourrais avoir besoin d'accéder rapidement, tels que des contrats ou des dossiers de ressources humaines (numéros en cas d'urgence, par exemple).

C'est aussi vrai dès que tu partages des accès avec des employés. Si chacun des employés ont leurs propres accès, ce que je te recommande fortement, c'est qu'ils ouvrent leur propre compte Bitwarden.

🌘 Autres répertoires

Enfin, on termine par quelques autres dossiers pratiques, à mi-chemin entre le personnel et le professionnel:

• Autres - Association et dons: Tous les comptes que tu créées pour les associations dont tu es membre, et pour faire des dons et commandites
• Autres - Cadenas et serrures: Pour tout ce que tu as de codes pour des objets physiques: cadenas, codes de portes, code de coffre-fort, ...
• Autres - Cartes de membre: Si tu as des cartes de membre d'associations, tu peux aussi les mettre ici. Ça demeure des identifiants personnels, on l'oublie souvent !
• Autres - Numéros de série et licences: Pour tous les objets physiques qui ont un numéro de série, ainsi que tous les codes de licence de logiciels
• Autres - Personnel: Identifiants personnels qui ne sont pas liés directement à ton entreprise, mais que tu peux utiliser dans le contexte de celle-ci (par exemple: assurances).

Ça en fait beaucoup, mais au moins, Bitwarden va les classer automatiquement en ordre alphabétique. Lorsque tu vas avoir des centaines d'identifiants, tu vas te remercier d'avoir pensé à ce classement !

On va maintenant voir comment importer tes mots de passe depuis tes autres gestionnaires.

🌘 Importer les mots de passe depuis un fichier CSV

Nous allons maintenant importer les mots de passe que nous avons exportés depuis notre navigateur et autres endroits précédemment. Comme tu les avais compressés dans une étape précédente, nous allons maintenant ouvrir les archives.

Tu peux le faire directement depuis ton répertoire de travail en double-cliquant sur le fichier, puis en entrant ton mot de passe.

Sans avoir à extraire le fichier, si tu double-cliques ensuite dessus depuis l'archive, il va s'ouvrir dans un éditeur de texte.

Si ton gestionnaire d'archives ne le fais pas, c'est pas la fin du monde si tu extrais le fichier et l'ouvre. N'oublie simplement pas de le supprimer par la suite.

Tu peux copier-coller le contenu du fichier dans la case.

Depuis l'interface principale de Bitwarden, va dans la section

Outils > Importer des données

Dans le menu déroulant, sélectionne ensuite le navigateur depuis lequel tu as exporté tes identifiants. Si tu utilises Brave, choisis Chrome (csv). Si c'est LastPass, choisis LastPass (csv). Ensuite, clique sur Importer des données.

Tu vas remarquer que Bitwarden permet d'importer des données depuis beaucoup de sources et de gestionnaires de mots de passe différents.

C'est un des avantages d'utiliser un logiciel libre, il y a une très grande interopérabilité avec les autres logiciels parce qu'il n'y a aucun incitatif à limiter le mouvement de données.

Les identifiants importés vont se trouver dans Aucun dossier. C'est à toi de les classer un par un ou en lot en utilisant les cases à cocher.

Je vais te montrer comment faire à la page suivante.

🌘 Déplacer les éléments dans les répertoires

Voici comment déplacer les éléments du coffre dans des répertoires spécifiques :

1. Coche tous les éléments que tu veux déplacer dans un répertoire
2. Clique sur l'engrenage
3. Clique sur Déplacer les éléments sélectionnés

Ensuite, clique sur l'engrenage et choisir le répertoire de destination

Répète jusqu'à ce que le répertoire Aucun dossier soit vide. N'hésite pas à créer des répertoires supplémentaires si tu en as besoin !

🌘 Installation dans le navigateur Brave

L'extension client de Bitwarden pour le navigateur est un moyen pratique et rapide de pouvoir accéder à tous ses mots de passe rapidement et sécuritairement, sans jamais avoir à les retranscrire.

Maintenant que nous avons entré tous nos identifiants sur le site de Bitwarden, nous allons vouloir une façon plus pratique de les utiliser. C'est le rôle des applications et extensions, que nous nommerons ici Client.

Tu peux obtenir l'extension pour ton navigateur depuis cette page: https://bitwarden.com/download/.

Chaque lien va t'amener à la page de téléchargement pour ton navigateur. Tu peux ensuite l'installer comme toute autre extension. Sur Chrome et Brave, pour la garder à portée de main, tu peux l'épingler:

L'interface de l'application est presque identique à celle du site web que nous avons utilisé précédemment, mais en plus compact.

Commence par te connecter, puis tu pourras configurer quelques paramètres. Je te conseille de l'épingler hors du navigateur en utilisant le bouton en haut à gauche.

Dans les prochaines pages, on va configurer les paramètres de l'extension.

🌘 Configuration des délais dans l'extension

Nous allons ici configurer les délais de déverrouillage de l'extension et du presse-papiers.

Allons dans la section Paramètres

Ici, tu peux configurer le délai d'expiration du coffre. Je te conseille de mettre une durée en heures. C'est un bon compromis entre devoir déverrouiller à chaque fois et le laisser ouvert indéfiniment. De plus, ça te force à entrer ton mot de passe de temps en temps, comme ça, difficile de l'oublier.

🌘 Évite de garder des mots de passe dans le presse-papiers du système

Plus bas, tu vas avoir un menu nommé Options. Ouvre-le. À cet endroit, tu peux configurer la rétention des mots de passe dans le presse-papiers.

Je te conseille de laisser les données le moins longtemps possible à cet endroit qui est accessible par beaucoup de logiciels.

Le presse-papiers du système est un endroit qui garde en mémoire tout ce qu'on a copié, pour pouvoir le réutiliser rapidement plus tard. Nous allons le voir plus en détail lorsque nous allons visiter la Société des Organisés.

C'est un endroit où les mots de passe sont stockés en clair, il faut donc éviter le plus possible que des mots de passe y soient copiés. Mais, dans certaines situations, on ne peut pas l'éviter. Certains sites refusent les identifiants saisis automatiquement. C'est pourquoi il faut penser à le vider le plus rapidement possible.

Chez moi, j'utilise l'interface KDE sur Linux, et par défaut, le presse-papier garde tout, même si je configure l'application. Je dois donc de temps en temps effacer le presse-papiers manuellement.

🌘 Attention à la saisie automatique

La façon la plus intuitive pour utiliser le client BitWarden, c'est de cliquer sur l'icône qui apparaît dans la barre d'extensions, puis de choisir les identifiants que l'on veut saisir. Dans plusieurs cas, ça fonctionne bien, lorsque les champs pour l'utilisateur et le mot de passe sont clairement identifiés.

Mais, lorsqu'il y a plusieurs champs, c'est possible que les identifiants soient saisis au mauvais endroit, et comme on a souvent le réflexe de cliquer sur le bouton de connexion, alors les données sont envoyées au site web immédiatement.

Si, par malheur, on a saisi notre mot de passe dans le champ de l'utilisateur, il va maintenant apparaître en clair dans les données de journalisation du site web. C'est un des risques de la fonction de remplissage automatique.

🌘 Comment désactiver la saisie automatique

Pour désactiver la saisie automatique, va dans les paramètres de Bitwarden. Saisie automatique est la première option du menu. Assure-toi que la case est désactivée.

C'est tout ce que je te conseille de configurer pour l'instant.

Dans le Monde des Sceptiques, on va configurer l'identification à deux facteurs.

Mais, pour ça, on doit prendre plusieurs précautions, sinon c'est dangereux si tu perds l'appareil sur lequel tu vas t'authentifier.

On y reviendra !

À la prochaine page, je vais te montrer comment bien utiliser l'extension sans passer par le presse-papier.

🌘 Comment bien faire pour entrer ses identifiants

Pour éviter d'entrer ses identifiants dans le presse-papier, on peut cliquer sur le bouton droite dans la case à remplir, puis choisir l'identifiant depuis le menu de Bitwarden.

1. Clique avec le bouton droit dans le champ à remplir
2. Choisis le sous-menu Bitwarden
3. Clique sur Remplissage automatique
4. Choisis les bons identifiants
5. Magie !

🌘 Installation du client Bitwarden de bureau et mobile

🌘 Windows et macOS

Sur Windows et macOS, tu peux installer le client pour le bureau de la même façon depuis le site https://bitwarden.com/download/.

Le fonctionnement est identique à celui de l'extension pour le navigateur. Sur macOS, tu peux aussi installer depuis Homebrew avec la commande brew install bitwarden dans ton terminal.

Si tu n'utilises pas homebrew ni le terminal sur macOS, va falloir se jaser 🤓.

L'application ressemble à ceci:

🌘 Sur Linux

Sur Linux, je t'invite à passer autant que possible par le gestionnaire de paquets de ta distribution, parce qu'il va se charger de faire les mises à jour automatiquement. Je te déconseille vraiment l'utilisation des images AppImage. J'ai eu de mauvaises expériences avec celles-ci, elles sont parfois instables et se verrouillent par erreur.

🌘 Installation du client mobile

Encore la même chose ici, depuis le site https://bitwarden.com/download/, tu as accès aux versions pour Android et iOS. Elles sont aussi disponibles sur Google Play ou sur le App Store.

Sur Android, on peut aussi activer l'application comme fournisseur d'autocomplétion. Dans l'onglet Paramètres, Clique sur Services de remplissage automatique.

Assure-toi que les trois options sont activées. C'est possible qu'en les activant, ça te demande des permissions additionnelles. Ça dépend de la version d'Android que tu utilises.

🌘 Particularités pour iOS

Ces options sont aussi disponibles sur iOS sous une forme similaire, appelée auto-complétion avec touche clavier.

Voir ce lien dans la documentation de BitWarden pour iOS: https://bitwarden.com/help/auto-fill-ios/

Regarde les instructions dans la section Keyboard auto-fill. C'est le moyen le plus pratique pour activer cette fonctionnalité. Comme Bitwarden est une application sécurisée sur iOS, on ne peut pas prendre facilement des captures d'écran de cette configuration.

🌘 Synchronisation de Bitwarden

Par défaut, toutes les applications client vont se synchroniser à l'ouverture.

Si tu changes un mot de passe ou ajoute des identifiants sur un appareil alors que l'application est aussi ouverte ailleurs, tu peux synchroniser manuellement.

Tu peux le faire depuis l'onglet Paramètres :

🌘 Partage de mots de passe avec une Organisation

Tu as peut-être des partages de fichiers ou de comptes avec certaines de tes fournisseurs ou encore clients. Une pratique courante, et peu sécuritaire, c'est de leur envoyer les mots de passe par courriel. Avec BitWarden, si tu prends le forfait Équipes, tu peux créer des partages de mots de passe avec d'autres personnes, dans une structure nommée Organisation. Dans le forfait gratuit, tu peux créer une Organisation avec une autre personne. Si tu as un·e adjoint·e virtuel·le, ça peut être ce dont tu as besoin.

Pour créer une organisation, tu dois aller sur le site web de Bitwarden, puis, cliquer sur Nouvelle organisation, à gauche. Tu ne peux pas le faire dans l'extension ni dans les applications de bureau ou mobile.

On suppose ici qu'on veut créer une organisation pour le partage des identifiants pour les réseaux sociaux avec une agence de gestion de réseaux sociaux.

🌘 L'organisation est un nouveau coffre

L'organisation est un nouveau coffre, dans lequel on peut créer des collections, qui sont similaires aux dossiers.

Si on retourne dans notre coffre personnel, on peut maintenant aller dans un dossier. Sélectionner tous les objets du coffre que tu veux mettre dans une organisation.

Choisis Déplacer la sélection vers l'organisation, un peu comme tu avais fait pour les répertoires.

Le contenu va maintenant apparaître dans l'organisation.

À la prochaine page, je vais te montrer comment ajouter une personne à l'organisation. Cette personne n'a pas besoin d'avoir déjà un compte Bitwarden.

🌘 Ajouter une personne à une organisation

Depuis le menu Organisation, clique sur Gérer, puis Personnes.

Depuis cette fenêtre, tu peux inviter un autre utilisateur dans l'organisation. Les utilisateurs ont accès à une collection en particulier dans l'organisation, ou à toute l'organisation.

Il y a aussi plusieurs rôles qui peuvent être attitrés. Mais, la plupart du temps, tu voudras attribuer le rôle Utilisateur.

C'est pas plus compliqué que ça, la gestion des mots de passe ! Mais, il fallait prendre le temps de bien le faire.

N'oublie jamais ton schéma de parties prenantes pour structurer tes organisations et tes identifiants dans ton gestionnaire de mots de passe !

🌘 Créer une nouvelle entrée dans Bitwarden

Lorsque tu crées un compte sur un nouveau site web qui n'est pas encore dans Bitwarden, la bonne pratique est de générer un mot de passe avec le générateur inclus dans le logiciel avant d'enregistrer ton compte.

• Premièrement, vérifie si le site demande l'insertion de caractères spéciaux.
  • Si c'est le cas, active la case correspondante.
• Ensuite, clique quelques fois que le bouton régénérer pour avoir un mot de passe "frais".
• Enfin, clique sur le bouton copier, puis colle-le dans la case sur le site web.

Je t'incite aussi tout de suite à créer une nouvelle entrée dans le gestionnaire, sans même attendre qu'il te le propose.

• Clique sur le bouton Ajouter un élément (+),
• Colle tout de suite le mot de passe.
• Écris ton nom d'utilisateur pour le site, change le nom de l'entrée au besoin,
• Choisis un dossier pour y mettre cette entrée.
• Enfin, clique sur Enregistrer.

Tu peux ensuite poursuivre la création de ton compte sans t'inquiéter que le mot de passe se perde au travers des copier-coller.

🌘 Changer tous les mots de passe qui sont ressortis dans une fuite

Au début de cette leçon, je t'ai présenté l'outil Have I Been Pwned

https://haveibeenpwned.com/

C'est maintenant le temps d'y retourner et d'utiliser ton nouveau gestionnaire de mots de passe pour faire le changement de tous les comptes qui ressortent dans cet outil.

Profites-en aussi pour créer des alias courriels pour ces comptes. En gros, un alias courriel reprend ton adresse courriel, par exemple moi@mondomaine.com et lui ajoute une étiquette qui va être ignorée par l'envoi du courriel, mais que toi, tu vas pouvoir utiliser pour savoir qui a envoyé le courriel. Disons que tu créer un alias pour le site Amazon

Le courriel avec alias ressemble à moi+amazon@mondomaine.com

Si tu reçois un courriel à cette adresse qui ne semble pas provenir d'Amazon, tu pourras automatiquement considérer qu'il est frauduleux ou qu'Amazon ont eu une fuite de données (ou ont vendu tes données à une autre entreprise). Beaucoup d'entreprises sur le web revendent nos données, il faut s'en méfier !

Nous allons revenir plus tard sur les alias courriels si tu ne te sens pas à l'aise de commencer tout de suite.

Mais change tes mots de passe, c'est important !

Pour mieux prioriser ton travail, je t'invite à consulter cet article de blog: Liste de priorité pour changer ses mots de passe

🌘 Faire le ménage de ses anciens gestionnaires de mots de passe

Les navigateurs sont de mauvaises solutions pour entreposer nos mots de passe. Souvent, les voûtes qui s'y trouvent ne sont pas chiffrées. C'est la première place que les pirates regardent lorsqu'ils réusssissent à accéder à un ordinateur. Bien souvent, ça se fait au travers de nos logiciels ou de libraires de code Python ou JavaScript, avec des outils appelés infostealers.

Voici comment supprimer les mots de passe de tes navigateurs, une fois que tu les as transférés dans ton gestionnaire de mot de passe.

🌘 Brave

• Va à la page du gestionnaire de mots de passe

brave://settings/passwords (copie le lien dans un nouvel onglet de ton navigateur)

• Puis, désactive les deux options et supprime tous les mots de passe un par un.

Le résultat devrait ressembler à ceci:

🌘 Firefox

• Va à la page about:logins (copie le lien dans un nouvel onglet de ton navigateur),

• Pour chaque élément qui apparaît à gauche, clique sur Supprimer

🌘 LastPass

Voici comment quitter LastPass, une fois que tu as sauvegardé tes mots de passe et les a importés dans un autre gestionnaire tel que Bitwarden, comme tu as vu précédemment :

• Visite cette page : LastPass - Delete Account

Tu vas ensuite pouvoir supprimer ton compte.

Ensuite, pour supprimer l'extension de ton navigateur, voici les instructions :

(Source : LastPass, une fois le compte supprimé, ce texte s'affiche)

🌘 Sur Windows

Voici comment désinstaller les extensions de navigateur LastPass :

• Passez à Démarrer → Programmes → LastPass → Uninstall LastPass

🌘 Sur Mac

Pour supprimer LastPass de Safari:

• Clique sur ce lien sous Safari: https://lastpass.com/dl.

• Clique sur le fichier 'Uninstaller' après le téléchargement et l'extraction de l'archive

🌘 Firefox

Voici comment retirer LastPass de Firefox :

• Outils > Modules complémentaires > Extensions > LastPass > Supprimer

🌘 Brave

• Va sur ce lien : brave://extensions/ (tu dois copier-coller le lien).
• Puis, clique sur Supprimer sous l'extension LastPass : Free Password Manager.

🌘 Conclusion

Tu as maintenant toutes les informations sous la main pour sécuriser tes mots de passe et adopter de bonnes pratiques !