Bonjour à tous,
 
Je me creuse la tête pour essayer de sécuriser au mieux mes comptes et je me rends compte que j'ai besoin d'aide pour comprendre certaines choses.
 
J'ai trouvé quelques "vieux" sujets dans cette section du forum mais c'est pas suffisant.
 
Ma situation : j'aimerais un gestionnaire gratuit que je puisse utiliser sur android, windows (mon pc fixe) et sur mon pc du boulot ou je ne peux installer de logiciel tiers (mais pas de prob pour les extensions de navigateur). J'utilise Brave au quotidien et j'ai il y a quelques jours changé tous mes Mdp en utilisant le gestionnaire de Mdp de Google. J'étais dans l'optique de coupler mon compte Google à une Yubikey mais en m'intéressant au sujet je tombe sur quelques posts ou certains disent que le gestionnaire de Google ne sécurise pas correctement l'envoi des PW (en gros ils ne seraient pas chiffrés ?!).
 
1 ère question : est-ce (toujours) vrai que Google ne chiffre pas l'envoi des Mdp ? ca serait quand même fou car la question du choix de gestionnaire de mdp serait vite répondue non ?
 
2 ème : j'ai un gestionnaire de Mdp sur Brave et il reprends exactement les Mdp du gestionnaire de Google .. j'ai pas fait gaffe au processus pour remplir les champs des mdp automatiquement mais je crois comprendre que je n'ai pas le choix que d'enregistrer mes mdp dans le gestionnaire de Brave car Brave ne permet pas de connecter son compte Google directement (il marche avec des chaines de synchro). Du coup je duplique la base de Google vers Brave, ce qui me fait 2 gestionnaire de Mdp .. pas ouf niveau opti/sécurité non ?
 
3 ème : je pensais résoudre donc ce type de problème avec Keepass, mais j'ai peur de la complexité .. et donc Bitwarden avait l'air d'être bien adopté par la communauté et offre apparemment un bon niveau de prestation en gratuit. Sauf que je vois partout dans les différents comparatifs du moment que Nordpass en gratuit c'est top (avec bien sûr des liens d'affiliation de partout) j'ai bien compris pourquoi il est numéro 1 mais peut-etre que je passe à coté de quelque chose de réélement bien, des retours ?
 
4 ème : question bonus, est-ce que le gestionnaire de Brave est suffisamment costaud pour remplir ce role ? ca serait peut-etre le plus simple ? je choisis des mdp au hasard, les sauvergardes sur le gestionnaire intégré de Brave .. manquerait peut-etre quand même la possibilité d'une authentification 2FA/Yubikey pour vraiment protéger la section mdp de Brave .. et faudrait s'assurer que la synchro entre les différents appareils soit bien sécurisée, mais je pense oui.
 
 
Voilà beaucoup de questions, merci.

Bitwarden

si tu est paranoïaque tu pourra installer le serveur sur une machine qui t est personnel (voir même un NAS si le tiens le permet)

merci pour ta réponse, oui j'ai vu que c'était possible mais je ne vais me m'embeter à pousser jusque là.
 
J'ai commencé à utiliser Bitwarden d'ailleurs, j'ai l'impression que ca peut convenir en mode gratuit.
 
Mes questions restent ouvertes néanmoins

1- tu parles de https://passwords.google.com/ ?
Qu'entends tu par "ne chiffre pas l'envoi des mdp" ?

2- 2 gestionnaires de mots de passe = 2x plus de risques (de désynchro entre les 2, de failles de sécurité, etc...)
En plus les gestionnaires inclus dans les navigateurs sont traditionnellement moins bons et historiquement plus attaqués.

3- Privilégie toujours un outil fait pour.
NordVPN vend des VPN (et les données des utilisateurs ...), alors que Keepass ou Bitwarder sont des outils dédiés aux mots de passe et sont très régulièrement audités/vérifiés.
NordVPN est "premier" (selon qui ?) parce qu'il a une politique commerciale aggressive (basée largement sur des arguments de pratiques illégales ...) et qu'il propose de nombreux services annexes comme NordPass à ses clients existants.

4- voir mon point 2.
Rien ne vaut un outil spécialisé.
Keepass et Bitwarden sont les meilleurs pour le stockage en local (donc tu maitrise totalement leur stockage).
Les autres (LastPass, Dashlane, 1Password, ...) sont bien foutus mais tu as toujours le risque de fuite ou d'espionnage comme ce sont des services en ligne que tu n'héberges pas toi même.

D'ailleurs dans tout ça, il ne faut pas mélanger qui héberge tes mots de passe (local vs online) et la manière d'y accéder (mdp maître complexe, clé de sécurité type yubico, 2FA, biométrie, ...)
La meilleure sécurité d'accès à ton coffre fort n'empêchera pas une fuite des données directement depuis chez le fournisseur online tiers.
C'est ce qui s'est passé avec les dernières fuites de données de LastPass (hacké 2x rien qu'en 2022 !!).

Perso j'héberge ma propre instance de Bitwarden, avec un abonnement Premium pour gérer les codes TOTP.
Les données sont stockées chez moi (+ un backup chiffré dans le cloud), mais restent accessibles de partout.

merci d'avoir pris le temps
 
pour le chiffrement des PW de Google je me base sur d'anciens souvenirs et surtout du post que tu peux trouver ici et qui personne n'a relevé comme fausse information ou périmée : https://forum.hardware.fr/hfr/Windo [...] 2492_1.htm  
 
 
Extrait : Je cherche un gestionnaire de mots de passes parce que... sécurité.
Je suis en train de regarder ce qu'il y a de disponible, mais j'hésite. Bon, déjà j'ai compris pourquoi celui de google est moins bien que les autres, le chiffrement.
 
Pour le reste j'ai tout capté et effectivement ce que tu dis c'est ce qu'il ressort des articles sérieux que j'ai pu lire. J'avoue avoir la flemme de créer mon propre hébergement, j'ai pourtant un Raspberry Pi 3 Model B+ qui traine et dont je ne sais que faire .. et dans sa configuration j'aurai également peur qu'au niveau sécurité j'ouvre l'accès sans le savoir à mon réseau local ou une bétise dans le genre. En faites je n'ai pas trop le temps de m'y plonger alors la facilité c'est du online, et si je peux coupler ca avec une yubikey je pense que ca sera déjà bien et j'espere mieux que le gestionnaire de PW de Google.
 
En faites si je reste online, le gestionnaire de PW de Google couplé à une yubikey c'est pas mal alors ? (j'anticipe une réponse favorable sur le chiffrement ^^)

allez, pour rester dans le sujet :  
 
 
LASTPASS ANNONCE QUE DES HACKERS ONT DÉROBÉ LES SAUVEGARDES DE MOTS DE PASSE DE SES UTILISATEURS
https://www.bfmtv.com/tech/cybersec [...] r=CS9-144-[twitter]-[bfmbusiness]

Comme je disais, il y a 2 aspects à ta question :
- qui héberge, et comment ?
- comment tu y accèdes ?

Pour le premier point (la solution d'hébergement) il n'y a pas de solutions miracles si on parle des services en ligne : tout est une question de confiance (c'est ce que je disais dans l'autre topic que tu cites).
Il faut avoir suffisamment confiance au tiers à qui tu vas confier tes données sensibles.
Confiance dans le fait qu'ils hébergent et stockent les données de leurs utilisateurs correctement (risque de perte/corruption des données)
Confiance dans le fait qu'ils sécurisent correctement ces données (risque de fuite ou d'accès non désirés)
Confiance dans le fait que ce tiers combine les 2 points précédents pour qu'eux-même n'ai pas accès aux données de leurs clients.
Sachant que de toute façon tu ne pourras jamais en être sûr à 100% car ils ne vont certainement pas rendre public comment ça fonctionne en interne ...

Pour le deuxième point (l'accès à ton coffre-fort), tout dépend de ce qu'il est possible de faire suivant l'hébergeur :
Un simple PIN sera moins sécurisé qu'un mot de passe, qui sera moins sécurisé qu'une phrase de passe, qui sera moins sécurisé qu'une clé physique, qui sera moins sécurisé que la biométrie, qui sera moins sécurisé que l'addition de plusieurs de ces facteurs, ...
Un bon accès sécurisé couple au moins un de chacun de ces types :
- ce que je sais (PIN, mot de passe, ...)
- ce que je possède (clé de sécurité type Yubico, application sur smartphone, code SMS, ...)
- ce que je suis (biométrie)
Par exemple, le site de ta banque qui te demande un mot de passe (ce que tu sais), puis un code de sécurité donné par une application sur ton smartphone (ce que tu possèdes) déverrouillée avec ton empreinte digitale (ce que tu es).

PAR CONTRE, l'un ne va pas sans l'autre.
Tu peux utiliser le meilleur service de coffre fort de confiance mais si tu y accèdes avec le mot de passe "1234", ça ne sert à rien.
A l'inverse, si tu utilises ta clé Yubico pour accéder à ton coffre fort mais que tu l'héberge chez un tiers qui n'a pas fait ce qu'il faut et qui laisse fuiter tes données, ça ne sert à rien non plus.

Donc pour répondre à ta question, il n'y a pas de réponse absolue
C'est une question de confiance (LastPass était de confiance jusqu'à relativement récemment, Google est connu pour avoir un modèle business basé sur l'utilisation des données/habitudes de ses utilisateurs et leur revente, etc....) et de faire les choses correctement.
Donc tant que tu choisis une solution dans laquelle tu as confiance et que tu sécurises correctement tes accès, alors c'est une "bonne" solution.

Héberger soi-même son propre coffre-fort de mot de passe est un bon moyen de se rendre compte de tout ça (gestion du stockage, gestion du cycle de vie, mise à disposition locale ou en ligne, sécurisation des données et des accès, sauvegardes et sécurisation des sauvegardes, ...).
Au moins tu n'as besoin de faire confiance à personne d'autre que toi même.
Mais c'est plus complexe que de juste utiliser un service tiers gérant tout ça pour toi, ..... tant que tu as confiance.

merci beaucoup, tu me mets la pression car ca donne envie d'heberger ma solution .. mais bon, manque de temps et pour le moment, et c'est con à dire, je fais + confiance au niveau de la sécurité à Google qu'à moi .. trop peur de louper quelque chose d'important.
 
et donc pour Google et cette histoire de chiffrement des PW ? je ne comprends pas .. quand j'utilise le service de remplissage automatique les transmissions ne sont pas correctement cryptées ? ca me parait gros .. et j'ai pas reussi à trouver un article qui confirme ca.

Google, comme toute solution de gestion de mots de passe qui se respecte, chiffre le stockage des mots de passe et ne permet qu'un accès chiffré à ceux-ci (via TLS).
Par contre, il ne communiquent pas sur le type de chiffrement utilisé.
 
On ne peut que leur faire confiance de faire ça "correctement", comme pour toute solution tierce.
Théoriquement (bonnes pratiques), il utilisent un chiffrement asymétrique dont la clé de chiffrement est unique par client/utilisateur et lié directement à son mot de passe maitre.  
Normalement dans ces conditions Google n'a pas la clé de déchiffrement, seul l'utilisateur final la possède.
 
Après, à partir du moment où le mot de passe est "sorti" du coffre fort et copié dans le champ correspondant, il est "en clair". Et ce n'est plus le problème du coffre fort.
Donc si la page de login n'est pas correctement sécurisée (HTTP), le mot de passe sera visible de tous sur le réseau...
Et je ne parle pas des risques d'interception dans le presse-papier....

oups, je pensais que ma réponse était postée..
 
Bref, très clair !
 
Donc de toute facon il faut absolument s'assurer que la page est en HTTPS. C'est sur que le problème du presse papier est quelque chose qu'il faut prendre en compte, ou les keylogger.  
 
Merci encore