LastPass : un gestionnaire de mots de passe gratuit et complet
Sommaire
I. Présentation
La gestion de ses mots de passe sans un outil adapté peut vite s'avérer difficile et vous allez souvent utiliser le bouton "mot de passe oublié", à moins d'avoir une mémoire d'éléphant, ou alors d'utiliser le même mot de passe partout, ce qui n'est pas du tout recommandé. Doit-on utiliser un mot de passe par site ? Peut-être pas, même si c'est l'idéal, mais il vaut mieux les diversifier au maximum. En cas de fuite de données, vous limiterez ainsi l'impact sur vos accès personnels.
Le gestionnaire de mots de passe se présente comme un outil indispensable de nos jours, où l'on s'inscrit sur une multitude de sites et services, et que le nombre d'inscription augmentent constamment... Il y a alors plusieurs solutions dont LastPass, mais aussi : KeePass qui est un logiciel libre ou Dashlane qui est une solution Cloud.
LastPass est un gestionnaire de mots de passe freemium, propriété de la société LogMeIn depuis 2015 et un rachat de plus de 110 millions de dollars. Je vais vous le présenter dans cet article.
Je trouve le slogan commercial de LastPass très bien trouvé et surtout réel : "Ne mémorisez que votre mot de passe maître. LastPass mémorise le reste."
II. LastPass et la sécurité
Le gestionnaire LastPass s'appuie sur du chiffrement AES 256 bits avec SHA-256 PBKDF2 pour votre coffre-fort. Ensuite, les données sont chiffrées et déchiffrées directement au niveau de l'appareil, où se situe la clé de chiffrement unique en local. Autrement dit, LastPass n'est pas en mesure de déchiffrer votre coffre-fort, celui-ci reste totalement secret. LastPass n'a pas connaissance de votre mot de passe maître.
LastPass est une solution sûre et réputée, mais pas infaillible. En fait, il ne me semble pas y avoir de système sans failles... Il y avait eu en 2015 un souci de sécurité et suite à ce piratage l'éditeur avait invité ses clients à changer leur mot de passe maître.
Plus d'infos sur l'aspect sécurité : LastPass et le chiffrement
III. Multi-OS, multi-appareils
L'outil est accessible depuis votre PC/Mac comme un site web classique. Pour l'intégrer à votre système de façon plus intéressante et exploiter son potentiel, je vous recommande d'utiliser les extensions LastPass pour navigateur. Cela permettra de consulter votre coffre-fort directement depuis le navigateur (après saisie du mot de passe maître) et aussi de faire en sorte que LastPass vous connecte automatiquement sur les sites pour lesquels vous avez des identifiants enregistrés.
Lorsque votre coffre-fort est déverrouillé, vous pouvez y accéder directement depuis votre navigateur sans accéder au site LastPass, ce qui est plutôt pratique. Surtout, cela permettra à LastPass de vous authentifier sur les sites grâce aux identifiants enregistrés.
Par ailleurs, LastPass dispose d'une application officielle pour les smartphones et tablettes, que ce soit sous Android, iOS et même Windows Phone. Sur mobile, l'outil est capable d'effectuer la saisie automatique de vos identifiants directement au sein des applications, et il est capable aussi de capturer les nouveaux identifiants que vous saisissez et qui ne sont pas dans votre coffre-fort. Enfin, pour le confort d'utilisation, il est possible de déverrouiller son coffre-fort grâce à son empreinte digitale, plutôt que de ressaisir le mot de passe maître.
Pour en savoir plus sur les intégrations possibles : LastPass Integrations
IV. Le mot de passe maître
Ce coffre-fort doit être sécurisé par un mot de passe maître, c'est ce mot de passe qui fait office de clé de déverrouillage et qui vous ouvre l'accès au contenu de votre coffre-fort LastPass. Donc, logiquement, à tout vos identifiants car vous allez centraliser vos identifiants dans cet outil qui est là pour ça.
Compte-tenu de l'importance de cette phrase secrète, il doit être ultra blindé alors n'hésitez pas à miser sur la longueur et à mixer les types de caractères 🙂 - Mais attention, s'il y a bien un mot de passe à retenir, c'est celui-ci !
Il est à noter qu'en complément du mot de passe maître, vous pouvez utiliser l'authentification à deux facteurs pour l'accès à votre coffre-fort. Ceci est possible grâce à l'application mobile LastPass Authenticator : lorsque vous cherchez à vous authentifier, vous devrez en complément autoriser la connexion depuis cette appli mobile d'un simple appuie sur l'écran. Par ailleurs, d'autres applications de ce type sont compatibles comme Google Authenticator, Microsoft Authenticator, voire même les tokens matériels Yubico ou RSA SecurID.
V. Stocker ses identifiants, mais pas seulement !
Au delà du fait de stocker vos identifiants (utilisateur / mot de passe), LastPass peut stocker :
- Des notes : que ce soit votre adresse, les informations de votre permis, sur votre assurance, votre carte bancaire, etc... L'outil vous propose des modèles de notes adaptés en fonction des informations que vous souhaitez mémoriser.
- Des profils pour les formulaires : rassemblez un ensemble d'informations au sein d'un profil pour faciliter vos achats en ligne. En fait, associez votre identité à une adresse postale et à une carte de crédit, pour que ces informations soient automatiquement saisies lors d'un achat en ligne, en fonction du profil sélectionné.
Le coffre-fort LastPass peut aller bien au-delà du stockage pur et simple d'identifiants, vous pourrez y stocker des informations personnelles et confidentielles.
VI. Générateur de mots de passe intégré
Afin de vous faciliter la tâche lorsque vous effectuez une inscription sur un nouveau site, LastPass peut générer un mot de passe à votre place, selon différents critères. Ce mot de passe, si vous l'utilisez, sera ensuite stockez dans votre coffre-fort pour le site en question ce qui est très pratique.
VII. LastPass : version gratuite VS version payante
LastPass est utilisable gratuitement sans limitation dans le temps, le bridage s'effectue au niveau des fonctionnalités directement. Concrètement, quel est le tarif de la version payante et qu'est-ce que ça apporte en plus ?
Au niveau du tarif, comptez 2$ / mois (1,76€), avec la TVA par dessus, ça nous donne un tarif annuel de 28,80$. Vous pouvez aussi ouvrir un compte famille pour regrouper 6 comptes pour 3,52€ / mois. Pour voir tous les tarifs, notamment les offres entreprises : LastPass Pricing
Pour les particuliers, souscrivez à l'offre payante et vous pourrez profiter de cet outil pour l'authentification au sein des applications sur Windows, d'un espace de stockage chiffré de 1 Go pour stocker vos documents confidentiels, le partage de vos identifiants avec plusieurs personnes et des possibilités supplémentaires pour le MFA. Une assistance technique prioritaire est également incluse. Retrouvez tous les détails sur la page pricing mentionnée précédemment.
Pour les entreprises, il y a des fonctionnalités supplémentaires et adaptées à l'utilisation en environnement professionnel : intégration avec l'Active Directory, authentification unique (SSO) via SAML, gestion des groupes pour donner des droits, création de règles de sécurité, etc.
VIII. Conclusion
Pour terminer cet article, je ne peux pas faire une autre recommandation que celle d'utiliser un gestionnaire de mots de passe pour gérer vos identifiants. Que ce soit LastPass ou un autre (vérifiez le niveau de sécurité avant de choisir une solution). Ce type de solution va vous permettre à la fois de générer des mots de passe solides et de les stocker de façon sécurisée afin de ne pas avoir à la mémoriser, il devient alors plus facile de les diversifier d'un site à un autre. J'ai beaucoup apprécié LastPass puisqu'il est facile à utiliser et présente l'avantage d'être multi-plateformes et d'être très bien intégrés aux différents systèmes et navigateurs.
En complément, le gestionnaire de mots de passe est généralement capable de vous faciliter l'authentification sur les différents sites et services auxquels vous souhaitez vous authentifier. Finalement, ça simplifie toute la chaîne d'utilisation : du stockage des identifiants lors de la création du compte, à la phase de connexion.
Oubliez les post-it, les fichiers textes, les feuilles de papiers, etc... Choisissez une solution digne de ce nom ! 🙂
Selon le baromètre CNIL/Médiamétrie 2018 : "3 internautes sur 10 centralisent leurs mots de passe sur papier et près d’1/4 utilisent toujours le même mot de passe. L’utilisation d’un gestionnaire de mots de passe et le recours à un fichier en ligne concernent une minorité des internautes."
Je compte sur vous pour changer la donne en 2019 ! 🙂
L’un des meilleurs, c’est ce qu’on utilise en entreprise et ca marche vraiment bien.
Avant on utilisait le couple keepass+pleasant server, bien cool aussi surtout si on souhaite l’auto-héberger.
Par contre coté perso j’utilise Bitwarden, qui fait très bien le boulot sur mes différents appareils, est open source et idem gratuit/payant (10$/an) et peut etre auto-hebergé si vous avez envie. Parfait.
Pareil, j’ai fait le choix de Bitwarden pour le privé comme pour le professionnel. Pour ce dernier, l’option, certes payante, du partage de mot de passe est géniale.
Bonjour,
Au boulot, nous utilisons un fichier Excel avec mot de passe. Ca m’a toujours défrisé…. :-/ J’ai pensé mettre en place un solution plutôt orientée serveur Web pour que ça soit plus facile d’accès et surtout que le fichier de mots de passe ne soit pas copiable en local, mais j’ai un peu laissé tombé faute de solutions. JE vais creuser la solution des serveurs de mot de passe. Je suis preneur d’autres solutions.
Bonjour Eric,
Je rejoins votre avis sur le fichier Excel… Une autre personne mentionne dans son commentaire « Pleasant Server », qui s’héberge en local sur son propre serveur, peut-être que ça pourrait vous intéresser ?
Bonne journée
Florian
Bonjour,
Savez-vous s’il existe un Gestionnaire de Mot de Passe dans l’environnement Office 365 ?
Merci.
J’ai des comptes sur plus de 600 sites différents. chaque mot de passe est différents (10 caractères) je ne les mémorise pas mais à chaque site je ne me trompe jamais. Pas besoin de vos logiciels qui polluent vos PCs et qui comportent quand même des risques : PC volé ou détruit, mot de passe principal vue par un tier, backdoor dans logiciel, incompatibilité avec l’os qui évolue, etc.
Une indication : diviser votre mot de passe en plusieurs parties. Une partie fixe qui est toujours la même et l’autre ou les autres, variable(s) mais dépendant du site (choisir une solution simple pour le retrouver au 1er coup d’oeil du site (Nom, URL, etc.).
A vous de mettre en place votre système.
Simple, efficace, et jamais en panne.
Ca fait 15 ans que j’utilise ma méthode, n’ayant que la partie fixe a retenir (complexe bien sur) je n’ai jamais été coincé par un mot de passe oublié.
En espérant avoir été utile.