J’ai interrogé Microsoft Copilot sur certains aspects de la sécurité de gestionnaires de mots de passe de bonne réputation à l’aide de la fonction plus approfondie appelée Think Deeper, qui est gratuite. Je cherchais de l’information au sujet de RoboForm et 1Password.

Vous trouverez en prologue un résumé des méthodes que j’utilise afin d’assurer la sécurité de mes données de mots de passe. Je parlerai aussi de certains aspects précis de CoPilot Think Deeper, des logiciels de stockage en ligne et d’autres bonnes pratiques sécuritaires. En somme, cet article met pratique et théorie à votre portée. Vous noterez que parfois CoPilot et moi nous nous vouvoyons, mais nous nous tutoyons aussi.

Je conçois que tous les lecteurs du présent article ne soient pas tous au même niveau de connaissances informatiques. Cependant, je suis persuadé que tous peuvent assimiler ce savoir en petites bouchées adaptées à leur niveau. Simplement savoir que quelque chose existe est le début de la compréhension. Je pense que vous pourrez découvrir et apprendre beaucoup en poursuivant la lecture de ce texte.

Prologue

Je m’intéresse ici à RoboForm et à 1Password, car je suis abonné à ces deux fournisseurs pour mes appareils. J’y conserve de façon sécuritaire quelques centaines de couples d’identifiants et de mots de passe. Ceci me permet de faire rapidement des connexions en ligne. Ceci vaut autant pour mes nécessités personnelles que pour mes besoins comme gestionnaire bénévole pour de nombreux OBNL où je suis impliqué comme webmestre.

Donc, mes données sont conservées dans mes ordinateurs personnels et dans le nuage. Mes fournisseurs font des sauvegardes automatiques, même sur des données effacées, tout comme le fait la corbeille de Windows. J’assure aussi mes propres sauvegardes locales de multiples façons, notamment sur des clés USB et avec des exports en format CSV.

Pour chaque nouvelle entrée de connexion dans mes gestionnaires de mots de passe, je configure séparément chaque compte en ligne avec ou sans la double authentification selon son degré de pertinence et d’importance. Il est parfois excessif de se voir inonder par des vérifications pour des sites de moindre importance. Personnellement, je trouve parfois Google et Microsoft un peu fatigants, mais bon… !

J’utilise des mots de passe aléatoires complexes de 20 caractères générés par RoboForm et 1Password, sauf lorsqu’une plateforme plus ancienne limite leurs longueurs.

Voici un tableau révélateur tiré du site Web 01net.com illustrant le temps requis pour briser un mot de passe ! Huit caractères, c’est nettement insuffisant. Lorsque possible et pratique, une longueur de 20 caractères constitue une bonne protection.

Pour démarrer localement mes logiciels RoboForm et 1Password, il faut que je me souvienne d’un seul mot de passe maître pour chacun de mes deux logiciels. De plus, je dois conserver une clé spéciale additionnelle pour 1Password en cas de difficulté particulière.

Pour entrer le mot de passe maître, j’utilise la fonction du clavier virtuel juste au cas où un enregistreur de frappe malveillant (keylogger) aurait été installé sans ma connaissance sur mon PC. Des fois, par paresse, j’oublie de faire ceci !

Malgré mes connaissances et mes expériences pratiques, je dois vous avouer que je conserve toujours des appréhensions. Finalement, je dois me fier à la bonne réputation de mes fournisseurs, aux comportements sécuritaires de leurs employés et, aussi, à l’impénétrabilité de leurs systèmes face aux pirates. Mais, j’ai toujours des craintes, si vous pouvez me comprendre.

Questions posées à Copilot

J’aime bien me servir de l’outil pratique Copilot pour obtenir des résumés écrits par l’intelligence artificielle (IA) que je juge bien étoffés et tout à fait pédagogiques. Faire un résumé de mon propre cru est plus long et difficile, car je dois résumer ce qui est déjà écrit dans plusieurs guides et manuels. Copilot devient fréquemment mon compagnon assistant IA en accès gratuit et facile. Je l’utilise sans crainte. Certains gestes posés par les humains sont parfois beaucoup plus dangereux que lui.

Je consulte plusieurs autres IA intéressantes comme ChatGPT, Gemini, Claude, Venice, Midjourney, Perplexity, Bard, Woombo Dream. Stable Diffusion. Il y en a beaucoup d’autres qui sont en développement. Malgré vos craintes, oubliez un retour en arrière ainsi que les lois et les directives de nos politiciens tentant de suivre un courant trop rapide pour eux.

À l’aide de sa fonction Think Deeper, je suis impressionné par la profondeur et la clarté des réponses de Copilot aux cinq questions suivantes.

---

Question 1 : le service et logiciel 1Password a-t-il au moins une importante fonction technique supérieure de sécurité et confidentialité comparativement à RoboForm ?

« Oui, 1Password se distingue techniquement par une approche de sécurité particulièrement robuste qui va au-delà de ce qu’offre RoboForm. En effet, 1Password intègre une clé secrète qui, utilisée en association avec votre mot de passe principal, permet de chiffrer localement vos données (en utilisant l’AES-256, reconnu comme le standard or dans l’industrie). Cette clé, générée et stockée uniquement sur votre appareil, ne quitte jamais ce dernier, garantissant ainsi que même si des données venaient à être interceptées dans le cloud, il serait pratiquement impossible pour quiconque d’y accéder sans posséder également cette clé. Cette méthode renforce considérablement la confidentialité et la sécurité en adoptant un modèle « Zero Knowledge », c’est-à-dire que seul l’utilisateur détient les moyens de déchiffrer ses informations.

À l’inverse, bien que RoboForm utilise également un chiffrement AES-256 pour protéger les données, il ne propose pas ce mécanisme supplémentaire fondé sur une clé secrète. De plus, 1Password propose d’autres fonctionnalités axées sur la protection des données, comme le mode Travel qui permet de cacher temporairement les informations sensibles lors de déplacements, assurant ainsi une protection accrue en cas de risque d’accès non autorisé pendant les voyages.

Cette différence technique essentielle place 1Password en position de solution particulièrement adaptée pour ceux qui recherchent un niveau de sécurité et de confidentialité optimisé pour protéger leurs informations sensibles.

D’autres aspects, comme sa certification SOC 2 Type 2 et ses options de partage sécurisé, viennent compléter son arsenal pour garantir que l’utilisateur garde toujours le contrôle exclusif de ses données. Si vous souhaitez explorer plus en détail ces fonctionnalités techniques ou comparer d’autres aspects des deux logiciels, je peux vous fournir des informations supplémentaires ou des exemples concrets de leur application. »

---

Question 2 : comment fonctionne la clé secrète de 1Password ?

« La clé secrète de 1Password est une chaîne alphanumérique unique générée localement lorsqu’un compte est créé. Concrètement, elle comprend 34 caractères — lettres et chiffres séparés par des tirets — et est associée de manière indissociable à votre compte. Lors de la création du compte, cette clé est générée sur votre appareil et enregistrée dans votre kit d’urgence, de façon à rester uniquement sous votre contrôle. Elle n’est jamais transmise aux serveurs de 1Password, ce qui garantit qu’en cas de compromission de ces derniers, l’attaquant ne disposerait pas de cet élément critique pour décrypter vos données.

Du point de vue technique, la clé secrète joue le rôle d’un ingrédient caché dans le processus de dérivation de la clé de chiffrement qui protège vos données. Votre mot de passe maître, que vous choisissez et que vous mémorisez, apporte une certaine entropie (mais limitée, souvent autour de 40 bits d’entropie). En revanche, la clé secrète, pouvant atteindre 128 bits d’entropie, vient compléter le mot de passe en augmentant considérablement la complexité de la clé finale utilisée pour le chiffrement (généralement via un algorithme comme AES-256). Ainsi, même si quelqu’un parvenait à obtenir votre mot de passe maître, il ne pourrait pas décrypter votre coffre-fort sans posséder également cette clé secrète qui, elle, reste confinée à vos appareils autorisés.

En pratique, vous n’êtes pas amené à saisir la clé secrète à chaque déverrouillage sur vos appareils habituels parce qu’elle est stockée de façon sécurisée et intégrée à l’application 1Password de ces appareils. Cependant, lors de la configuration d’un nouvel appareil ou d’une nouvelle session de connexion, il vous faudra fournir à la fois votre mot de passe maître et la clé secrète pour authentifier et décrypter vos données. Ce mécanisme à double clé permet à 1Password d’offrir une approche « Zero Knowledge » où seuls vous détenez, même indirectement, les moyens d’accéder à vos informations sensibles. »

---

Question 3 : peux-tu donner un exemple d’une situation où la clé secrète est nécessaire ?

« Imaginons que vous veniez d’acheter un nouvel appareil, comme un ordinateur portable ou un smartphone, et que vous souhaitiez installer 1Password pour accéder à vos données sécurisées. Lors de la configuration initiale sur ce nouvel appareil, l’application vous demandera non seulement votre mot de passe maître, mais aussi la clé secrète. C’est cette combinaison qui permet de dériver la clé de chiffrement finale utilisée pour déchiffrer vos informations stockées dans le cloud.

Sans la clé secrète, même si vous connaissez votre mot de passe, l’algorithme de dérivation ne parviendrait pas à reconstituer la clé de chiffrement. Ainsi, en cas de perte ou de remplacement de votre appareil, la clé secrète est essentielle pour garantir que seules les personnes possédant à la fois le mot de passe et cette clé peuvent accéder aux données. Ce mécanisme renforce considérablement la sécurité, car il impose une double barrière d’authentification contre toute tentative d’accès non autorisé. »

---

Question 4 : quelles sont les alternatives aux clés secrètes pour la sécurité des données ?

« Il existe plusieurs approches alternatives pour renforcer la sécurité des données sans compter exclusivement sur l’usage d’une clé secrète dans un modèle de chiffrement symétrique. Voici quelques-unes de ces alternatives :

a. Cryptographie asymétrique

Au lieu de s’appuyer sur une clé partagée, la cryptographie asymétrique utilise une paire de clés : une clé publique et une clé privée. La clé publique peut être diffusée librement pour chiffrer les données, tandis que la clé privée reste confidentielle et permet le déchiffrement. Ce modèle élimine le problème de la distribution sécurisée d’une clé secrète, puisque seul l’utilisateur détient sa clé privée. Il est largement employé dans les protocoles SSL/TLS pour sécuriser les communications internet et dans divers systèmes de messagerie sécurisée.

b. Authentification multi facteurs (MFA)

Bien que la MFA ne remplace pas directement le mécanisme de chiffrement, elle ajoute une couche supplémentaire de protection. En combinant quelque chose que vous connaissez (un mot de passe ou une phrase secrète) avec quelque chose que vous possédez (un token matériel ou une application générant des codes à usage unique) et parfois quelque chose que vous êtes (des données biométriques, comme une empreinte digitale), on réduit considérablement le risque d’accès non autorisé aux données, même dans le cas d’une compromission partielle du système.

c. Modules de sécurité matériels (HSM)

Les HSM sont des dispositifs physiques spécialisés conçus pour générer, stocker et utiliser des clés de chiffrement dans un environnement isolé et résistant aux attaques. L’utilisation d’un HSM signifie que les clés (qu’elles soient symétriques ou asymétriques) ne quittent jamais le matériel sécurisé, limitant ainsi les vecteurs d’attaque qui pourraient compromettre ces secrets.

d. Systèmes de gestion centralisée des secrets

Des solutions comme les « vaults de secrets » (par exemple, HashiCorp Vault) proposent une gestion centralisée et automatisée des clés et autres secrets. Elles permettent de mettre en place des politiques d’accès granulaires, une rotation régulière des clés et des audits détaillés. Cette approche permet de remplacer la gestion locale d’une clé secrète par un système de contrôle renforcé, diminuant le risque d’exposition dû à une mauvaise gestion des clés.

Chaque alternative (a, b, c ou d) propose des avantages spécifiques. Par exemple, la cryptographie asymétrique simplifie la distribution sécurisée des clés, tandis que la MFA et les HSM renforcent la protection en ajoutant des couches d’authentification et en isolant les opérations de chiffrement du reste de l’infrastructure. »

---

Question 5 : la plupart des principaux fournisseurs conservent copie et sauvegarde sur le cloud même quand l’usager conserve ses données localement.

Du côté fournisseur, j’ai crainte de ceci :
1) qu’un dysfonctionnement technique ou administratif chez un fournisseur efface mes données, ce qui, par synchronisation, efface aussi mes données locales ;
2) qu’un employé fasse des dégâts irréparables sur mes données ;
3) que le fournisseur affirme être incapable de faire une chose techniquement tout en mentant !

« Tes préoccupations sont légitimes et de nombreux utilisateurs se posent la même question lorsqu’ils confient leurs données à des services cloud tout en en conservant une copie locale. Pour pallier ces risques, plusieurs stratégies et alternatives peuvent être mises en place :

a. Sauvegardes indépendantes et versionnées

Au lieu de te reposer uniquement sur une synchronisation continue avec le cloud, adopte le principe des « 3-2-1 backups » : trois copies de tes données, sur deux types de supports différents, et une copie stockée hors site (parfois en mode déconnecté). Par exemple, tu peux conserver des sauvegardes sur un disque dur externe ou sur un NAS (Network Attached Storage) qui n’est pas constamment connecté à Internet, tout en activant le versionnage. Cela te permet de restaurer une version antérieure en cas d’effacement accidentel ou de modification malveillante, même si le service cloud synchronise de façon destructive.

b. Sauvegardes hors ligne et synchronisation manuelle

Utiliser des outils qui offrent la possibilité de réaliser des sauvegardes locales hors ligne, tu évites de confier automatiquement toute modification effectuée sur le cloud à ta copie locale. Des applications de sauvegarde permettent de contrôler manuellement le moment et la manière dont les données sont synchronisées. Cette approche limite le risque qu’un dysfonctionnement technique du fournisseur n’entraîne la perte ou la suppression irréversible de données sur tes dispositifs.

c. Chiffrement en bout de chaîne et décentralisation

Avant même que les données ne soient envoyées sur le cloud, tu peux opter pour des solutions permettant de les chiffrer localement avec une clé que toi seul détiens. Ainsi, même en cas d’accès ou d’altération par un employé malveillant du côté du fournisseur, les données restent protégées par ton propre mécanisme de chiffrement. Certains logiciels open source ou autohébergés (comme Nextcloud ou Syncthing) permettent une gestion décentralisée, donnant davantage de contrôle sur la manière dont les données circulent et sont stockées.

d. Audits de sécurité et garanties contractuelles

Pour limiter le risque d’actes malveillants ou de défaillances techniques, il est préférable de choisir des fournisseurs certifiés (par exemple, via des audits SOC 2 ou ISO 27001) qui offrent des garanties sur l’intégrité et la disponibilité des données. Ces certifications incluent souvent des mécanismes de redondance et des politiques strictes concernant l’accès aux données, ce qui réduit les risques liés à une mauvaise gestion ou à des comportements internes délictueux.

e. Approche hybride ou solutions autohébergées

Une autre alternative consiste à combiner l’usage du cloud avec celui de solutions autohébergées :

• Services hybrides : certains logiciels permettent de synchroniser uniquement une partie des données sur le cloud et de conserver une copie principale sur tes propres serveurs ou dispositifs. Tu bénéficies ainsi de la flexibilité du cloud sans abandonner totalement le contrôle local.
• Solutions autohébergées : en installant et gérant toi-même des services de synchronisation ou de sauvegarde, tu élimines la dépendance à un fournisseur tiers. Cela demande davantage d’expertise technique, mais te permet de définir précisément les règles d’accès, les fréquences de sauvegarde et les mesures de sécurité qui te conviennent.

f. Prévention face aux déclarations mensongères

Si tu redoutes qu’un fournisseur masque ses limitations techniques ou t’informe délibérément sur des capacités inexistantes, tu peux :

• Te tourner vers des solutions dont le code source est accessible à la communauté (open source), facilitant ainsi la transparence et les audits indépendants.
• Exiger des rapports de conformité et des audits réguliers pouvant être vérifiés par des tiers indépendants.
• Utiliser des mécanismes de contrôle interne ou surveiller de près les changements apportés aux données (grâce à des journaux d’activité ou des systèmes de versionnage).

En combinant les approches (a, b c, d, e ou f), tu peux réduire considérablement les risques liés à une éventuelle défaillance technique, à des erreurs humaines ou à des pratiques douteuses d’un fournisseur. La clé réside dans la diversification de tes copies de sauvegarde et dans la mise en place de mesures proactives pour détecter et restaurer tes données en cas d’incident. »

---

Épilogue

Ouf ! Reprenez votre souffle ! Relisez le tout plus tard ! Suivez les pistes pour approfondir les parties qui vous intéressent. Sachez que personne ne connaît TOUT. J’ai découvert il y a bien longtemps que plus j’en apprenais, plus je devenais ignorant ! Et plus je vois quelque chose de simple plus je découvre la complexité.

En terminant

Parlant de chose à la fois simple, mais complexe, notre ami Jean-Victor Côté m’a fait parvenir cette référence très intéressante pour moi, physicien. Je tiens à vous partager l’information qui démontre que l’on ne comprend jamais tout et que l’on n’a pas tout vu venir !

« Stupeur à l’Université d’Amherst Massachusetts ! Un étudiant découvre par hasard un liquide surprenant. Sous l’effet de particules magnétiques, il refuse de se mélanger. À chaque agitation, il adopte une forme d’urne grecque. Ce phénomène inédit bouscule la thermodynamique et ouvre de nouvelles pistes en physique. »

Robert Lapointe