Cet article s'intéresse à un outil qui est assez méconnu du grand public : les gestionnaires de mots de passe.

Soyons honnête : en 2025, avoir un seul et unique mot de passe pour tous ses comptes - comme "luciole92" ou "123456" 😏 - est une hérésie, surtout avec toutes les fuites de données qui se font de plus en plus courantes.

Avoir une politique très robuste de mot de passe est aujourd'hui devenu obligatoire et crucial du fait de la multiplication des services nécessitant une authentification via la paire "Login"/"Mot de passe". Il est, de nos jours, impossible d'utiliser un service sans cette protection. Néanmoins, avec en moyenne entre 200 et 500 comptes par personne, retenir des mots de passe uniques, longs et robustes est mission impossible. Notre cerveau n'est pas fait pour cela.

C'est ici qu'interviennent les gestionnaires de mots de passe. Plutôt que d'écrire tous ses mots de passe dans un cahier ou sur une feuille volante (on évitera cette pratique n'est-ce pas ?!), les gestionnaires de mots de passe vous permettent de stocker, chiffrer et générer des mots de passe uniques.

💡
Mais attention : tous les outils ne se valent pas, comme toujours.

Pourquoi ne peut-on plus s’en passer ?

Dans les années 2000, souvenez-vous, nous avions une dizaine de sites internet tout au plus qui demandaient un mot de passe. Aujourd'hui, entre les réseaux sociaux, l'administration (le tout numérique), les banques, le streaming, la machine à café connectée, la tondeuse... les compteurs explosent, et bien souvent, notre côté humain face à la technologie prend le dessus : choisir un mot de passe ultra simple, pour s'en souvenir.

Oui mais voilà, le résultat est alarmant : près de 80% des fuites de données en 2024 étaient liées à des mots de passe faibles, simples, voire réutilisés et même volés.

Oui, vous lisez bien, 80%! Ce n'est pas pour rien que nous vous embêtons avec ce sujet.

Il existe cependant un grand paradoxe, comme souvent en sécurité : plus le mot de passe est fort et plus nous avons envie de le noter quelque part : une feuille, un post-it sur l'écran, afin de s'en souvenir.

Puis, plus nous en avons, plus la tentation de réutiliser les mêmes partout se fait sentir.

Et enfin, plus nous réutilisons le même mot de passe, plus une seule fuite de données met de multiples comptes en danger.

Le cercle vicieux infernal.

Oui mais alors, quelle solution ?

Une des solutions les plus robustes à l'heure actuelle est le "coffre-fort numérique", ou plus communément appelé le gestionnaire de mots de passe. Cet outil vous permet de ne retenir qu'un seul mot passe ultra-fort et il s'occupe du reste.

💡
Cerise sur le gâteau : tu peux enfin avoir un mot de passe différent pour tes 1235 sites internet, sans devenir fou. 😄

Les solutions à fuir absolument

Commençons par faire le ménage de printemps, direction la poubelle numérique :

Les outils des clouds propriétaires

Exit les solutions "cloud privateurs" (pratiquement toutes les solutions du marché !) :
❌ 1Password
❌ Dashlane
❌ Lastpass (surtout après les incidents de 2022-2024 où les coffres chiffrés ont fuité…)
❌ Nordpass
❌ Enpass
❌ Psono
❌ RoboForm
❌ Keeper
❌ ...Nous en oublions peut-être...

Pourquoi les fuir ?

  1. Vous ne contrôlez rien. Les mots de passe (même chiffrés) sont stockés sur leurs serveurs et nous n'avons que très peu d'information ou ne pouvons confirmer les propos qu'ils tiennent concernant la sécurité de leur infrastructure.
  2. Ils déchiffrent à la volée côté client… et bien souvent avec des bouts de code propriétaires, non auditables. Parfois même ne laissent aucun choix dans les algorithmes utilisés qui, bien souvent, sont obsolètes.
  3. Ils ont pour certains un historique chargé :
  • LastPass a laissé fuiter des coffres complets en 2022 et 2024,
  • 1Password a eu des vulnérabilités critiques en 2023,
  • Keeper a exposé des mots de passe en clair via une extension Chrome en 2017,
  • Onelogin qui a subi une intrusion exposant des clés API capables de déchiffrer des conteneurs en 2017
  1. Ils collectent parfois des données (visites de sites, traffic, date, IP…) et les revendent à des tiers (coucou Norton LifeLock !).

Les gestionnaires dans les anti-virus

Exit les services proposés dans des solutions anti-virus ou de protection d'ordinateur : les Avast, Kaspersky, Bitdefender, Norton… tous proposent aujourd'hui un "gestionnaire premium".

❌ Avast Passwords
❌ Bitdefender Wallet
❌ Norton LifeLock
❌ etc.

🛑
Bref, vous confiez la clé de votre vie numérique à une entreprise qui a tout intérêt à monétiser vos données.
▶️ Ces solutions sont donc À FUIR absolument.

Les gestionnaires intégrés aux navigateurs

Exit enfin les gestionnaires des navigateurs internet :
❌ Firefox
❌ Chrome
❌ Opera
❌ Edge
❌ Safari
❌ Brave
et autres navigateurs, qui reposent tous sur des solutions dans le "cloud".

Ah, c'est très pratique en effet, c'est gratuit ; mais c'est bien souvent problématique :

  • Chiffrement souvent faible pour :
    • Firefox : qui utilisait avant 2025 3DES, faible, obsolète et vulnérable ;
      ℹ️ Note : même si, soyons honnête, ENFIN, Firefox dans sa version 144 (donc tout récent) a amélioré les choses en adoptant le standard robuste AES-256-CBC.
    • Chrome et Edge : qui utilisent encore aujourd'hui le très moyen standard AES-128.
    • Opera : qui utilise AES-256, mais qui n'a jamais ajouté de master passphrase.
    • Safari : oui le niveau de sécurité est bon, mais limité à l'éco-système Apple.
    • Brave : dépendant du système hôte et aucune master passphrase.
  • Une seule compromission de compte (cf. ¹ ou ² ou ³) et le risque que tous vos mots de passe soient accessibles augmente drastiquement.
  • Pas d’audit indépendant sérieux ou porté à notre connaissance, donc une opacité qui nous dérange fortement.

Les (trop) rares solutions recommandables

Bien, maintenant que nous avons fait le tri, il ne reste… pas grand-chose ! À ce jour, trois familles sérieuses sont recommandables.

KeePass et ses dérivés (le roi incontesté)

KeePass 2.x (et surtout ses forks modernes) reste, en 2025, la référence absolue pour qui veut garder le contrôle total, hors ligne.

Il s'agit du seul gestionnaire de mots de passe certifié par l'ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) qui est l'agence en charge des recherches en cyber-sécurité et des audits de sécurité en France. KeePass 2.x est certifié depuis 2010 (version 2.10) et continue d'être audité régulièrement. De plus, le BSI, qui est l'équivalent de l'ANSSI en Allemagne, a de son côté également audité et recommandé l'application aux PME en 2018. Rajoutons que le fork KeePassXC (dans sa version 2.7.9+) a passé la certification ANSSI également fin 2025, un très bon point.

Au-delà, des audits ont été menés lors du tout premier FOSSA européen ("Free and Open Source Software Audit") en 2016 puis en 2019, ainsi que par nos amis suisses. Tous ces audits ont permis de conclure au niveau élevé de sécurité de l'application.

Malheureusement, l'outil de base ne jouit pas d'une interface élégante et c'est son gros point noir : cette interface paraît plutôt très austère ! C'est pourquoi certains développeurs ont eu la brillante idée de créer des forks, qui non seulement possèdent les mêmes caractéristiques en terme de sécurité, mais proposent une interface un peu plus jolie :

  • KeePassXC pour une utilisation sur ordinateurs
KeePassXC Password Manager
KeePassXC Password Manager
KeePassXC Team
  • KeePassDX pour une utilisation sur Android
KeePassDX
💡
Ce qui en fait donc le candidat idéal pour gérer vos mots de passe. De plus, KeePass vous permet de générer aléatoirement des mots de passe, et de calculer l'entropie, pratique pour tester localement la robustesse de vos mots de passe, nous en parlons plus loin.

Nous avons créé un tutoriel spécial pour vous guider sur KeePassXC. N'hésitez pas à le consulter :

Utiliser KeepassXC
Ce tutoriel vous guide dans l’installation et la bonne utilisation de KeepassXC sur ordinateur.
Wikilibristeayo

Bitwarden / Vaultwarden (le compromis cloud acceptable)

Bitwarden est le seul gestionnaire en ligne qui passe (presque) tous nos critères.

Bitwarden est 100% open source, audité très régulièrement, 2018 par Cure53, de nouveau en 2020-2022 pour obtenir la certification SOC2 Type II, 2023 une nouvelle fois, puis 2025 encore. À chaque audit, aucune faille n'a été remontée, ce qui est plutôt rare de nos jours et ce qui implique donc un bon niveau de maturité de l'équipe. Le chiffrement proposé est robuste, ce qui se fait de mieux en sécurité, sur les derniers standards.

Une petite particularité est qu'une équipe a créé un fork afin d'auto-héberger l'outil : appelé Vaultwarden. Ce qui peut constituer un excellent compromis entre KeePass et Bitwarden.

Best Password Manager for Business, Enterprise & Personal | Bitwarden
Bitwarden is the most trusted password manager for passwords and passkeys at home or at work, on any browser or device. Start with a free trial.
Bitwarden
GitHub - dani-garcia/vaultwarden: Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs
Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs - dani-garcia/vaultwarden
GitHubdani-garcia
💡
Il s'agira de notre deuxième recommandation, pour le côté simplicité si version cloud.

Et les outils stateless alors ?

Deux outils, aussi appelés "stateless password generator", remontent souvent dans les discussions autour des mots de passe, comme pouvant constituer un compromis aux gestionnaires de mots de passe.

Ces outils, de prime abord, pratiques - pas de base à stocker, régénération de mot de passe à la volée à partir d’un master password + le nom du site + un identifiant - ne réussissent pas à concurrencer sérieusement les gestionnaires. Aucun audit de sécurité indépendant n'a été effectué sur ces solutions et quelques vecteurs d'attaque impliquent certains risques, par exemple :

  • La falsification du site internet : un attaquant peut très bien usurper l'identité du site (expiration du certificat par ex.) et/ou rediriger quelqu'un vers un site miroir qu'il aura reconstruit. Dès lors, vous rentrez votre mot de passe maître + les données et l'attaquant pourra retrouver les mots de passe que vous aurez recherchés.
  • Le renouvellement/changement de mots de passe : pour Lesspass, il y a un compteur qui peut être incrémenté ; mais pour Spectre, il sera difficile de renouveler et plus d'informations seront à mémoriser.

Malheureusement donc, nous ne recommandons pas ces outils car :

  • Lesspass n'est plus maintenu depuis 2023, il semble donc abandonné.
  • Spectre lui aussi est abandonné même s'il garde une application iOS uniquement.
  • Buttercup dont le dépôt Github a été archivé mi-2025 semble lui aussi l'arrêt.
  • Padloc n'est plus maintenu non plus.

Quid de ProtonPass ?

Depuis son lancement en 2023, Proton Pass a bien grandi. Audits indépendants (Cure53 2023 et suivi en 2024), prévision de compliance SOC2 Type II (2025), chiffrement correct et intégration bien entendu avec leur suite Proton Mail/Calendar/Drive.

Mais : l'application n'est pas tout à fait FOSS, car la partie serveur n’est pas open source. Cette partie est mutualisée avec leurs autres applications et n'a jamais été prévue pour avoir du code source ouvert.

🚨
Il vous faudra donc faire confiance à Proton AG… ou pas.

Comment bien utiliser son gestionnaire au quotidien

Penchons-nous sur les bonnes pratiques avec cet outil :

Ton saint Graal, le mot de passe maître (ou master passphrase), doit être très long pour être robuste (minimum 20 caractères, ou 5-6 mots aléatoires, voire une phrase de passe), jamais réutilisé (jamais !) et sauvegardé hors ligne sur un papier dans un coffre ou sur métal type Cryptosteel, ou bien dans votre tête.

  • Exemple : Trottinette!Jaune$Escargot2025?Poussin

Qu'est-ce que la "Robustesse" ?

Vous vous êtes peut-être demandé si le mot de passe que vous avez choisi était bien assez robuste pour être considéré comme un mot de passe fort. Nous sommes capables de définir la robustesse d'un mot de passe, ou aussi appelée entropie.

L'entropie se définit comme la résistance du mot de passe à une attaque par énumération (aussi appelée attaque "force brute"). Calculer l'entropie est assez simple : il s'agit d'un rapport entre la longueur du mot de passe (en nombre de caractères) et le nombre de symboles possibles dans l'énumération (30, 60, 90...).

Heureusement, des outils permettent de nous guider 😃 :

EntroCalc : qui fournit une évaluation de la force "théorique" d'un mot de passe, de "très faible" à "fort (longue durée).
Tester l'entropie

Rumkin : qui propose une analyse statique des mots de passe ainsi qu'un générateur de passphrase via la méthode Diceware
Vérification de force

Ou le guide fournit par l'agence nationale FR ANSSI.
Guide officiel

💡Pour ce qui est de la valeur minimum recommandée par les experts :

  • L'entropie minimum à atteindre est 80/90.
  • L'entropie optimale est 110/130

Les bons outils viennent avec une bonne configuration : choisir les bons algorithmes quand on vous donne le choix ou que l'on peut vérifier est toujours signe d'un outil puissant et fiable.

  • Parlons un peu technique ce coup-ci :

Les algorithmes autour des mots de passe

Nous allons présenter rapidement les aspects techniques sur les algorithmes que vous devrez utiliser afin d'assurer la sécurité de votre base de données de mots de passe.

Chiffrement de la base de données

Préférez :

  • Avec accélération matérielle :
    ▶️ AES-256-CBC ou AES-256-GCM : AES (Rijndael) sur 256 bits, avec CBC ou GCM
    HMAC-SHA-2 ou HMAC-SHA-3 pour les signatures des digests, ce que KeePass utilise par défaut ; Préférez la version SHA-3 tout de même.
    👁️‍🗨️ Une note concernant HMAC-SHAx : si vous souhaitez utiliser un token physique (type Yubikey, Nitrokey...), il est possible que ces tokens ne supportent que HMAC-SHA1. Par conséquent, vous devrez accepter l'utilisation de cet algorithme, le temps que le token soit compatible avec les successeurs.
  • Sans accélération matérielle :
    ▶️ AES-256-CBC ou AES-256-GCM : AES (Rijndael) sur 256 bits, avec CBC ou GCM
    ▶️ ChaCha20 ou XChaCha20
    ▶️ Serpent
    ▶️ TwoFish
    HMAC-SHA-2 ou HMAC-SHA-3 pour les signatures des digests (préférez la version SHA-3 tout de même).

On évite tout le reste.

Dérivation de clés/Hashs pour stockage mots de passe

Préférez :

  • Argon2 : Attention avec Argon2d, visiblement vulnérable à certaines attaques par canaux auxiliaires ("side channel attack").
    ▶️ Préférez donc Argon2id.
  • ▶️ Scrypt : Si Argon n'est pas proposé

Sinon :

  • ▶️ Bcrypt si ces 2 algorithmes ne sont pas disponibles
  • ▶️ PBKDF2 en dernier recours, avec un facteur d'itération de 600000 au minimum
    HMAC-SHA256, ou de 1300000 minimum avec HMAC-SHA1

On évite l'utilisation seule de SHA-3, SHA-2, SHA-1, MD5, qui sont moins adaptés dans ce cas de figure. Ou alors SHA-3 (512 bits) avec une implémentation bien spécifique et robuste (étirement, salage, etc...).

Fractionner ses bases, attention : il est possible de fractionner ses bases de mots de passe, par ex. une base pour banques, impôts, une base pour les réseaux sociaux, et une autre pour les sites vitrines, etc.

  • Avantages : si une base est compromise, les autres restent intègres et protégées
  • Inconvénients : plus de mots de passe maître à retenir, parfois la tentation est grande d'utiliser la même sur les 3 bases de mots de passe : à ne pas faire!

Côté synchronisation inter-équipements : la mauvaise idée est d'utiliser un cloud type Google Drive, iCloud ou Dropbox. Nous ne savons rien de ces clouds. Préférez dans l'ordre :

  • Syncthing (P2P chiffré)
  • Nextcloud personnel
  • Clé USB non chiffrée ou chiffrée

Utilisez ces gestionnaires pour le 2FA : oui, certains gestionnaires permettent d'éviter une application TOTP, et génèrent ou stockent les codes TOTP 2FA. Comme recommandé dans nos articles, il est vivement conseillé d'activer le 2FA partout où vous le pouvez.

Les outils en ligne de commande pour les barbus

Nous ne vous oublions pas, mesdames et messieurs les barbu-e-s 😀! Oui il existe de très bons outils, en ligne de commande.

Pass, le standard Unix

Pass: The Standard Unix Password Manager
Pass is the standard unix password manager, a lightweight password manager that uses GPG and Git for Linux, BSD, and Mac OS X.
  • Forces : Simple, audité, repose sur GPG.
  • Client Android : Password Store.

Gopass, pass en mieux

gopass - The Password Manager for Developers
gopass
  • Pass écrit en Go, avec une interface plus sympa.

pa, le nouveau venu

pa/README
  • Très prometteur, cryptographie moderne (basé sur age), mais encore un peu jeune.+
💡
Attention toutefois, la faiblesse de la cryptographie asymétrique pour la gestion de mots de passe est à prendre en considération, compte tenu des futurs dangers notamment liés au quantique.

Conclusion

Afin de terminer cet article, rappelons donc dans l'ordre les outils recommandés :

1️⃣ KeepassXC/KeePassDX (solution locale)

2️⃣ Vaultwarden, le Bitwarden personnel (solution auto-hébergée)

3️⃣ Bitwarden.com (solution cloud)

📗
Bien entendu, nous ne dirons jamais assez que des applications sans faille cela n'existe pas et n'existera jamais. Ce type de logiciel peut très bien contenir des failles qui seront découvertes dans quelques temps... Il est donc important de garder une très bonne hygiène numérique et de bonnes pratiques d'isolation.

Les enjeux à venir (2025-2030)

La question des mots de passe est aujourd'hui massivement débattue, d'autres moyens sont en train de voir le jour, même si leur maturité n'est pas encore bonne. Mentionnons tout de même ce que pourrait être le futur proche.

Passkeys : la révolution ou le mirage ?

Apple, Google et Microsoft poussent fort leurs solutions à base de passkeys (protocole WebAuthn + des clés physiques sur appareil voire dans un cloud). Ces solutions comportent certes des avantages, mais surtout des inconvénients massifs.

Avantages :

  • Résistant au hameçonnage.
  • Plus de mot de passe à taper...
Je vous sens joyeux, mais calmez-vous, passons aux inconvénients 😉

Inconvénients :

  • Solutions propriétaires (surtout iCloud Keychain et Google Password Manager).
  • Dans le cas d'une perte d’appareil, vous perdez dans certains cas tous les accès.
  • La synchronisation se fait toujours dans les Clouds des GAFAM.
💡
Voilà pourquoi tous les spécialistes vous recommanderont, si vous souhaitez tout de même opter pour les passkeys des GAFAM, de les utiliser en plus des mots de passe, et jamais à la place.

Menaces quantiques

Cela peut paraître farfelu, mais nous ne sommes plus très loin de l'informatique quantique (prévu pour 2035/2040 selon les estimations basses) et des machines quantiques, qui seraient capables de casser l'algorithme RSA-2048 ou ECDH. Il est donc important de prendre cette menace très au sérieux dès maintenant.

Cela dit, certains algorithmes sont par nature déjà protégés :

  • Argon2 et ChaCha20 sont par ex. résistants.
  • Et la PQC ("Post-Quantum Cryptography", la cryptographie post-quantique) arrive doucement (Kyber, Dilithium, etc.).

Voilà pourquoi vous entendez souvent parler d'algorithmes post-quantiques.

💡
Notons que KeePass et Bitwarden commencent à intégrer les algorithmes hybrides dans leurs exigences de sécurité. Ce qui permet de garder la rétro-compatibilité des items déjà chiffrés et d'utiliser les nouveaux algorithmes pour chiffrer les nouveaux items. Ainsi ils assurent une transition en douceur.