Pourquoi stocker les mots de passe dans l’application Notes est-il une mauvaise idée ?

De nombreuses personnes trouvent pratique de stocker leurs mots de passe dans des applications de prise de notes comme Evernote ou Apple Notes, mais cette pratique peut mettre votre sécurité en danger. Voyons pourquoi les applications de prise de notes sont des endroits à haut risque pour stocker des données sensibles – et les meilleures façons de stocker vos mots de passe.

Pourquoi stocker des mots de passe dans une application de notes est-il une mauvaise idée ?

De nombreuses personnes écrivent souvent leurs mots de passe en texte clair, sur un post-it ou dans une application pour smartphone, pour plus de commodité. En fait, environ un quart d’entre nous stockons des mots de passe dans des notes ou des documents numériques, selon les données du Pew Research Center.

Malheureusement, cette commodité s’accompagne de graves risques de sécurité, car l’objectif principal des applications de prise de notes n’est pas de protéger les informations sensibles, ce qui entraîne de nombreuses vulnérabilités en matière de cybersécurité. Le plus gros défaut de ces applications est le fait que la plupart des applications de prise de notes courantes ne sont pas automatiquement cryptées.

L'absence de cryptage vous laisse à la merci de la sécurité de votre appareil. Si votre téléphone ou votre ordinateur portable est perdu ou volé (ou simplement déverrouillé entre de mauvaises mains), tous vos mots de passe sont instantanément exposés.

Bien que vous puissiez verrouiller l'intégralité de votre téléphone avec un code d'accès ou un verrouillage biométrique, si vos notes sont synchronisées avec le cloud et que quelqu'un accède à votre compte cloud en violant la sécurité ou les défenses de votre fournisseur, il peut contourner entièrement la sécurité de votre appareil. Si cela semble impossible, pensez qu’Evernote, par exemple, a dû réinitialiser 50 millions de mots de passe d’utilisateurs après que sa base de données a été piratée.

Même les notes « cryptées » ne sont pas suffisamment sécurisées

Bien que certaines applications de prise de notes proposent un cryptage, celui-ci n'est souvent pas aussi puissant que dans les gestionnaires de mots de passe. Par exemple, l'application Notes d'Apple permet de verrouiller les notes avec une phrase secrète, en utilisant un cryptage de bout en bout avec AES-GCM.

Cependant, toutes les applications de prise de notes n’atteignent pas ce niveau de sécurité. Le cryptage d'Evernote, par exemple, est plus limité : il vous permet de crypter le texte des notes à l'aide d'AES-128, mais cela nécessite de le faire manuellement pour chaque élément de texte sensible. Plus important encore, le stockage standard d'Evernote n'est pas chiffré de bout en bout par défaut, donc l'entreprise a théoriquement accès à vos données sur ses serveurs. Ce n’est certainement pas la meilleure façon de stocker les mots de passe.

Outre les faiblesses du cryptage, les applications de prise de notes manquent également de nombreuses fonctionnalités essentielles de gestion des mots de passe. Par exemple, ils ne disposent pas de fonctionnalité de partage de mot de passe sécurisé ; capacités de génération automatique de mots de passe pour créer des mots de passe forts et uniques adaptés aux exigences spécifiques du site ; et ils ne fournissent pas d'alertes de surveillance des violations pour avertir les utilisateurs lorsque leurs informations d'identification stockées apparaissent dans des violations de données connues.

Enfin et surtout, ils ne peuvent pas remplir automatiquement les formulaires de connexion sur les sites Web, vous devez donc copier manuellement votre mot de passe dans le presse-papiers, et il existe de nombreux types de logiciels malveillants conçus pour surveiller et voler le contenu du presse-papiers.

Alternative sécurisée : gestionnaire de mots de passe

À ce stade, vous vous demandez peut-être : « Bon, si je ne dois pas utiliser mon application de notes, quelle est la meilleure façon de stocker mes mots de passe ? » La solution est de passer à un gestionnaire de mots de passe. Un gestionnaire de mots de passe est une application spécialement conçue pour stocker en toute sécurité vos mots de passe (et autres informations privées). Ils cryptent tout avec un mot de passe principal (ou phrase secrète) que vous seul connaissez et disposent de fonctionnalités pratiques, telles que le remplissage automatique, des générateurs de mots de passe forts et la synchronisation sur plusieurs appareils.

Voici quelques-uns des meilleurs gestionnaires de mots de passe que l'article recommande, en fonction de différents besoins et de l'expérience personnelle de leur utilisation.

• Bitwarden
• KeePassXC
• 1Password