Vous pensez qu’un mot de passe n’a pas vocation à être partagé ? Vous avez raison. Toutefois, il arrive couramment qu’un collaborateur perde ses accès ou que vous soyez le seul à détenir les informations d’un compte commun à l’entreprise. Alors comment envoyer un mot de passe de manière sécurisée ? Passons en revue les six méthodes les plus courantes pour envoyer un mot de passe et quelles sont mes recommandations.
⚠️ Important : Quelle que soit la méthode utilisée, n’envoyez toujours qu’une seule information d’identification à la fois et sur un canal différent : par exemple le login par mail et le mot de passe à l’oral.
N’envoyez pas l’identifiant et le mot de passe en même temps !
Avant de lister les différentes méthodes pour envoyer ou transmettre un mot de passe de manière sécurisée, il est important de respecter cette règle : n’envoyez toujours qu’une seule information d’identification à la fois et sur un canal différent : par exemple le login par messagerie et le mot de passe à l’oral. Ainsi, si un des services est compromis, l’attaquant n’aura qu’une seule information.
1. Transmettre le mot de passe sur un morceau de papier
Plutôt que d’utiliser votre messagerie Outlook pour transmettre des identifiants à un collègue de bureau, vous pouvez tout simplement écrire le mot de passe sur un morceau de papier. L’avantage est que vous n’utilisez pas de service internet et vous ne vous exposez à un risque de piratage. L’inconvénient est que le papier peut rester à traîner sur un bureau ou pire finir en post-it ! Cette information doit rester en lieu sûr, à l’abri des regards ou être détruite immédiatement. Si la demande n’est pas urgente, et que votre collaborateur ou votre client se trouve à distance, vous pouvez utiliser un courrier postal.
2. Communiquer le mot de passe à l’oral
Vous pouvez partager un mot de passe de vive voix, par téléphone, visio ou en face à face. Certes, ce n’est pas très confortable, car vous devrez épeler votre chaque caractère de celui-ci, surtout s’il est long ! L’alphabet phonétique peut être votre allié afin d’éviter les erreurs. Cette méthode reste sécurisée, dans la mesure où vous ne transférez pas toutes les informations à la fois. Aussi, dictez votre identifiant en veillant à ce que vous-même et votre interlocuteur ne soyez pas entendu !
3. Avec un gestionnaire de mot de passe
Certains gestionnaires de mot de passe permettent de partager des identifiants. C’est la méthode la plus sûre et la plus pratique pour envoyer un mot de passe de manière sécurisée. À titre d’exemple, avec LastPass ou Bitwarden, vous pouvez partager des informations avec un chiffrement de bout en bout. Lastpass offre une solution plus User Friendly, mais ne propose le partage que dans sa version premium. Bitwarden propose une version gratuite qui, avec Send, permet de partager tout type d’informations confidentielles.
Si vous avez plusieurs mots de passe à envoyer, vous pouvez créer un conteneur avec le gestionnaire de mot de passe KeePass. Vous devrez créer une base de données avec un mot de passe maitre, qu’il faudra tout de même transmettre, via un autre canal.
4. Via un service en ligne
Des services en ligne proposent d’envoyer des informations sensibles via un lien sécurisé. En général, je n’aime pas transmettre des informations sur des plateformes tierces sur Internet. Mais, si vous respectez la règle et n’envoyer qu’un mot de passe, cette solution peut être utilisée sereinement.
J’en recommande deux :
Les deux solutions sont similaires et les projets sont accessibles sur Github (Onetime Secret sur GitHub et PasswordPusher sur Github). Vous pouvez partager un mot de passe via un lien dont la durée de vie est paramétrable et ajouter une passphrase que vous pourrez communiquer oralement par exemple.
5. Par email
Une méthode bien tentante pour envoyer un mot de passe est l’email. Le problème est que les logiciels de messageries ne sont pas toujours paramétrés avec le chiffrement. Même s’il est actif sur votre configuration, quid de votre destinataire ? De plus, les messages ont tendances à rester stocké ou à trainer dans la corbeille. Ils sont donc facilement enrôlés dans des systèmes de sauvegardes comme Office 365 ou encore dans le cloud.
À titre personnel, je préfère utiliser l’email pour transférer un login et une URL de connexion, puis utiliser un autre moyen pour envoyer un mot de passe. À l’exception des mots de passe temporaires. En effet, si celui-ci doit être changé immédiatement après la connexion de l’utilisateur, l’email peut être utilisé.
6. Par messagerie instantanée ou SMS
Tout comme l’email, les messages restent. Ils sont donc à proscrire, sauf si le mot de passe est changé immédiatement ou pour transmettre un identifiant. Utilisez des solutions comme Android Message chiffré avec le protocole RCS, qui permet entre autres de vérifier si le message est lu. Demandez ensuite à votre correspondant de le supprimer.
Sur le même principe, il existe d’autres logiciels de messagerie instantanée, à privilégier au pur SMS, qui n’est pas chiffré de bout en bout. Lorsque vous utilisez une solution de messagerie instantanée, il est parfois possible de supprimer un message pour vous et votre correspondant. N’oubliez pas de le faire après partage.
Quelle solution privilégier pour envoyer un mot de passe ?
La solution la plus pratique pour partager des identifiants de connexion est d’utiliser un gestionnaire de mot de passe. De nombreuses solutions proposent des fonctionnalités dédiées à cela et chiffrées de bout en bout. Si vous n’en utilisez pas, vous devez toujours utiliser plusieurs méthodes pour partager vos identifiants. Par exemple, transmettez par email votre login, puis à l’oral le mot de passe.
Recommandations importantes
Ne jamais envoyer l’identifiant et le mot de passe en même temps
Sauf si vous utilisez un gestionnaire de mot de passe, ne transmettez jamais toutes les informations en utilisant le même canal. Par exemple, envoyez par email le login et dictez le mot de passe par téléphone. Ainsi, si un des services est compromis, l’attaquant n’aura qu’une seule information.
Éviter tout ce qui peut être stocké
De manière générale, évitez d’utiliser tout moyen qui peut être stocké dans des systèmes informatiques. Comme les emails, messageries instantanées, partage cloud. À l’exception bien entendu des gestionnaires de mot de passe qui sont dédiés à cet usage. Ne stockez jamais vos identifiants dans un fichier Excel protégé par un mot de passe.
Changer de mot de passe
Si vous déléguez définitivement des identifiants ou si vous créez un nouveau compte, invitez ou forcez votre destinataire à changer de mot de passe après sa première connexion. Ainsi, le compte sera de nouveau sécurisé.
En cas de MFA active
Si l’authentification multifacteur est active, votre correspondant risque de ne pas pouvoir s’authentifier. Il faudra l’autoriser via votre app lorsqu’il se connecte. En cas de besoin, vous pouvez transmettre également vos codes OTP. À ce sujet, il existe des applications pour utiliser Google Authenticator sur PC. Il est important aussi de vous prémunir d’une perte de vos accès Google Authenticator.
Un mot de passe n’a pas vocation à être partagé
Un mot de passe n’est pas fait pour être partagé. Il est réservé à un usage strictement personnel. Réfléchissez à d’autres solutions. Cette personne a-t-elle réellement besoin du mot de passe ? L’application permet-elle d’octroyer des accès supplémentaires ? En effet, il peut être possible sur certaines plateformes de créer plusieurs comptes. Ainsi, vous ne mettez pas potentiellement des données en danger.
Soyez sûr du destinataire
Les tentatives de phishing sont très courantes. N’envoyez jamais d’identifiants en cas de doute ou si vous n’êtes pas sûr du destinataire ou de ce que vous faites.
Ne partagez jamais vos coordonnées bancaires
Enfin, ne partagez jamais vos coordonnées bancaires, et ce quel que soit le motif ! Cela n’arrive pas qu’aux autres, les tentatives d’escroqueries sont permanentes sur le web.
