« Recommandé par l’ANSSI » : ce que ce label veut vraiment dire pour votre gestionnaire de mots de passe

L’ANSSI n’a jamais « recommandé » un gestionnaire de mots de passe grand public en particulier. Elle en certifie certains, ce qui n’est pas la même chose. Sur des dizaines de sites, un outil est présenté comme « approuvé » ou « validé » par l’agence française de cybersécurité. La plupart du temps, c’est un raccourci marketing. Comprendre la différence entre une certification CSPN et une vague « recommandation » change radicalement la façon de choisir un coffre-fort numérique fiable.

Le malentendu qui fausse presque tous les comparatifs

L’ANSSI ne décerne pas de médaille au « meilleur gestionnaire ». Elle évalue des produits via la CSPN (Certification de Sécurité de Premier Niveau), une procédure qui implique un audit du code, des tests d’intrusion et une vérification des mécanismes de chiffrement. L’agence recommande surtout une méthode : des mots de passe uniques, robustes, bien stockés et la double authentification. Le produit n’est qu’un moyen parmi d’autres d’appliquer cette méthode.

Concrètement, l’ANSSI mesure la robustesse d’un mot de passe par son entropie, exprimée en bits. La recommandation est de viser un minimum de 80 bits. En pratique, cela se traduit par des seuils précis. Un mot de passe de 9 à 11 caractères atteint environ 65 bits, de 12 à 14 caractères environ 85 bits, et au moins 15 caractères dépasse 100 bits. Autre rupture avec les vieilles habitudes : la longueur prime sur la complexité, et la rotation périodique obligatoire est abandonnée pour les comptes utilisateurs classiques, sauf compromission avérée. Changer son mot de passe tous les 90 jours produisait surtout des variantes prévisibles du type « Motdepasse2025! ».

Les rares gestionnaires réellement passés entre les mains de l’ANSSI

Deux familles d’outils détiennent une certification CSPN authentique, vérifiable dans le catalogue officiel.

Côté grand public, KeePassXC a franchi un cap récent. La version 2.7.9 a reçu la certification CSPN-2025/16 le 17 novembre 2025, obtenue pour trois ans, et l’application a été mise en avant dans une publication de l’ANSSI le 21 novembre sur la sécurité des mots de passe. Son ancêtre KeePass disposait déjà d’une CSPN sur sa version 2.10 portable. Ces outils sont gratuits, open source et stockent la base de mots de passe en local, sans cloud imposé.

Côté professionnel, LockPass (solution LockSelf) est l’autre nom qui revient. C’est un outil d’entreprise français certifié CSPN, qui chiffre les données en RSA et AES-256 avec une gestion centralisée des droits et des journaux complets. Il s’adresse aux organisations, pas au particulier qui veut sécuriser ses comptes personnels. Le tarif démarre autour de 3 €/utilisateur/mois avec un minimum de 25 licences, un seuil rédhibitoire pour un usage individuel.

Tout le reste relève de l’approximation. Bitwarden, 1Password ou Dashlane ne portent pas de CSPN. LastPass traîne par ailleurs une compromission survenue en 2022, un rappel utile que la notoriété ne vaut pas garantie.

Certifié ne veut pas dire utilisable au quotidien

Personne frustrée devant un ordinateur, utilisant un gestionnaire de mots de passe dans un bureau à domicile

Un label CSPN sécurise le logiciel, pas l’expérience. Et c’est là que le terrain corrige le discours technique.

KeePassXC est solide mais austère. Pour quelqu’un qui découvre l’informatique, c’est un univers à part entière : pas de synchronisation cloud native, une organisation manuelle des bases, et un partage entre plusieurs personnes qui passe par des bricolages externes. Le déverrouillage par Windows Hello, censé simplifier la vie, devient un casse-tête sur un PC sans capteur d’empreinte ni webcam active. En accompagnement numérique, présenter un gestionnaire à un débutant fait perdre une trentaine de minutes par séance, entre le compte introuvable et le mot de passe griffonné sur un post-it.

Bitwarden prend l’avantage exactement là où KeePassXC bloque : interface moderne, synchronisation multi-appareils automatique, partage sécurisé intégré et extensions pour tous les navigateurs. Le prix de cette fluidité, c’est un modèle cloud qui suppose de faire confiance à un serveur tiers, même si le chiffrement reste de bout en bout. Pour un puriste de la souveraineté, héberger soi-même un Vaultwarden offre un contrôle total, mais l’installation reste hors de portée d’un utilisateur non technique.

Le piège le plus courant n’est pourtant pas le choix de l’outil. C’est l’absence d’outil. Le fichier Excel « motsdepasse.xlsx » qui circule au service comptabilité et le post-it collé sous le clavier restent la norme dans beaucoup d’entreprises. Dans les organisations publiques, le passage d’une base KeePass partagée sur un disque commun à une solution cloisonnée comme LockPass apporte surtout une traçabilité des accès et une gestion au moindre privilège, deux exigences que ni Excel ni un fichier KeePass collectif ne couvrent.

Quel choix selon votre profil

Pour un particulier soucieux de souveraineté et prêt à un léger effort d’apprentissage, KeePassXC reste imbattable : gratuit, certifié, local. Comptez une à deux heures pour importer ses comptes et prendre ses marques.

Pour un particulier qui privilégie le confort et la synchronisation entre téléphone et ordinateur, Bitwarden offre le meilleur rapport simplicité/sécurité, en acceptant le compromis du cloud. La version gratuite suffit largement pour un usage personnel.

Pour une entreprise soumise à des obligations réglementaires (NIS2, RGS), un outil certifié et hébergé en France comme LockPass se justifie dès qu’il faut partager des accès, tracer les actions et passer des audits. Pour un usage familial ou individuel, payer 25 licences minimum n’a aucun sens.

Pour un public débutant ou senior, la pédagogie compte autant que la technique. Un carnet sécurisé conservé hors ligne ou une phrase de passe mémorisable vaut mieux qu’un gestionnaire ouvert une fois puis abandonné.

Questions fréquentes

KeePass est-il « le » gestionnaire officiel de l’ANSSI ? Non. KeePassXC 2.7.9 détient une certification CSPN valable trois ans depuis novembre 2025, ce qui atteste de sa robustesse, mais l’ANSSI ne désigne aucun outil comme officiel ou obligatoire. La certification porte sur une version précise du logiciel, pas sur la marque en général.

Une phrase de passe suffit-elle pour être conforme aux recommandations ? Oui, à condition qu’elle soit assez longue. L’ANSSI cite l’exemple d’une phrase de passe d’au moins 7 mots pour atteindre le niveau d’entropie attendu. Quatre mots aléatoires restent insuffisants face aux attaques par dictionnaire.

Faut-il encore changer ses mots de passe tous les trois mois ? Pas pour les comptes classiques. Le renouvellement périodique n’est plus exigé pour les comptes utilisateurs ordinaires, mais reste requis pour les comptes à privilèges comme les comptes administrateurs.

L’essentiel à retenir avant de choisir

Un bandeau « recommandé par l’ANSSI » sur la page d’un éditeur ne prouve rien. Le seul réflexe fiable consiste à vérifier la présence du produit dans le catalogue des certifications CSPN, version par version. Le bon gestionnaire n’est pas le plus sécurisé sur le papier, c’est celui qui sera réellement utilisé chaque jour. Un coffre-fort certifié mais jamais ouvert protège moins bien qu’un outil imparfait adopté par tous.

Articles similaires

Articles populaires