Comment lire l'audit de sécurité d'un gestionnaire de mots de passe : Cure53, ISE, SOC 2 et ce que chacun couvre réellement
Des types d'audit différents vérifient des choses différentes. Cure53 couvre l'implémentation cryptographique ; SOC 2 couvre les contrôles organisationnels. Voici ce que chaque grand gestionnaire de mots de passe a réellement publié.
Les trois types d'audit qui comptent
(1) Audit cryptographique / test d'intrusion — une société de sécurité (Cure53, ISE, NCC Group, Praetorian) examine l'implémentation cryptographique, les contrôles d'accès au serveur, les applications clientes et rapporte ses constats avec des notes de gravité. L'audit est de qualité lorsque le rapport complet est publié avec le nom de l'auditeur, la date et le périmètre. (2) SOC 2 Type II — un audit des contrôles organisationnels couvrant la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée au niveau opérationnel sur une fenêtre d'observation de 6 mois ou plus. (3) ISO 27001 — une certification d'un système de management de la sécurité de l'information. Type 1 ≠ Type 2, le périmètre compte plus que le badge.
Ce que chaque gestionnaire a publié
Bitwarden : audits annuels par des tiers (Cure53, ISE, Insight Risk Consulting) ; rapports liés depuis bitwarden.com/help/is-bitwarden-audited. 1Password : SOC 2 Type II + tests d'intrusion ISE ; historique des audits de sécurité sur 1password.com/security-audit. Proton Pass : audit de sécurité complet Cure53 au lancement (2023, aucun constat critique, constats modérés corrigés avant le lancement) selon proton.me/blog/pass-launch. NordPass : audit white-box Cure53 en février 2020, deuxième audit Cure53 sur NordPass Business en 2021, SOC 2 Type 2, certifié ISO 27001 selon nordpass.com/features/security. KeePassXC : open source audité par la communauté — aucun audit tiers commandité, mais le code source est public sur GitHub.
Signaux d'alerte dans le marketing des audits
(1) Un audit réalisé par un cabinet comptable sans le nom d'une société de sécurité publié. (2) Un périmètre d'audit limité à « l'application » sans préciser quels composants. (3) Un audit de plus de 24 mois sur un produit dont l'architecture a changé. (4) Une lettre de synthèse plutôt qu'un rapport complet. (5) Un audit réalisé avant la sortie d'une version majeure qui a modifié de façon substantielle l'implémentation cryptographique. Aucun des cinq gestionnaires de cette comparaison ne correspond à ces schémas ; les communications post-violation de LastPass (exclu de cette comparaison) en présentaient en revanche plusieurs.
Ce qu'un audit ne couvre pas
Les audits documentent ce que la société de sécurité a vérifié à un instant donné. Ils ne couvrent pas les attaques de la chaîne d'approvisionnement (dépendances npm compromises dans la build du client), le risque interne chez le fournisseur, ni les nouvelles vulnérabilités découvertes après la fenêtre d'audit. Les défenses contre cela sont les clients open-source (afin que les chercheurs puissent vérifier chaque version de façon indépendante — Bitwarden, Proton Pass, KeePassXC), les programmes de bug-bounty (1Password utilise Bugcrowd ; Bitwarden utilise HackerOne) et des choix architecturaux comme la Secret Key de 1Password (un secret supplémentaire stocké localement qui fait qu'une seule violation du serveur ne suffit pas à déchiffrer les coffres).
Sources
Audits Bitwarden : bitwarden.com/help/is-bitwarden-audited. Audits de sécurité 1Password : 1password.com/security-audit. Audit Cure53 de Proton Pass : proton.me/blog/pass-launch. Sécurité NordPass : nordpass.com/features/security. Cure53 : cure53.de. ISE : securityevaluators.com. Toutes les URL consultées le 2026-04-30.