Nouvelle adresse pour le blog

Par défaut

Je ne suis pas très bavard en ce moment, mais voici tout de même un billet très rapide pour prévenir du changement d’adresse pour le blog : https://haurchefant.fr

Changez vos readers RSS (si tant est qu’il y en ait parmi mes lectrices ou lecteurs qui soient syndiqués à mon flux RSS…).

 

Scary Pockets

Par défaut

Ça faisait un moment que je n’avais pas eu de coup de cœur musical ! Le projet dont je parle aujourd’hui a Jack Conte dans le groupe… mais si ! Lui là, le mec de Pomplamoose et le PDG de Patreon !

Ce nouveau groupe fait dans le funk et… putain ça groove !

Ça, c’était la première, et ils en sortent une par semaine ; six en tout à l’heure où j’écris, et la dernière est très bonne aussi.

Bref, j’adore, ça sort des sentiers battus, c’est du bon funk qui groove, ça se mange sans faim !

 

Je suis passé au gestionnaire de mots de passe

Par défaut

Situation initiale

Pendant longtemps, j’ai été réfractaire aux gestionnaires de mots de passe. Confier l’intégralité de mes accès à un logiciel qui les synchronise dans le cloud (c’est-à-dire, sur l’ordinateur de quelqu’un d’autre) ne m’enchantait vraiment pas. J’avais donc une gymnastique mentale avec mes mots de passe : 3 différents que je faisais varier selon le site où ils étaient utilisés. Le temps passant, je commençais à me dire que ce n’était pas idéal car l’entropie n’était pas suffisante et j’avais des collisions : 2 sites pouvaient avoir le même mot de passe.

Événement perturbateur

Puis il y a eu le pépin technique avec Cloudflare : des mots de passe avaient été compromis sur énormément de sites, vu qu’ils fournissent un service de redondance de service. Ils sont extrêmement utilisés, la liste des sites utilisant leurs services sous format txt pesant 22Mo compressés… Pour les non-techos, le txt est grosso modo ce qui se compresse le mieux. 22 Mo compressés promettent une liste gigantesque : 4 287 625 domaines !

Il était temps de faire quelque chose, et une copine m’ayant parlé de KeePass peu de jours avant, je me suis décidé à le tester.

Voyage initiatique du héros

Obtention de l’arme

Déjà, ce qui m’a plu, c’est qu’il est open source. Je vais confier mes accès sur le web à ce soft, alors le fait que la communauté puisse l’auditer me plaît. Ensuite, il ne se sert pas du cloud. Si vous voulez synchroniser vos mots de passe, à vous de mettre en place quelque chose pour cela. Oui, c’est contraignant pour le non-techos, mais moi je n’ai pas confiance dans ces sociétés de gestion de mots de passe : 1Password a pu être touché par l’incident Cloudflare, même s’ils le démentent (évidemment). De plus, vu qu’ils centralisent les mots de passe sur leur serveurs, ils deviennent cibles privilégiées des pirates : un gros butin sur une seule attaque.

J’ai commencé par télécharger l’appli depuis le site et créer ma base de donnée. Il faut lui adjoindre un mot de passe qui va servir à chiffrer cette base, le seul que vous aurez à retenir et qui est donc la clé protégeant toutes les autres clés. Faites donc une clé solide qui soit difficile à deviner, c’est à dire, longue, contenant des majuscules et des chiffres.

J’ai ensuite importé ce que j’avais comme mots de passe sauvegardés par Firefox grâce à un plugin pour KeePass. Rien à signaler dans cette étape, tout s’est bien passé 🙂

Le chemin de croix

Ensuite, il a fallu faire en sorte qu’il s’intègre dans Firefox. Sachez que par défaut, KeePass est capable de taper identifiant et mot de passe à votre place, dans n’importe quelle fenêtre, mais j’avais vu qu’il était possible d’interconnecter KeePass et Firefox pour rendre le tout un peu plus fluide. J’ai opté pour KeeFox et même si j’en suis désormais content, l’installation ne fut pas aussi fluide qu’on aurait pu espérer.

KeeFox est avant tout un plugin pour Firefox, donc il s’installe dans ce dernier. Une fois le navigateur redémarré, on arrive déjà sur une première vacherie : il a perdu ma session de surf en cours, et plein d’onglets sont tout vides. Peut-être une incompatibilité avec Tab Mix Plus, je ne sais pas. Toujours est-il que c’est bien casse-pied.

Ensuite s’enclenche une procédure d’installation propre au plugin. Il va d’abord télécharger une version de KeePass avec un plugin « KeeFox pour KeePass » préinstallé (ne pas confondre avec le plugin pour Firefox, donc…). Pour ma part, cette version était plus ancienne que celle que j’avais téléchargée moi-même mais on ne peut pas lui dire d’utiliser la version présente… tout du moins pour la version portable de KeePass (que j’avais choisie) ; ça fonctionne peut-être pour la version installateur. J’ai dû alors chercher la version avec installateur pour mettre à jour le soft.

L’entraînement

Une fois ces étapes pas très agréables faites, ça se passe nettement mieux : il remplace le gestionnaire de mots de passe intégré de Firefox, les enregistre dans la base de données de KeePass et la maintient à jour.

Me voilà avec le cas d’utilisation principal comblé : KeePass gère mes accès web dans Firefox et je change mes mots de passe petit à petit en les remplaçant par des mots de passe générés par KeePass.

Vu que c’est un gestionnaire de mot de passe générale ne se limitant pas aux navigateurs, j’ai voulu aussi l’utiliser pour gérer l’agent SSH dont je me sers pour l’accès au serveur qui héberge ce blog (toujours chez Proxgroup, toujours aussi content 😉 ). Pour ça, il existe aussi un plugin pour KeePass qui permet d’importer sa clé privée dans la base de mots de passe et qui, si un agent SSH est actif, va charger la clé dedans une fois la base ouverte par le mot de passe maître.

L’harmonie (ces titres sont vraiment n’imp)

Voilà, mes mots de passe sont dans KeePass sur mon PC domestique, mais j’ai d’autres devices depuis lesquels je me connecte aussi : PC du boulot, mon tél Android.

Sur Android, j’ai opté pour Keepass2Android. Sur le PC du bureau, j’ai installé le même couple KeePass/KeeFox. La difficulté, c’est : comment faire pour accéder à la base de mots de passe ?

Ici, vous êtes maître de la façon dont vous transférez votre base. Puisque votre mot de passe maître qui sert à la chiffrer est censé être fort, elle devrait pouvoir transiter vers votre smartphone de la manière que vous préférez sans être compromise. Certains passent par Dropbox ou assimilés, mais ce sont des cibles régulières pour les pirates. J’ai opté pour Telegram, en m’envoyant la base à moi-même, mais libre à vous de vous faire votre propre tambouille. Cette solution me permet ainsi d’avoir la base sur mon téléphone et, accessoirement, de me la transmettre au bureau ou à la maison afin d’utiliser la fonction intégrée de synchronisation de la base de mots de passe. De plus, une fois la base récupérée, je supprime le message de Telegram pour éviter de la laisser traîner sur leur serveur (oui, ce dernier point est discutable, mais je leur ai donné ma confiance pour gérer mes conversations, donc je pars du principe que oui, les messages sont bien supprimés).

Épilogue

Ça va faire 2 mois que j’utilise KeePass pour mes comptes et je suis conquis. Mes mots de passe sont forts et uniques pour chaque site et je ne dois me souvenir que d’un seul. Le fait que ce soit une application Windows me permet de gérer aussi l’accès à d’autres applications. Surtout, je garde le contrôle de la base de mots de passe. Je la transmets selon mes propres moyens et j’évite de le faire via des sites qui attireraient trop l’attention de pirates.

Le point négatif vient de la gymnastique pour avoir ses mots de passe avec soi sur d’autres appareils : si on oublie de synchroniser sa base, pas d’accès aux comptes qui ne sont pas avec nous. Je pense que c’est un inconvénient acceptable pour augmenter la sécurité de ses comptes et ne plus craindre qu’un site qui aura eu un défaut de sécurité puisse compromettre d’autres comptes qui auraient le même mot de passe. Pour conclure, je conseille donc fortement !