Je suis passé au gestionnaire de mots de passe

Import d’un article du 26/04/2017 avec une réécriture de la partie sur le plugin Firefox. En effet, KeeFox ne fonctionne plus depuis Firefox 57 et son successeur, Kee, a une installation plus simple qui ne m’a posé aucun problème ce coup-ci. J’ai noté avec « (MAJ) » les paragraphes qui ont été réécrits.

🔗Situation initiale

Pendant longtemps, j’ai été réfractaire aux gestionnaires de mots de passe. Confier l’intégralité de mes accès à un logiciel qui les synchronise dans le cloud (c’est-à-dire dans l’ordinateur de quelqu’un d’autre) ne m’enchantait vraiment pas. J’avais donc une gymnastique mentale avec mes mots de passe : 3 différents que je faisais varier selon le site où ils étaient utilisés. Le temps passant, j’ai commencé à me dire que ce n’était pas idéal, car l’entropie n’était pas suffisante et j’avais des collisions : 2 sites pouvaient avoir le même mot de passe.

🔗Événement perturbateur

Puis il y a eu le pépin technique avec Cloudflare : des mots de passe avaient été compromis sur énormément de sites. En effet, ils fournissent un service de redondance de site et ils sont extrêmement utilisés. Pour preuve, la liste des sites utilisant leurs services sous format txt pèse 22 Mo compressée… Pour les non-techos, le txt est grosso modo ce qui se compresse le mieux. 22 Mo compressés correspondent à une liste gigantesque : 4 287 625 de domaines !

Il était temps de faire quelque chose, et une copine m’ayant parlé de KeePass peu de jours avant, je me suis décidé à le tester.

🔗Voyage initiatique du héros

🔗Obtention de l’arme

Déjà, ce qui m’a plu, c’est qu’il est open source. Je vais confier mes accès sur le web à ce soft, alors le fait que la communauté puisse l’auditer me rassure. Ensuite, il ne se sert pas du cloud. Si vous voulez synchroniser vos mots de passe, à vous de mettre en place quelque chose pour cela. Oui, c’est contraignant pour le non-techos, mais je n’ai pas confiance dans ces sociétés de gestion de mots de passe : 1Password ont pu être touchés par l’incident Cloudflare, même s’ils le démentent (évidemment). De plus, vu qu’ils centralisent les mots de passe sur leur serveurs, ils deviennent une cible privilégiée des pirates : un gros butin sur une seule attaque.

J’ai commencé par télécharger l’appli depuis le site et j’ai créé ma base de données. Il faut lui adjoindre un mot de passe qui va servir à chiffrer cette base, le seul que vous aurez à retenir et qui est donc la clé protégeant toutes les autres clés. Faites donc une clé solide qui soit difficile à deviner, c’est-à-dire longue, contenant des majuscules, des chiffres et des caractères spéciaux.

J’ai ensuite importé ce que j’avais comme mots de passe sauvegardés par Firefox grâce à un plugin pour KeePass. Rien à signaler dans cette étape, tout s’est bien passé. :)

🔗Le chemin de croix (MAJ)

Ensuite, il a fallu faire en sorte qu’il s’intègre dans Firefox. Sachez que par défaut, KeePass est capable de taper identifiant et mot de passe à votre place, dans n’importe quelle fenêtre, mais j’avais vu qu’il était possible d’interconnecter KeePass et Firefox pour rendre le tout un peu plus fluide. J’ai opté pour Kee.

Kee est avant tout un plugin pour Firefox, donc il s’installe dans ce dernier. Une fois cette étape effectuée, il faut faire en sorte qu’il se connecte avec KeePass.

Pour ce faire, il faut installer le plugin KeePassRPC pour KeePass (pas Firefox, j’ai bien dit KeePass !) en le téléchargeant et le copier dans le répertoire plugins de KeePass, puis le redémarrer.

Ensuite, il suffit de suivre le tutoriel de Kee pour l’activer et le connecter à KeePass.

🔗L’entraînement

Une fois ces étapes effectuées, il remplace le gestionnaire de mots de passe intégré de Firefox, les enregistre dans la base de données de KeePass et la maintient à jour.

Me voilà avec le cas d’utilisation principal comblé : KeePass gère mes accès web dans Firefox et je change mes mots de passe petit à petit en les remplaçant par des mots de passe générés par lui.

Vu que c’est un gestionnaire général ne se limitant pas aux navigateurs, j’ai voulu aussi l’utiliser pour gérer l’agent SSH dont je me sers pour l’accès au serveur qui héberge ce blog (toujours chez ProxGroup, toujours aussi content ;-) ). Pour ça, il existe aussi un plugin pour KeePass, qui permet d’importer sa clé privée dans la base de mots de passe et qui, si un agent SSH est actif, va charger la clé dedans une fois la base ouverte par le mot de passe maître.

🔗L’harmonie (ces titres sont vraiment n’imp ^^')

Voilà, mes mots de passe sont dans KeePass sur mon PC domestique, mais j’ai d’autres devices depuis lesquels je me connecte aussi : PC du boulot, mon tél Android.

Sur Android, j’ai opté pour Keepass2Android. Sur le PC du bureau, j’ai installé le même couple KeePass/Kee. La difficulté, c’est : comment faire pour accéder à la base de mots de passe ?

Ici, vous êtes maître de la façon dont vous transférez votre base. Puisque votre mot de passe maître qui sert à la chiffrer est censé être fort, elle devrait pouvoir transiter vers votre smartphone de la manière que vous préférez sans être compromise. Certains passent par Dropbox ou assimilés, mais ce sont des cibles régulières pour les pirates. J’ai opté pour Telegram, en m’envoyant la base à moi-même, mais libre à vous de vous faire votre propre tambouille. Cette solution me permet ainsi d’avoir la base sur mon téléphone et, accessoirement, de me la transmettre au bureau ou à la maison afin d’utiliser la fonction de synchronisation intégrée dans KeePass. De plus, une fois la base récupérée, je supprime le message de Telegram pour éviter de la laisser traîner sur leur serveur (oui, ce dernier point est discutable, mais je leur ai donné ma confiance pour gérer mes conversations, donc je pars du principe que oui, les messages sont bien supprimés).

🔗Épilogue (MAJ)

Ça va faire 10 mois que j’utilise KeePass pour mes comptes et je suis conquis. Mes mots de passe sont forts et uniques pour chaque site et je ne dois me souvenir que d’un seul. Le fait que ce soit une application Windows me permet de gérer aussi l’accès à d’autres applications. Surtout, je garde le contrôle de la base de mots de passe. Je la transmets selon mes propres moyens et j’évite de le faire via des sites qui attireraient trop l’attention de pirates.

Le point négatif vient de la gymnastique pour avoir ses mots de passe avec soi sur d’autres appareils : si on oublie de synchroniser sa base, pas d’accès aux comptes qui ne sont pas avec nous. Je pense que c’est un inconvénient acceptable pour augmenter la sécurité de ses comptes et ne plus craindre qu’un site qui aura eu un défaut de sécurité puisse compromettre d’autres comptes qui auraient le même mot de passe.

Pour conclure, vu que le moindre service sur Internet demande de créer un compte avec un mot de passe associé, il devient difficile d’avoir à la fois une unicité du mot de passe et en même temps de tous les garder en tête. Nous somme humains, faillibles, et c’est typiquement le boulot d’un ordinateur que de stocker des données pour nous. Ces données sont particulières, il faut les garder confidentielles, et KeePass remplit la fiche de poste avec brio. :D