KeePass : plongée dans un gestionnaire de mots de passe puissant, mais plus exigeant
Par Vincent Hermann
le jeudi 15 septembre 2016
Nous continuons notre exploration des gestionnaires de mot de passe avec un outil qui, s’il est plus âpre au quotidien, permet de pousser plus loin la sécurité : KeePass. Open source, mis en avant par la CNIL et ayant les faveurs de l’ANSSI, il se destine à un public plus averti.
Sur le marché des gestionnaires de mots de passe, il existe des solutions complètes disposant de nombreux outils. L’accent est mis sur la simplicité et la synchronisation globale sur tous les appareils, rejoint dans ce concept par 1Password que nous avons analysé dans un précédent article. KeePass, lui, ne joue pas dans la même cour. S'il s’agit bien d’un gestionnaire de mots de passe, sa philosophie est très différente.
Le logiciel de base se concentre avant tout sur les mots de passe, leur création et leur sécurité, KeePass allant plus loin dans ce domaine. On peut le considérer comme une boite à outils fournissant un réduit de fonctions de base, mais que l’on peut agrémenter d’une multitude d’autres possibilités via des plugins.
Un catalogue bien fourni qui sera utilisé aussi bien pour les traductions (y compris en français) que pour ajouter des algorithmes de chiffrement, des filtres d’importation et ainsi de suite.
Interface et ergonomie : une progression plus lente
Si l’interface de Dashlane par exemple est l'un de ses gros points fort (nous y reviendrons dans un prochain dossier), on va donc ici dans une autre direction. L’utilisateur n’est pas pris par la main, par exemple à travers un assistant qui introduirait les grandes lignes du logiciel. KeePass s’adresse à des utilisateurs ayant déjà des notions de sécurité informatique, et son maniement s’en ressent.
Sans être moche, KeePass n’est pas spécialement plaisant à l'œil non plus, même s’il s’agit d’une considération très secondaire pour certains. Elle se veut avant tout fonctionnelle, et son ergonomie est globalement assez bonne : les outils sont étalés devant l’utilisateur, les panneaux d’information sont clairs, et beaucoup auront un sentiment de déjà-vu.
Et pour cause, nous sommes dans un logiciel Windows tout ce qu’il y a plus de classique. KeePass est en effet avant tout une solution pour cette plateforme. Depuis la version 2.0, le logiciel est basé sur l’environnement .NET de Microsoft et écrit en C#. Conséquence, il peut être installé sous macOS et Linux via Mono (version 2.6 minimum).
Pas question ici non plus de menu invitant à la découverte ou affichant même un compte-rendu global de la sécurité des mots de passe. L’interface se divise en deux colonnes, comme les autres, avec des catégories de données sur la gauche. On classera donc les mots selon qu’ils sont pour le système d’exploitation (ici Windows), pour le réseau, le web, les emails ou les comptes en banque.
Bon point pour KeePass, sa fonction d’importation prend en charge un très grand nombre d’autres outils, notamment LastPass, Dashlane et 1Password. L’idée est bien sûr que si vous maîtrisez suffisamment le terrain, vous puissiez y passer depuis une autre solution.
Gestion des mots de passe et sécurité : du très lourd
Ne cherchez ainsi pas de création de compte ou de synchronisation « naturelle » des données entre plusieurs machines. KeePass crée un fichier contenant la base de données chiffrée en AES 256 et salée en SHA-256. C’est cette base que l’on va protéger avec un mot de passe maître et/ou un fichier, ce dernier étant à manipuler avec beaucoup de précautions. En effet, comme avec Dashlane, toute perte de ce sésame signifiera celle de tous les mots qui ont été stockés.
La base de données est locale et n’est synchronisée sur aucun serveur distant, à moins qu’on en déclare spécifiquement un via FTP. De là, on peut créer des entrées correspondant à des sites, chacune équipée d’un mot de passe générée aléatoirement. Le fonctionnement de base est statique : on pourra copier/coller les mots de passe vers les sites, et rien de plus.
La force de KeePass tient dans la sécurité proposée, tant les fonctions proposées sont nombreuses. Tout ce que l’on a déjà vu dans les autres solutions se retrouve ici, mais on peut aller plus loin. Toute création de mot de passe s’accompagne d’une barre de couleur représentant sa force globale, ainsi que la taille en bits. Les paramètres de conception sont très précis : majuscules, minuscules, chiffres, tirets, soulignés, espaces, caractères spéciaux, parenthèses/crochets/accolades et ASCII étendu.
Par défaut, la génération des mots de passe se fait sur 20 caractères, composés de minuscules, majuscules et chiffres. On pourra évidemment activer les autres options, en fonction de ce qui est accepté par le site/service/logiciel. Et si ces ajouts ne suffisent pas, on peut se tourner vers des fonctions plus avancées, comme l’augmentation de l’entropie du mot de passe en dessinant à la souris dans une surface spécifique.
KeePass fait figure d’exception dans nos comparaisons car il est le seul gestionnaire de mots de passe mis en avant par la CNIL et l’ANSSI, qui l’a d’ailleurs certifié comme solution sûre. L’explication n’est pas à chercher bien loin : c’est le seul à être open source. Pour un élément aussi critique de sécurité, la visibilité des sources et leur analyse est une garantie supplémentaire, à laquelle ne peuvent pas prétendre les autres.
Cette aura ne risque pas de diminuer. Le 20 juillet, la Commission européenne a annoncé qu’un budget avait été débloqué pour lancer très prochainement un audit de sécurité sur KeePass (ainsi que sur Apache HTTP). Les résultats seront communiqués directement aux développeurs. Notez bien que l’audit concernera le logiciel lui-même, et non ses nombreuses extensions.
Intégration dans les navigateurs : il faudra bidouiller
Si l’on veut utiliser KeePass plus facilement, passer par des extensions dans les navigateurs est une bonne idée. En pratique, la chose n’est pas si simple.
KeePass est un logiciel open source dont le code est utilisé pour de multiples variantes. Les développeurs travaillent essentiellement sur la version principale pour Windows. D’autres se sont occupés notamment des extensions pour Firefox et Chrome, et uniquement ceux-là. Il n’en existe pas encore pour Edge et Opera, et si Safari en a bien une, elle n'a pas bougé d'un iota depuis longtemps, sans parler d'une installation rébarbative.
L’installation des plugins ne pose pas de problème dans la mesure où ces extensions sont disponibles dans les catalogues officiels de chaque navigateur. On les trouve facilement en faisant une recherche sur « KeePass ». Une fois installée, KeePass doit impérativement être ouvert en arrière-plan, avec une base déverrouillée (on peut la verrouiller au cas où l’on quitte sa machine pendant un temps).
Dès lors, on pourra faire des clics droits dans les champs de saisie pour les remplir depuis KeePass, ou se connecter automatiquement. En fait, la souplesse dans la reconnaissance des champs et de l'adresse de la page visitée dépend de beaucoup de l'extension utilisée.
Voici quelques liens pour commencer :
KeePass et son écosystème
Son aspect open source et ses extensions font de KeePass une solution difficilement comparable aux autres. Pas question de payer un abonnement ouvrant un accès à un bouquet cohérent de produits et service, c’est à l’utilisateur de se débrouiller. De fait, aborder les fonctionnalités supplémentaires et les applications mobiles est plus délicat.
Dans les deux cas, l’utilisateur pourra piocher dans le travail accompli par d’autres développeurs. Le cas des extensions a été abordé et leur catalogue – qui en contient des dizaines – permet de se faire une bonne idée de ce que l’on peut faire. Pour les applications mobiles cependant, il s’agira obligatoirement de créations tierces basées sur le code source de KeePass et pouvant donc exploiter sa base de données.
La liste des téléchargements disponibles ne laisse aucun doute : KeePass est exploitable partout, qu’il s’agisse de Windows Phone 7/8.1, Windows 10, Android iOS, Chrome OS, BlackBerry, BlackBerry 10, etc. Cette faculté d’adaptation permet d’ailleurs aux autres plateformes fixes d’avoir d’autres choix que le client principal. Sur macOS, on trouve ainsi KyPass, dont l’interface a été un peu retravaillée au passage, mais qui est vendu 7,99 dollars sur le Mac App Store.
Comme pour les extensions, les capacités des applications mobiles dépendront directement de celle qui sera choisie. Sur iPhone, on peut citer le cas de MiniKeePass par exemple, qui présente l’essentiel des fonctionnalités. Sur Android, KeePassDroid et Keepass2Android sont deux références. Sur Windows Phone 8.1 ou Windows 10 Mobile, PassKeep et 7Pass sont également bien notés, le premier pouvant d’ailleurs servir aussi sur PC (application UWP).
Sur les ordinateurs, on signalera également KeeWeb. Un projet open source qui mérite une attention particulière, surtout pour ceux qui sont à la recherche d'une interface moins rébarbative. Il s'agit d'une web app dans un conteneur logiciel et disposant de plusieurs fonctionnalités agréables comme un champ de recherche pour tout type de contenu, le support de nombreux types de fichiers, la synchronisation optionnelle avec Dropbox, l’ajout de tags et de couleurs aux éléments, le glisser/déposer, le masquage de certains éléments ou encore des thèmes sombre et clairs. Le projet ne manque pas d’arguments, d’autant plus que KeeWeb peut être utilisé comme application web classique au sein de toutes les dernières versions des navigateurs (Chrome, Edge, Firefox, Opera et Safari).
· Télécharger ou accéder à KeeWeb
Mais en ce qui concerne toutes ces applications et projets tiers, il faut toujours garder en mémoire qu'ils ne sont pas officiels. L’équipe originelle n’a pas de prise sur ces développements, qui peuvent donc réserver d’éventuelles surprises. Comme nous l’avons déjà indiqué, les audits et autres certifications ne concernent que le client principal pour Windows, pas les dérivés.
Une référence qui ne conviendra pas à tout le monde
Que penser de KeePass ? Que c’est un outil plus puissant que la concurrence, si l’on accepte d’y passer plus de temps.
Le logiciel répond en fait à une demande particulière, les utilisateurs n’ayant pas tous les mêmes attentes. Beaucoup vont s’orienter vers des solutions comme LastPass, Dashlane ou 1Password parce que tout a été fait pour qu’ils soient simples à prendre en main, y compris par des novices. KeePass, lui, s’adresse à des connaisseurs qui n’ont pas peur de mettre un peu les « mains dans le cambouis ».
L’outil est particulièrement puissant et doté de fonctionnalités nettement plus poussées que la concurrence. Le fait que la CNIL et l’ANSSI le mettent en avant comme seule solution recommandable est un élément jouant très clairement en sa faveur, particulièrement en environnement professionnel, tout comme l’audit qui sera bientôt lancé par la Commission européenne.
La ligne choisie par les développeurs est de proposer une boite à outils que l’on enrichit par des extensions, à la manière de ce qu’était Firefox à ses débuts. Une solution très souple, mais qui n’a pas la facilité justement d’un navigateur récent, dans lequel on irait piocher des extensions dans un catalogue joliment conçu. En fait, les extensions demandent même une attention particulière, et leur sécurité n’est dans l’absolu pas garantie.
Si vous souhaitez pousser la sécurité de vos mots de passe au maximum, KeePass est donc fait pour vous. Mais il réclamera plus de temps à maîtriser et sa courbe d’apprentissage est plus lente.
Notre dossier sur la gestion des mots de passe :
· Choisir un bon mot de passe : les règles à connaître, les pièges à éviter
· 1Password : un gestionnaire de mots de passe sorti de la sphère Mac
· Dashlane : le gestionnaire de mots de passe qui veut séduire par son ergonomie
· LastPass : analyse d’un gestionnaire de mots de passe qui joue l’ubiquité
· Mots de passe : on vous aide à choisir le gestionnaire qu'il vous faut
Collé à partir de <https://www.nextinpact.com/news/101020-keepass-plongee-dans-gestionnaire-mots-passe-puissant-mais-plus-exigeant.htm>