Coffre-fort de mot de passe : état des lieux
Pour (re)définir ce que j’entends par Coffre-fort de mot de passe, je dirai ceci : "Dans le guide d’hygiène numérique, j’évoque le fait qu’il faut avoir un mot de passe différent généré aléatoirement par site, le tout stocké dans un logiciel dédié, un coffre-fort de mot de passe, qui s’ouvre avec une phrase de passe"
J’ai écrit différents articles de sensibilisation et de partage sur les mots de passe et les coffres-forts de mot de passe et je vous mets la série de lien ci-dessous :
– Les phrases de passe
– Changement de mot de passe et testament numérique
– Keepass au quotidien c’est possible
– A.I.2 - Porte blindée ou coffre-fort ?
Et d’une façon générale, Les billets tagués Keepass
Il existe des solutions de service en ligne qui ont l’avantage de proposer une synchronisation (via Internet) entre différents appareils (ordinateur, smartphone, tablette), mais dont le code source n’est pas accessible. Les experts en sécurité des podcasts que j’écoute (Le Comptoir Sécu pour ne pas le nommer) utilise et vante ce type de solution. Personnellement, adepte du logiciel libre, j’ai fait depuis un moment le choix de Keepass. Il faut un petit temps d’adaptation, car un gestionnaire de mot de passe (l’autre nom pour coffre-fort de mot de passe) demande un petit temps d’appropriation. Avec le temps, le réflexe est là : toute nouvelle inscription sur un site passe par la création d’une fiche dans Keepass, la création d’un mot de passe aléatoire utilisé uniquement pour le site en question.
Quelle solution pour une synchronisation ?
Différents billets de blogs et messages dans des forums proposent une même solution, à savoir :
– KeepassX (dans mon cas je suis passé à KeepassXC) ;
– Synchronisation du fichier de base de données via Nextcloud ;
– Application Keeweb intégrée à Nextcloud pour avoir un accès web ;
– Application Keepass2Android et synchronisation Webdav ou via l’application Nextcloud pour un usage mobile.
Quid des sauvegardes ?
Le fait d’avoir un coffre-fort de mot de passe synchronisé entre plusieurs appareils ne fait pas que l’on en a une sauvegarde. Car si on modifie / supprime un des mots de passe du coffre-fort, avec la synchronisation, la suppression est copié dans toutes les versions et on perd définitivement le mot de passe. Les recommandations liées aux sauvegardes s’applique donc là aussi : on copiera régulièrement le fichier du coffre-fort numérique sur un espace de confiance (par exemple un disque externe sur lequel on fait ses sauvegardes, disque que l’on conserve soigneusement).
Quid de la sécurité ?
La sécurité de Keepass tient essentiellement à la qualité et la complexité (la longueur) de la phrase de passe (il faut également penser à mettre à jour le logiciel).
La synchronisation via Nextcloud pose le soucis de la sécurisation de Nexcloud en lui-même (il faut maintenir le serveur à jour et de façon sécurisé et de préférence déléguer cette partie à un administrateur système de confiance, comme au sein des CHATONS par exemple).
Dans le cas de la synchronisation par un client Nexcloud sur son téléphone, on a donc une copie de son coffre-fort numérique sur son téléphone. Tout comme avec son ordinateur (rappel les smartphones ne sont rien d’autres que des ordinateurs au format poche), il faut donc protéger son appareil avec un code, nécessaire au déverrouillage. Et activer le chiffrement du disque.
Autre solution (complémentaire) : avoir deux conteneurs Keepass. Un avec les mots de passe usuels que l’on peut utiliser sur un smartphone et un avec les mots de passe critique qu’on n’utilisera que sur des appareils de confiance, qui risquent peu (il y a toujours un risque, quelque soit l’appareil, mais il est plus facile de voler un smartphone - ou de le perdre) qu’un ordinateur de type tour qui ne bouge pas de son bureau.