Le blog de Genma
Vous êtes ici : Accueil » Informatique & Internet » GNU/Linux, Logiciels Libres » L’importance de sauvegarder son Keepass

L’importance de sauvegarder son Keepass

D 29 mars 2017     H 09:00     A Genma     C 5 messages   Logo Tipee

Sur le sujet de Keepass, je vous renvoie au billet que j’avais écrit sur le sujet Keepass au quotidien c’est possible dans lequel j’expliquais le pourquoi et le comment de Keepass.

Remarque : dans le présent billet, je ferai un abus de langage en parlant de fichier Keepass voir "mon Keepass" pour désigner le fichier utilisé par Keepass pour y stocker mes données personnelles (mes mots de passe), ce fichier étant une sorte de base de données.

Remarque 2 : pour les personnes ayant suivies l’une de mes conférences sur l’hygiène numérique, Keepass est le logiciel Coffre-fort de mot de passe.

Utiliser Keepass, c’est bien

Depuis que j’ai fait un très gros travail de réinitialisation de tous les mots de passes de mes différents comptes en ligne (et j’en ai sûrement oublié, pour des comptes que je n’ai que peu ou jamais utilisé), j’utilise Keepass au quotidien. Je ne vois pas ça comme une contrainte, même si s’en est une, mais comme un gain en sécurité.

Avoir plus de sécurité, c’est bien. Avoir un gestionnaire de mot de passe comme Keepass c’est très bien. Mais bien penser à sauvegarder son fichier Keepass, c’est encore mieux. Car le jour où on le perd, on est un peu embêté, un peu étant un doux euphémisme. On est alors obligé de se reconstituer sa base de données complète de mots de passe et de refaire un travail long et fastidieux de constitution d’une base de données de mot de passe unique (un pour chaque site). Et pour l’avoir fait, je peux vous dire que c’est long et si je peux m’éviter d’avoir à le refaire, je fais tout pour.

Alors comment sauvegarder son Keepass ?

Une base de données Keepass étant un simple fichier, on appliquera les bonnes pratiques liées aux sauvegardes comme Sauvegarde la règle des 3-2-1.

Un fichier Keepass est chiffré et par conséquence la sécurité est présente par défaut et dépendra de la qualité de la phrase de passe que l’on aura choisie / que l’on utilise pour déverrouiller son Keepass.

Pour faire une sauvegarde de Keepass donc, c’est le fichier que Keepass ouvre que l’on sauvegardera, comme on sauvegarde n’importe quel autre fichier, à quelques précautions près tout de même.

Ce fichier, on pourra le stocker sur un cloud de confiance - de préférence - (comme un Nextcloud que l’on maîtrise ou géré par des personnes de confiance) ce qui permettra d’avoir à disposition un fichier synchronisé entre les différentes machines sur lesquelles on aura besoin de le consulter. Parler de mettre ce fichier sur un cloud peut sembler une hérésie. Mais il faut garder à l’esprit que la résistance de ce coffre-fort de mot de passe sera lié à la qualité et la longueur de la phrase de passe qu’on aura définie pour gérer l’ouverture de Keepass (idéalement, on peut renforcer la sécurité en ajoutant la nécessité d’un fichier, en plus de la phrase de passe par exemple). Et qu’il faut définir son modèle de menace, savoir si la fonctionnalité de synchronisation apportée par cette mise sur le cloud de ce fichier est acceptable ou non. ment).

La démultiplication du fichier de Keepass permet d’en avoir plusieurs exemplaires et donc autant de sauvegarde d’une certaine façon, mais nécessite une certaine rigueur dans les synchronisations, pour ne pas perdre des mots de passe nouvellement créés ou mis à jour. Car à chaque synchronisation, c’est le fichier en entier qui est synchronisé - écrasé. De plus, la démultiplication d’un nombre de fichiers Keepass, ce sont autant de fichiers qu’il est possible d’attaquer / de récupérer pour quelqu’un qui voudrait récupérer l’ensemble de nos mots de passe. Il faut donc être certain de la sécurité de chacune des machines sur lesquelles on peut retrouver ce fichier.

Un exemple : il est possible d’avoir un client Nextcloud et Keepass sur son téléphone et donc d’utiliser ces mots de passe sur son téléphone. Mais si je perds ou si on me vole mon téléphone, je perds aussi mon Keepass. Je ne le perds pas vraiment car j’en ai fait des sauvegardes, j’ai d’autres exemplaires du fichier. Mais je ne sais pas ce qu’il adviendra du fichier...

Et la seule solution que je pourrais recommander est alors de modifier l’ensemble des mots de passe contenu dans son Keepass.

Quelques réflexions sur les mots de passe et smartphone

La plupart des comptes dont je suis susceptible d’avoir besoin sur mon téléphone sont liés à des applications dans lesquelles je me connecte une fois pour toute. Donc la solution peut être de ne pas avoir de Keepass sur le téléphone (et donc on évite un soucis d’un Keepass sur un appareil que l’on peut perdre etc.), d’ouvrir Keepass sur son PC, d’avoir son smartphone en main et de se connecter dans les différents comptes... A noter que les mots de passe générés par Keepass sont des mots de passe long et fastidieux à taper sur un téléphone : il faut jongler entre chiffres, lettres en majuscules et minuscules et surtout les caractères spéciaux...

Ce qui me fait penser qu’il faudrait que je teste ce qui se passe en cas de changement du mot de passe. Je change mon mot de passe pour le compte : est-ce que l’application est verrouillée et me demande de nouveau le mot de passe, laisse des données accessible par défaut... Hop, todo-liste.

Mais si on a vraiment besoin d’un accès à son Keepass sur son smartphone, quelles solutions ?

Dans ce cas, je conseillerai d’avoir plusieurs fichiers Keepass, contenant différents types de mots de passe avec des niveaux de criticités et de confidentialité différents, les plus sensibles ne se trouvant que sur des disques locaux eux-mêmes chiffrés (support de sauvegarde également). Le Keepass que l’on a alors sur le téléphone ne contiendra que quelques mots de passe pour les comptes que l’on utilisera depuis le téléphone, au sein des applications ou via le navigateur par exemple.

5 Messages