Les mots de passe sont un moyen d'authentification utilisé partout dans notre quotidien, qu'importe la forme qu'ils prennent. Avec les temps qui courent, il est primordial d'avoir une bonne hygiène informatique, et ça passe aussi par une bonne gestion des mots de passe.
Genèse du besoin
Les nouvelles technologies nous poussent à évoluer et bouleversent nos usages. À cause du besoin constant d'authentification et d'identification sur tout type de plateforme (physiques ou virtuelles), il est nécessaire de trouver des solutions pour faciliter et sécuriser l'utilisation de mot de passe "robustes".
Auparavant, comme beaucoup de monde, je copiais les mots de passe dans un fichier texte, qui pouvait être envoyé par courriel ou autre moyen textuel ; sans parler de l'utilisation d'un même mot de passe sur de (trop) nombreux services. Il y a un côté pratique de n'avoir qu'un mot de passe pour tous les services, partout, mais aujourd'hui ce n'est plus tolérable.
Les critères sont les suivants :
- Centraliser des mots de passe dans un coffre-fort ;
- Disponibilité en ligne et hors ligne ;
- Agnostique quant au système d'exploitation et matériels ;
- Être simple d'utilisation ;
- Bonus : être personnalisable (icônes, notes) et si possible permettre l'export (papier ou .pdf).
Mettre tous ses mots de passe dans un même fichier ou au même endroit peut être pratique, mais critique en cas de perte, de vol ou de corruption. Ainsi, il est souhaitable de générer et de gérer plusieurs stockages selon la criticité des mots de passe.
Ma solution technique
Il existe pléthore de solution gratuite et payante, chacune ayant avantages et inconvénients. Passbolt, Bitwarden, LastPass, KeePass, Zoho, le gestionnaire de mot de passe de Google… Ce n'est pas ce qui manque.
Je ne veux pas payer pour une solution de coffre-fort de mot de passe, ne reste donc plus que les solutions gratuites à sélectionner et à valider.
Trêve de bavardage, voici brièvement mon workflow que je décrirai plus bas :
- J'utilise l'outil KeePassXC (sous Windows, Arch Linux, macOS et iOS), pour générer des fichiers .kbdx qui seront des coffres-fort selon la criticité des mots de passe ;
- J'intègre et je crée des mots de passe unique pour chaque service, ayant le maximum de sécurité acceptable par le service concerné (nombre de caractères et caractères spéciaux) ;
- Je crée un compte chez (au moins) deux prestataires d'hébergement de fichiers gratuit en ligne (un drive dans le cloud) : ces comptes disposeront d'un mot de passe robuste et permettront de stocker les fichiers .kbdx ;
- Les comptes créés seront connectés dans mes PC et appareil mobile.
Récapitulatif des bénéfices et risques
Allons directement à l'essentiel :
| Avantages | Inconvénients |
|---|---|
| Garder en mémoire que quelques mots de passe (ceux des comptes e-mails) | Si les mots de passe sont perdus, vous avez un risque important de perdre l'accès au coffre-fort de mot de passe |
| Les mots de passe vous sont inconnus, moins de chose à penser et plus robustes que ce que vous pouvez imaginer | Il y a un peu de manutention (et donc de temps à prendre) avant de pouvoir se connecter au service souhaité |
| Possibilité d'utiliser uniquement des services gratuits | Support limité en cas de problème sur le stockage en ligne |
| Contrôle "correct" des données | Impossible de savoir réellement ce que fait le fournisseur de stockage à propos de ces fichiers |
| Synchronisation automagique entre les périphériques (si chacuns sont configurés pour ce faire) | Une rigueur implacable est de mise pour ne pas perdre des données |
| Redondance des fichiers, historique et (pseudo)sauvegarde | Multiplication des fichiers et des espaces de stockage : bien penser à faire la mise à jour partout |
À un moment donné, on ne peut pas tout avoir. Quelques concessions sont à faire, rien de trop compliqué non plus.
Exemple de procédure de mise en place
J'utiliserai dans cette partie Infomaniak (je vous explique ici comment je suis passé de Google Drive à kDrive d'Infomaniak). Il est bien entendu possible aussi d'utiliser Proton Drive, pCloud, Microsoft OneDrive, Apple iCloud, Google Drive ou tout autre prestataire "gratuit". Créez un compte, valider les paramètres de sécurité et assurez-vous d'avoir correctement renseigné les informations à propos de la récupération de compte.
Maintenant que vos comptes sont créés auprès des prestataires que vous avez choisi, il est déjà possible d'installer l'application de synchronisation du stockage sur vos machines. Chaque éditeur propose sa solution, utilisez-la. Sinon, vous pouvez aussi vous connecter depuis le site web et envoyer directement le fichier par le navigateur, mais c'est beaucoup moins pratique.
Continuons dans cette lancée et installez l'application de stockage en ligne sur votre mobile et de l'application "Keepassium" (pour les mobiles sous iOS) ou Keepass2Android (pour les mobiles sous Android). Vous pourrez ouvrir le fichier .kbdx depuis votre mobile, y faire des copier/coller entre autre, modifier les entrées… Les applications mobiles citées sont gratuites et libres.
Le gestionnaire de mots de passe "KeePassXC" est un fork de KeePassX, lui-même un fork de KeePass. La version "XC" propose des fonctionnalités complémentaires et est surtout maintenue, pas comme KeePass et KeePassX.
Créez donc votre base de données de mots de passe avec KeePassXC ; les paramètres de sécurité par défaut sont corrects, définis en fonction de la puissance d'aléa de votre machine sur laquelle vous initiez la base de données. Je créerai un article à ce propos.
Enfin, je vous conseille l'utilisation des extensions de navigateur pour permettre la saisie automatique. Cette option est facultative, mais est un réel gain de productivité avéré. Avec KeePassXC, l'extension "KeePassXC-Browser" est disponible pour Firefox et les navigateurs à base Chromium.
Utilisation quotidienne personnelle
Cette façon de travailler est mienne depuis déjà plus de cinq ans, sans aucun problème. Vraiment. Quel que soit le système d'exploitation ou le matériel, les migrations entre les différents hébergeurs et les innombrables réinstallations de mes machines, j'ai toujours réussi à utiliser les fichiers .kbdx sans perte ni problème d'accessibilité.
Sur un ordinateur, l'exploitation est très simple : les .kbdx sont stockés en ligne et hors-ligne (en local sur votre machine), KeePassXC se configure simplement en allant chercher les fichiers .kbdx dans l'emplacement dans votre machine locale.
Sur un téléphone portable, c'est le même principe que sur PC. En installant les applications, vous pourrez chercher et ouvrir les .kbdx dans l'emplacement du stockage en ligne. Que ce soit en mode avion ou connecté en 6G, vous pourrez accéder aux fichiers .kbdx partout et sans limites !
Il n'y a pas de partage de ces .kbdx avec personne, donc aucun problème de concurrence.
Utilisation quotidienne professionnelle
Professionnellement, il est possible d'utiliser ce genre de procédure lorsque vous êtes dans de petites équipes. Avec les bases .kbdx, vous pouvez travailler en équipe, stocker les mots de passe et utiliser en même temps la / les même(s) base(s).
Avec ce workflow dans le monde professionnel, le point de vigilance concerne la mise à jour des entrées dans les .kbdx. Mettez-vous d'accord en équipe lorsqu'il y a des mots de passe à modifier, notamment quand vous êtes plusieurs à avoir ouvert le .kbdx. Franchement, pour tous les jours, ce n'est pas gênant. Pour rappel, il s'agit d'une solution gratuite et pas étudiée à la base pour ce genre de workflow.
Quant au stockage, vous avez souvent la possibilité de stocker les .kbdx dans un espace partagé dans votre réseau local. Utilisez ce stockage, en gardant tout de même une copie en locale sur votre machine, en cas de problème réseau ou lorsque vous êtes hors-ligne. N'oubliez pas de mettre à jour cette copie locale ;-).
Vous avez une autre ou une meilleure solution respectant mes besoins et contraintes ? N'hésitez pas à en discuter ci-dessous ;-)
