Pour un utilisateur moyen, c’est sans doute un peu compliqué de comprendre les bonnes pratiques à adopter en matière de sécurité, qu’il s’agisse des activités en ligne ou au travail. Cependant, une pratique en particulier vaut la peine d’être explorée : la réutilisation des identifiants.
En utilisant le même mot de passe, facile à saisir, sur tous les sites et services que vous utilisez sur internet, vous ouvrez tout simplement la porte à n’importe quel cybercriminel, qui aura alors accès à toute votre vie digitale.
Ainsi, notre conseil pour tous les internautes, dans la mesure où une amélioration significative de la sécurité globale est un travail de longue haleine, est d’utiliser un gestionnaire de mots de passe.
Par le passé, nous avons déjà écrit sur le gestionnaire de mots de passe et, en général, nous nous sommes concentrés sur certaines catégories qui stockent les données relatives à vos mots de passe dans le Cloud, ce qui signifie que toutes les données sensibles sont sur l’ordinateur d’un tiers.
Naturellement, de nombreux lecteurs de notre blog sécurité se sont déjà opposés à cette idée : pourquoi ma propre sécurité en ligne doit-elle être à la merci d’un tiers, qui peut très bien sécuriser ou ne pas sécuriser mes données personnelles comme je le souhaite ?
C’est une question raisonnable, et il existe une réponse : KeePass.
KeePass : l’essentiel
KeePass est un gestionnaire de mots de passe Open Source, qui offre tout ce que vous pouvez attendre d’un gestionnaire de mots de passe, il stocke tous les identifiants des sites web et des services en ligne dans un coffre-fort au chiffrement renforcé, qui ne peut être déverrouillé qu’avec un seul mot de passe principal, et qui devient le seul mot de passe dont vous devez vous souvenir.
Mais une différence essentielle entre KeePass et les gestionnaires de mots de passe basés dans le cloud est que KeePass est un logiciel que vous utilisez localement, pas au niveau d’un service en ligne, et votre coffre-fort KeePass est stocké à l’endroit de votre choix.
Il peut être stocké sur un disque dur, une clé USB portable, ou même au niveau d’un service cloud auquel vous vous êtes abonné. C’est à vous de décider de l’emplacement de votre coffre-fort à mots de passe et qui y aura accès.
Garder le coffre-fort à mots de passe déconnecté d’internet le rend vraiment très mobile. Une version de KeePass peut être téléchargée et lancée directement, sans avoir à l’installer officiellement à un endroit en particulier (par exemple, à partir d’une clé USB).
Un bon exemple est un ordinateur professionnel où vous n’avez pas les privilèges d’administrateur pour installer un logiciel sur le système central. Si vous avez une instance KeePass et votre coffre-fort à mots de passe sur un support de stockage mobile, vous pouvez alors emporter vos mots de passe n’importe où avec vous, que vous ayez ou non un accès internet.
De nombreux utilisateurs de KeePass recommandent de stocker une copie originale du coffre-fort en ligne, en tant que sauvegarde, et afin de faciliter la synchronisation et la mise à jour du coffre-fort sur tous les appareils.
La raison pour laquelle cela ne déclenche pas la colère des utilisateurs de type “Never-Cloud”, c’est qu’ils ne sont pas obligés de l’utiliser. Le fichier du coffre-fort KeePass est lui-même chiffré, donc si vous gardez une sauvegarde dans le Cloud et que votre stockage en ligne est piraté, le fichier KeePass est inutilisable sans le mot de passe principal (pour être juste, c’est aussi l’argument que de nombreux gestionnaires de mots de passe basés dans le Cloud mettent en avant pour défendre la façon dont ils stockent les coffres-forts à mots de passe des utilisateurs).
La beauté des logiciels Open Source comme KeePass, réside dans les nombreuses extensions et plugins fournis par la communauté. Par exemple, il existe un certain nombre de plugins qui permettent à KeePass de s’intégrer à votre navigateur, en remplissant automatiquement les formulaires de connexion ou en saisissant les identifiants au fur et à mesure mesure qu’ils sont saisis.
D’autres plugins offrent des fonctionnalités intéressantes, l’un de mes préférés vérifie vos identifiants sauvegardés avec ceux de Haveibeenpwned.com de Troy Hunt pour vous informer au cas où vous auriez été “pwned” (à savoir, si vos identifiants ont fait l’objet d’une violation de données majeure connue). Mais ce n’est que la partie émergée de l’iceberg, dans la mesure où il s’agit de plugins du début à la fin :
Le coffre-fort portable de KeePass peut également être utilisé par d’autres applications, étendant votre accès aux mots de passe au-delà de l’ordinateur de bureau.
Par exemple, Sophos Mobile Security et Sophos Secure Workspace peuvent tous deux jouer le rôle d’applications KeePass vis à vis des smartphones. Les deux vous permettent d’utiliser, d’éditer, d’importer et d’exporter des fichiers KeePass, et Sophos Secure Workspace peut même fonctionner avec plusieurs lieux de stockage locaux, ou basés dans le Cloud.
Une grande puissance s’accompagne d’une grande responsabilité, et sans surprise, sa grande flexibilité rend KeePass assez complexe de par sa conception. Il a des capacités incroyables, officielles et fournies par l’utilisateur, qui lui procurent une grande capacité d’extension.
À peu près tout ce qu’un internaute peut attendre d’un gestionnaire de mot de passe est présent au sein de KeePass. En prenant un exemple simple, voilà ce que vous voyez lors de la saisie de vos identifiants :
Parlons des forums d’aide, si vous êtes le genre de personne à bricoler d’abord tout seul, et à lire la documentation plus tard, il d’agit d’un vrai labyrinthe. Oui, il existe des FAQs, des documents d’aide et des forums de support, mais au-delà des fondamentaux, une recherche en ligne bien structurée vous aidera à comprendre et à y voir plus clair.
Je pense qu’il s’agit d’un faux problème pour la plupart des lecteurs qui lisent ceci, mais la puissance fournie par KeePass pourrait ne pas convenir à tous ceux qui sont effrayés par la complexité, ou qui ont besoin d’assistance concernant la technologie en général, et surtout si à la base ils sont en conflit avec le concept de gestionnaire de mots de passe.
Mais pour tous ceux qui veulent garder le plein contrôle sur ses mots de passe et sur la manière avec laquelle ils sont stockés, qui sont à l’aise avec un système légèrement plus complexe qu’un gestionnaire de mots de passe basé dans le Cloud et axé pleinement sur l’utilisateur, KeePass est une très bonne option.
Nous savons, grâce aux précédents articles, que beaucoup d’entre vous sont des fans de KeePass. Si vous avez des fonctionnalités, des extensions ou des plugins préférés, partagez-les avec nous dans les commentaires ci-dessous.
Billet inspiré de KeePass – a password manager that’s cloud-less (but complex), sur Sophos nakedsecurity.