Skip to content

Keepass : Gestion des mots de passe et sécurité

La gestion des mots de passe est aujourd’hui une vraie problématique, qu’il s’agisse d’un environnement d’entreprise ou personnel.

Le fait que de nombreux comptes, applications et sites web requièrent aujourd’hui des logins et des mots de passe, et que le bon sens pousse à éviter l’utilisation d’un même mot de passe sur deux comptes différents (permettant ainsi à un pirate ayant volé ceux d’un compte d’aller sur un autre site web avec les mêmes identifiants), il faut aujourd’hui une sacrée mémoire pour se souvenir de tous les mots de passe mis sur nos différents comptes.

Une sacrée mémoire, ou un bon outil ! J’ai récemment découvert un outil de type « coffre fort numérique », sa principale fonction est justement de permettre le stockage, la protection et la gestion des différents mots de passe présents dans votre vie numérique ou dans votre entreprise, j’ai nommé Keepass.

I. Keepass : qu’est ce que c’est ?

Keepass est un produit Open source (Open source Certified), libre et plutôt simple d’utilisation compte tenu de son rôle clé dans la gestion d’une bonne sécurité en entreprise comme pour les particuliers. Il gagne de plus en plus en popularité et le peu de faille trouvée sur cet outil m’amène à penser qu’il est relativement sérieux.

Note : Cela peut aussi vouloir dire qu’il n’intéresse pas les chercheurs en sécurité, mais cela est peu probable au vue de son utilisation croissante dans le monde professionnel.

En bref, Keepass permet donc la gestion centralisée des mots de passe, leur organisation et leur stockage dans un fichier chiffré et accessible uniquement via un mot de passe (dit « master ») ainsi que d’une clé (optionnellement).

Keepass intègre également un nombre assez intéressant de module permettant d’accroître son champ d’utilisation. Son utilisation est assez simple et accélère grandement la manipulation des identifiants via une fonction de copier-coller temporaire, sans même avoir à manipuler ou saisir le mot de passe dans un quelconque formulaire. Il a également l’avantage d’être multi-plateforme : Linux, Windows et Mac.

Voici le site web de l’outil sur lequel vous pourrez le télécharger : http://keepass.info/

II. Création de son coffre fort numérique

Une fois l’installation faite, il faut commencer par créer son « coffre fort numérique« , c’est à dire le fichier de base de données qui contiendra l’ensemble de vos identifiants de manière chiffrée.

Note : Keepass ne se contente pas de chiffrer les mots de passe, il chiffre l’ensemble des informations, que ce soit l’intitulé de l’enregistrement, le mot de passe, la description, ainsi que d’autres informations relatives à un enregistrement.

Nous passons pour cela par le menu « File » puis « New« , nous allons ensuite indiquer l’endroit où notre base de données chiffrée sera stockée et lui donner un nom :

Keepass_install_01
Création de notre coffre fort numérique au format KDBX

Nous allons ensuite devoir indiquer la façon dont notre coffre numérique sera ouvert, on peut passer par un mot de passe « Master » qui permettra d’accéder aux autres mots de passe ou alors un mot de passe + une clé ou juste une clé. Nous avons également la possibilité d’utiliser le compte Windows mais je n’ai pas encore étudié ce dernier cas de fonctionnement.

Nous pourrons ensuite gérer quelques paramètres de notre base de données Keepass, comme la gestion de la corbeille, de la compression ou encore les paramètres de chiffrement utilisés :

Keepass_install_03

Une petite note sur le champ « Key transformation » : la clé indiquée pour sceller la base de données va en faite être transformée plusieurs fois avant d’être utilisée pour le chiffrement de cette base de données. Le but est ici de déjouer les tentatives de brute force des données chiffrées. Par défaut, on voit que la clé en question va être transformée 6000 fois, plus ce nombre sera grand, plus la base de données sera résistante au brute force. Cependant, les délais d’ouverture et de sauvegarde de la base de données (de chiffrement et de déchiffrement) seront plus long si la valeur est très grande.  Le lien « 1 second delay » permet de fixer le nombre de transformation qu’il est possible d’effectuer si l’on souhaite avoir un délai de chiffrement/déchiffrement d’une seconde en fonction de l’ordinateur sur lequel est installé Keepass.

Une fois notre coffre fort numérique créé, on peut facilement ajouter des groupes, des couleurs, des icônes et des champs pour le remplir et l’organiser :

Keepass_install_04
Ajout d’une entité mots de passe

Chaque entité que l’on peut créer peut contenir un grand nombre d’information, on peut même ajouter des colonnes personnalisées pour adapter l’outil à nos besoins.

III. Cadre d’utilisation

L’outil Keepass possède un grand nombre de plugin qui permettent de l’exploiter de différentes façons et d’étendre ses possibilités, même si l’outil de base peut déjà être utilisé dans différents contextes, comme l’utilisation en local mais également l’utilisation en mode centralisé.

A. Centralisation

Lorsque l’on travaille dans une entreprise, il est avantageux d’avoir un outil de sécurisation et de partage des mots de passe. Dans le meilleur des cas, cet outil peut gérer la lecture mais aussi l’écriture simultanée, c’est ce que permet de faire Keepass, il faut pour cela étudier un peu son mode de synchronisation. On peut par exemple imaginer que la base de données (le fichier .kdbx) est sur un partage réseau accessible par un nombre restreint de personne et que ces personnes utilisent le client Keepass pour aller lire et ouvrir cette base de données via le réseau. On a alors déjà une utilisation en mode centralisé puisque plusieurs clients vont lire sur une même plate-forme l’information. Lorsque la base de données est mise à jour, Keepass se met en mode synchronisation, cela signifie qu’il recharge la base de données. Hélas, l’outil ne gère pas cela de façon dynamique (pas encore ?). Cela peut se faire va « File » puis « Synchronize » et enfin synchroniser avec l’URL ou le chemin de la base de données Keepass :

Keepass_001
On synchronise ici notre dernière version de base de données avec celle en ligne dans le cas d’une utilisation centralisée

Lorsque plusieurs personnes écrivent des informations et qu’elles finissent par enregistrer ces informations dans la base de données, Keepass commence par se synchroniser avec le fichier .kdbx afin d’avoir la dernière version de la base de données, puis y enregistre les informations modifiées ou ajoutées. Si une seconde personne enregistre sa version de base de données quelques secondes plus tard, la dernière version de la base de données va à nouveau être synchronisée avec le client de cette personne puis y enregistrer les mises à jour. Ce processus permet la mise à jour d’informations de manière quasi-simultanée :

Keepass_002
Méthodes d’écriture et de lecture de la base de données via le réseau

Une note particulière est à indiquer ici, si des mêmes champs sont modifiés en « même temps », c’est le dernier à avoir synchronisé/enregistré la base de données Keepass qui verra ses informations s’y trouver. Ce cas étant relativement rare, c’est une faiblesse plutôt secondaire, car dans la majorité des cas les champs modifiés ne sont pas les mêmes lorsque l’on travaille à plusieurs sur la base de données et tout se synchronise correctement.

B. Génération des mots de passe

Une autre fonctionnalité intéressante directement présente dans l’outil Keepass est la génération automatique de mot de passe. Nous pouvons en effet facilement générer des mots de passe ou des listes entières de mots de passe complexes via des templates déjà faites :

Keepass_003
On voit une partie du générateur de mots de passe

Ou alors construire notre propre template de génération de mot de passe correspondant à la politique de sécurité de notre entreprise (taille, caractères, complexité, etc)  :

Pour vous faciliter la transition d’une méthode plus « artisanale » à l’outil Keepass, celui-ci propose l’importation (et aussi l’exportation) de fichiers de mots de passe sous différents formats, pour les intégrer et les enregistrer dans Keepass, par exemple pour les formats CSV, TXT, XML ou encore HTML ainsi que la prise en compte automatique d’autres syntaxes d’enregistrement d’outils de gestion de mot de passe.

C. Modules supplémentaires

Comme je l’ai déjà dit précédemment, Keepass permet l’intégration de bon nombre de modules comme :

  • Keefox : Ce plugin permet l’intégration de Keepass dans la gestion des mots de passe Firefox, lorsque vous vous rendez sur une URL présente dans la base de données Keepass, Celui-ci vous demande une confirmation pour directement saisir le mot de passe et le login dans le formulaire de la page en question sans que vous ayez à le saisir. Cela nécessite bien sûr d’avoir ouvert la base de données Keepass pour prouver que vous êtes autorisé à y accéder
  • KeeCloud : Ce plugin permet de travailler directement avec des hébergeurs pour y stocker la base de données Keepass, on peut par exemple citer Amazon ou Dropbox (attention à celui que vous choisissez tout de même …)
  • KeeAgent : Permet le support d’agent SSH dans l’outil Keepass

Plus de plugins : http://keepass.info/plugins.html

Voila, nous avons fait un tour de l’outil Keepass qui est, je trouve, plutôt complet. N’hésitez pas à partager votre avis sur cet outil ou à partager ceux que vous utilisez déjà, en entreprise comme à la maison 😉

Partager :
Published inRessources

6 Comments

  1. Aguay

    Il existe une commande d’autocomplétion qui permettra d’ouvrir l’url de la page web avec le login et mot de passe. Du coup, la page s’ouvre et permet de se connecter sur le site web. C’est la commande de CTRL+V.
    Alors, pour l’utiliser correctement il faut se renseigner un peu mais une fois que c’est correctement renseigné même plus besoin de taper, ou copier/coller le mot de passe, tout est automatisé !
    PS : Il existe aussi plein de gestionnaire de mot de passe en interface web qui permet de centraliser les mots de passes. Je pense notamment à Teampass.. 🙂

  2. Ogma_Sec

    J’ai également entendu parlé de Teampass, je doit le tester quand j’aurais le temps ! 🙂
    L’utilisation de KeeFox (un plugin Keepass pour Firefox) permet d’avoir une saisie automatique dans les formulaires web enregistrés également, c’est super pratique !
    Une note intéressante aussi est que quand on double clique ou que l’on fait un CTRL+C sur une entrée pour copier le mot de passe de celle-ci dans le presse-papier, la copie en presse papier est temporaire et on peut voir sur keepass une barre de chargement qui diminue, au bout de cette barre de chargement, la copie est effacée du presse papier, plutôt pratique !
    Ça évite que l’on puisse faire un CTRL-V qui copierais le dernier contenu du presse papier pour espérer récupérer un mot de passe 😉

  3. Il existe aussi une traduction en Français ,accessible ici http://keepass.info/translations.html ,il suffit juste de récupérez le fichier contenue dans le dossier compressé et le copier dans le répertoire de Keepass.

    • Ogma_Sec

      Oui exacte, ça rend l’outil plus simple à utiliser.
      Merci pour le partage ! =)

  4. Peuh

    Testé et adopté dans un cadre collaboratif. La gestion des clés est également un point fort qui permet d’avoir les données sur un site, la clé sur un autre et le mot de passe en tête.
    Merci pour vos tuyaux d’utilisation !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *