Comment débuter avec KeePass ?

La gestion des mots de passe est un enjeu de sécurité. Nous vous proposons donc un tutoriel pour KeePass, seul gestionnaire de mots de passe adoubé par l’ANSSI à ce jour. Il a la bonne idée d’être libre (licence GPL v2) et gratuit.

Si nous insistons autant sur les gestionnaires, c’est qu’ils simplifient largement le stockage et l’utilisation des mots de passe. Du moins, tant que l’on applique les recommandations sur leur création, car si vous utilisez le même mot sur tous les comptes, on peut difficilement faire plus simple… et plus dangereux.

• Mais au fait, pourquoi un gestionnaire de mots de passe ?

Et pour cause : il suffit que des pirates devinent le mot de passe une fois ou que l’un des services ait une fuite de données pour que tous vos comptes deviennent accessibles. Les recommandations sont donc d’utiliser des mots de passe d’au moins 12 caractères comprenant des majuscules, minuscules, chiffres et caractères spéciaux. Il faut également en avoir un différent pour chaque accès que l’on souhaite protéger.

C’est là que les gestionnaires entrent en jeu : ils créent des mots de passe forts et aléatoires selon les critères définis, les stockent et les ressortent quand besoin. Ils sont protégés par un mot de passe maitre, qui doit être robuste et que vous devez retenir (et surtout ne jamais réutiliser). Même si les fonctions varient d’une solution à une autre (et entre les formules gratuites et payantes de certaines), ce tronc est commun à toutes.

KeePass faisait partie des gestionnaires que nous avions testés dans une série d’articles il y a quelques années. Ce petit logiciel est connu pour sa robustesse, sa grande légèreté, et sa certification par l’ANSSI. Il n’est pas aussi simple à prendre en main qu’une solution intégrée et synchronisée comme 1Password, BitWarden ou Dashlane, mais il a les préférences des personnes voulant contrôler finement ce qui est fait de leurs identifiants et de leurs données.

On vous explique comment l’utiliser.

Installation et mise en route

Pour installer KeePass, on se dirige simplement vers le site officiel et on télécharge l’exécutable pour son système. Notez que le logiciel est développé en C# sur une base .NET. On peut l’exécuter sur macOS et n’importe quelle distribution Linux, à condition que Mono soit installé. Nous reviendrons sur ce point en fin d’article. Ici, nous utilisons KeePass sur Windows, mais les fonctions sont strictement identiques pour les autres plateformes.

Une fois l’installation terminée, on lance l’application, qui s’affiche vide. La version d’origine est en anglais. Pour la passer en français, il faut aller dans View > Change language. Cliquez en bas à gauche de la fenêtre sur « Get More Languages », ce qui ouvre une page web avec une liste de langues. Récupérez le fichier qui vous intéresse. Ensuite, toujours dans la même fenêtre, cliquez sur « Open Folder ». Dans le dossier ouvert, déplacez-y simplement le fichier contenu dans l’archive téléchargée. Changer la langue provoque un redémarrage de KeePass.

Passons ensuite à la création de la base de données. Cliquez sur Fichier > Nouveau. Une fenêtre apparaît vous indiquant ce qui va se passer : vos données seront enregistrées dans une base de données au format KeePass, qui sera stockée dans un emplacement que vous choisirez. Vous vous en doutez, ce fichier sera très précieux, il faut donc s’assurer qu’il est non seulement stocké en lieu sûr, mais également que vous en ferez régulièrement une ou plusieurs copies de sauvegarde.

Vient ensuite le choix du mot de passe. De la même manière que sur un service concurrent, le choix de cette clé est primordial. Elle doit être longue, complexe et intégrer tous les conseils mentionnés plus haut. Elle va servir à chiffrer la base de données. Si l’on clique sur « Afficher les options de l’expert », on obtient deux options pouvant servir à renforcer la sécurité de la base. La première permet d’ajouter un fichier, qui sera systématiquement nécessaire au déverrouillage. La sécurité augmente, mais autant le savoir : si vous perdez le fichier ou qu’il est modifié, il ne sera plus accepté.

L’autre option lie le compte Windows à la clé. Cela signifie que l’ouverture de la base ne pourra se faire que depuis ce compte, sur cet ordinateur. KeePass prévient toutefois du danger et fournit un lien pour de plus amples explications. Si le compte devient inaccessible pour une raison ou une autre, la base deviendra inexploitable. Et il ne s’agira pas simplement de recréer un compte avec les mêmes identifiant et mot de passe. Il faut pouvoir restaurer une sauvegarde complète, comprenant le SID. Ajoutons que si vous comptez synchroniser la base pour l’exploiter sur d’autres appareils (ce qui est probablement le cas), il vaut mieux ne pas cocher cette option, qui bloquera cette capacité.

Une fois validée, la fenêtre laisse place à une autre, qui invite à nommer la base. On peut aussi lui ajouter un descriptif, pratique si on compte en utiliser plusieurs. Les onglets suivants permettent de paramétrer plus finement la base. On peut par exemple influer sur le nombre d’itérations pour la dérivation de la clé (via la fonction AES-KDF). Ce chiffre permet d’ajouter une charge de travail conséquente si la base devait être récupérée et attaquée.

La valeur est par défaut de 60 000. On peut l’augmenter sans problème, ce qui aura pour conséquence de renforcer encore la sécurité. Attention cependant, car cela signifie également des calculs plus intensifs pour l’appareil local. Le bouton « Test » permet justement de tester le résultat en fonction de la valeur. Une solution simple consiste à cliquer sur « Délai d’une seconde ». KeePass calcule alors le nombre d’itérations qui peuvent être calculées pendant cet intervalle, qui représente aussi le temps qu’il faudra pour charger la base ou sauvegarder les modifications. La valeur obtenue dépend de la puissance de la machine.

Nous vous conseillons de ne pas toucher aux autres valeurs par défaut, qui conviendront à la plupart des scénarios d’utilisation. À moins, bien sûr, que vous ayez des besoins spécifiques et que vous sachiez ce que vous faites.

Importer ses données et remplir sa base

Voici une étape probablement capitale, car vous utilisez déjà probablement un gestionnaire, même s’il s’agit d’un service inclus dans un navigateur. Si vous vous servez d’un concurrent comme BitWarden, LastPass, 1Password ou encore Dashlane, tous proposent une fonction d’export des données. KeePass prend en charge de nombreux formats.

Dans l’exemple ci-dessus, on peut voir l’export des données depuis BitWarden (via Paramètres > Exporter le coffre) vers un fichier JSON et l’import dans KeePass (Fichier > Importer). Dans le cas présent, les catégories sont prises en charge. Si vous passez par un CSV, ce ne sera pas le cas.

En examinant la liste dans la fenêtre d’importation, on se rend compte que KeePass supporte de nombreux scénarios. Dans le cas d’un navigateur, seuls Chrome et Firefox sont officiellement pris en compte, ainsi que l’extension Password Exporter. Cependant, plus haut dans la liste, KeePass propose un « Importateur CSV générique » que l’on peut utiliser pour d’autres données.

Nous avons fait le test avec Edge. Comme on peut le voir dans la capture, il a fallu modifier un peu quelques paramètres dans les options d’importation, car chaque programme peut avoir sa manière de remplir le CSV. Dans le cas du navigateur de Microsoft, les données sont affichées dans cet ordre : titre, Adresse, Nom d’utilisateur, Mot de passe. Ce n’était pas l’ordre par défaut proposé par KeePass, nous l’avons donc modifié dans l’onglet Structure. Il faudra donc adapter ce tri en fonction de la disposition des informations, que KeePass affiche de manière brute au début.

Notez que KeePass peut lui-même exporter ses données dans plusieurs formats, comme le CSV, le HTML ou encore le XML. Il peut même créer un fichier HTML dédié à Firefox.

Concernant le remplissage de la base, l’ajout d’une nouvelle entrée se fait soit par le menu Entrée > Ajouter une entrée, soit par le bouton jaune et vert dans la barre d’outils, soit par le raccourci clavier Ctrl + I. On est alors invité à indiquer un titre, un nom d’utilisateur, un mot de passe, une adresse ainsi qu’éventuellement quelques remarques.

Le mot de passe généré par défaut mesure 20 caractères, mais n’intègre que des majuscules et minuscules. Pour modifier la génération de mots de passe, cliquez sur la petite icône en face de Confirmation. Dans le panneau, nous vous conseillons les cases Chiffres, Spéciaux et Parenthèses. Il est même possible d’ajouter certains caractères ne faisant pas partie de ces catégories. On peut également modifier la taille du mot de passe généré.

Dès que les paramètres ont été acceptés, le mot généré dans la nouvelle entrée est automatiquement renouvelé. Surtout, KeePass garde ces réglages en mémoire pour les prochaines créations d’entrées. Après validation, la nouvelle entrée est simplement ajoutée à la base.

• Phrases de passe : l'ANSSI passe en mode 2.0
• Phrases de passe : la CNIL passe elle aussi en mode 2.0

Maniement au quotidien

Si l’on n’utilise réellement que KeePass, l’utilisation au quotidien peut paraître un peu rigide. L’application ne s’intègre pas dans les navigateurs et il n’y a donc pas remplissage automatique des champs sur les formulaires d’identification. Il n’y a pas non plus suggestion de mots de passe pendant les inscriptions, et ces dernières ne sont pas détectées par KeePass pour proposer de les enregistrer.

L’utilisation classique est de double-cliquer sur le nom d’utilisateur ou le mot de passe pour l’envoyer dans le presse-papier, et ainsi le coller dans le formulaire qui nous intéresse. Il y a d’ailleurs une sécurité propre à KeePass sur ce point : les données ne restent que 12 secondes (par défaut) en mémoire, après quoi elles sont supprimées.

Cependant, le logiciel fournit un autre moyen, plus pratique : un raccourci clavier. Allez dans les options, puis dans l’onglet Intégration. Là, vous verrez une ligne nommée « Saisie automatique de l’entrée sélectionnée ». Définissez un raccourci, qui servira à faire exactement cela : la ligne sélectionnée déversera dans le formulaire l’identifiant et le mot de passe correspondant, en plus de valider la connexion.

Vous aurez peut-être remarqué dans ce panneau une ligne « Saisie automatique globale », accompagnée du raccourci Ctrl + Alt + A. Si nous n’en avons pas parlé en premier, c’est parce que ce raccourci ne fonctionne pas toujours. En fonction des sites, le raccourci accomplit parfois son devoir, parfois non. En revanche, la saisie de l’entrée sélectionne fait mouche à chaque fois… sauf dans un cas. Certains sites ont depuis quelque temps la fâcheuse habitude de demander d’abord l’identifiant, puis seulement après le mot de passe. Le processus provoque plusieurs utilisations du gestionnaire de mots de passe, quel qu’il soit.

Deux autres raccourcis se révèlent pratiques au quotidien : Ctrl + Alt + K pour afficher KeePass au premier plan, et Esc pour verrouiller le logiciel, nécessitant alors d’entrée la clé maître pour accéder à nouveau aux informations. Tous les raccourcis clavier peuvent être modifiés.

Dans l’onglet Avancé des options, on peut aussi modifier le comportement de KeePass, et certaines sont très utiles. On peut par exemple imposer à l’application de toujours démarrer en mode réduit et verrouillé, enregistrer automatiquement la base de données à la fermeture,  ou encore chercher automatiquement le fichier clé sur les supports amovibles. Dans l’onglet Intégration, on peut demander à KeePass de s’ouvrir automatiquement avec la session Windows.

Quant aux onglets Interface 1 et 2, ils permettent de personnaliser (légèrement) le visage de l’application, et de modifier ses réactions dans certains cas, comme l’envoi en zone de notification plutôt que dans la barre des tâches quand on réduit la fenêtre, basculer automatiquement KeePass en arrière-plan après double-clic sur une ligne pour en copier les données dans le presse-papiers, ou encore réduire l’application plutôt que la fermer quand on clique sur la croix de fermeture.

Bon, et sur environnement mobile ?

Pour la plupart des gens, la possibilité de pouvoir ressortir ses mots de passe en environnement mobile n’est pas une option. Et pour cause : créer un mot de passe aléatoire et fort pour chaque compte, chaque service et chaque application est un élément crucial de la sécurité, mais qui tombe à plat si l’on ne peut pas y accéder sur son smartphone, au moins de manière pratique. Il faut éviter le scénario où il faudrait entrer le mot de passe à la main en le lisant en même temps sur l’ordinateur.

KeePass n’étant pas une application synchronisée, la base est enregistrée localement. Il appartient donc à l’utilisateur de trouver un moyen. La solution la plus évidente serait d’enregistrer la base sur un cloud quelconque, qui ferait alors le lien entre tous les appareils. Fonctionnellement, la solution est viable et facile. Tout dépend cependant de la confiance que vous portez au cloud en question. La base est chiffrée, mais les communications de la plupart des drives ne sont pas chiffrées de bout en bout, signifiant que l’éditeur concerné a accès aux données chiffrées. À moins de se tourner vers une solution chiffrée de bout en bout, telle que Proton Drive.

Les autres solutions tiennent presque toutes à l’auto-hébergement. Vous avez par exemple un serveur ou un NAS connecté à internet ? C’est un bon moyen de rendre votre base KeePass accessible à vos autres appareils. C’est d’ailleurs le fonctionnement de la version auto-hébergée de BitWarden. Dans tous les cas, mieux vaut s’assurer que la sécurité de cet appareil est pleinement assurée, car les données partagées seront alors très sensibles. Même si, encore une fois, la base est protégée par un chiffrement fort.

L’utilisation mobile dépend également de l’application utilisée. Car oui, il n’y a pas d’application KeePass officielle. En revanche, puisque son code est open source et qu’il existe une bibliothèque, de nombreuses versions mobiles sont apparues, tant sur Android qu’iOS. Ici, chacun devra son idée entre les fonctions proposées, l’interface et le reste. Un point spécifique mérite cependant votre attention : vérifier que l’application est capable d’injecter les identifiants dans les autres applications et les formulaires web. Certaines ne le font pas et proposent un accès simple aux informations, qu’il faudra alors copier-coller. La plupart le proposent, mais beaucoup le réservent à leur abonnement payant.

Les extensions et plugins

De la même manière, il n’existe pas d’extensions officielles pour les navigateurs. En revanche, on trouve facilement des extensions tierces capables de faire le lien avec le logiciel. Nous vous conseillons de prendre le temps de les examiner et de trouver celle qu’il vous faut, car cette extension, comme l’application mobile, simplifiera largement votre utilisation au quotidien, en évitant les allers et retour dans le logiciel. Point important, toutes ont besoin du plugin KeePassHttp pour fonctionner.

Les plugins, justement, parlons-en. Ils sont nombreux, très nombreux même, et couvrent une grande variété de scénarios d’utilisation. Une page sur le site officiel de KeePass permet de se rendre compte de l’ampleur : il y a des plugins pour tout et n’importe quoi, et il y a des chances que vous trouviez précisément ce que vous cherchez, si toutefois vous êtes suffisamment à l’aise en anglais, aucun descriptif n’étant en français.

Ces plugins sont l’un des plus gros arguments de KeePass, comme ils l’ont été pendant longtemps pour Firefox, avant que tous les navigateurs s’y mettent. Parmi cette montagne de plugins, on trouve des capacités comme des imports depuis de nombreuses autres sources, la possibilité d’intercepter des adresses dans le navigateur, l’exposition de la base via une adresse locale, l’ouverture de volumes BitLocker, la gestion des thèmes, des interfaces pour certains systèmes d’authentification spécifiques comme celui de SAP, la gestion des clés de sécurité par Bluetooth, le montage/démontage automatique de volumes TrueCrypt ou VeraCrypt, etc.

Un mot enfin sur les logiciels alternatifs. Le plus connu est sans conteste KeePassXC, qui a deux gros avantages. D’abord, une interface nettement plus plaisante à l’œil car moins austère. Ensuite, son code est natif et n’a donc pas besoin de .NET, ce qui est valable également pour les autres plateformes. Il aura donc le bénéfice des performances – même si KeePass reste un logiciel très léger – et de ne pas réclamer de composant additionnel (Mono). KeePassXC ne supporte cependant pas les plugins de KeePass, mais l’équipe de développement revendique nombre de fonctions justement apportées par les plugins. Autre différence : la certification de l’ANSSI ne vaut que pour KeePass, pas pour ses « rejetons ».

Cet article a été écrit de manière à être le plus neutre possible, sans renvoyer vers des solutions spécifiques. Il s’agit avant tout de KeePass, même si KeePassXC est mis en avant, car sa popularité est aussi grande que le logiciel dont il est un fork lointain. N’hésitez donc pas à indiquer dans les commentaires la manière dont vous avez complété votre utilisation quotidienne de KeePass.