Si KeePass peut être utilisé pour stocker les mots de passe de vos volumes chiffrés, il permet aussi parfois d'automatiser leur montage. Dans le cas de VeraCrypt, il suffit d'utiliser le plugin open source KeePassVeraCryptMount.
Comme nous l'avons évoqué dans notre dossier consacré aux gestionnaires de mot de passe, un outil open source comme KeePass a l'avantage de pouvoir être utilisé avec nombre de plugins. Après avoir analysé KeeChallenge, qui permet de protéger l'accès à votre base de mots de passe via une Yubikey, nous nous intéressons à KeePassVeraCryptMount.
Cet outil open source, dont le code est disponible sous licence GPL v2 via un dépôt Bitbucket, est une évolution d'un plugin précédent dédié à TrueCrypt : KeePassTrueCryptMount. Comme son nom l'indique, il vise à faciliter la phase de montage d'un volume chiffré, en intégrant automatiquement les éléments de sécurité, dont le mot de passe.
Préparation et installation du plugin
Passons à la pratique et la préparation de la machine. Vous devrez disposer d'une version à jour de KeePass 2.x, du plugin KeePassVeraCryptMount mais aussi de 7-Zip ou d'un logiciel permettant de décompresser les fichiers 7z. Ces éléments peuvent être téléchargés aux adresses suivantes :
Dans de guide, nous partirons du principe que vous avez déjà créé un volume chiffré avec VeraCrypt, et que vous connaissez ses éléments de sécurité (mot de passe, fichiers clefs, PIM). Si ce n'est pas encore le cas, n'hésitez pas à lire notre précédent article sur le sujet.
Installez ensuite KeePass et 7-Zip. Le plugin se récupère sous forme d'une archive 7z qui contient un répertoire. Ce dernier sera à placer dans celui dédié aux plugins de KeePass. Dans notre cas :
C:\Program Files (x86)\KeePass Password Safe 2\Plugins
Une fois le dossier copié, il n'y a rien d'autre à faire. Il faudra néanmoins vérifier que tout s'est bien passé en se rendant dans le menu Tools de KeePass puis dans Plugins.
Commencez par configurer le plugin. Rendez-vous dans le menu Tools de KeePass puis dans VeraCrypt Plugin Options... Ici, indiquez dans quel répertoire est installé VeraCrypt. Cela peut être fait via une recherche manuelle (dossier jaune) ou une recherche dans le registre de l'OS (cubes verts), la seconde option étant la plus simple. Fermez ensuite la fenêtre en cliquant sur OK.
Ajout d'une entrée et configuration pour VeraCrypt
Ajoutez alors une entrée dans KeePass (Ctrl+i), donnez-lui un nom et tapez le mot de passe de votre volume chiffré. Une fois que cela est fait, validez en cliquant sur OK et effectuez un clic droit sur l'entrée en question. Normalement, vous ne verrez aucun élément spécifique à VeraCrypt. Pressez la touche Majuscule de votre clavier, vous verrez alors un nouvel élément apparaître : Mount volume...
Cette interface permet de configurer le montage de votre volume chiffré de manière assez complète. Il sera ainsi possible d'opter pour un montage en lecture seule, comme un disque externe, avec une lettre de lecteur précise ou aléatoire, etc. Mais le premier élément à remplir est l'information sur le volume à monter.
Si celui-ci est un conteneur sous forme d'un fichier, rien de plus simple : cliquez sur le dossier jaune et rendez-vous à l'endroit où il se trouve afin de le sélectionner. Si c'est une partition ou un périphérique, ce sera un tout petit peu plus compliqué puisqu'il faudra récupérer les informations depuis VeraCrypt.
Pour cela, cliquez sur Select Device... dans l'interface principale de l'application afin d'afficher la liste des périphériques et de leurs partitions. Sélectionnez l'élément qui correspond à votre volume chiffré. Son chemin apparaitra alors dans la section Volume de l'interface. Il suffira de la copier puis de la coller dans les paramètres du plugin KeePass.
Indiquez ensuite les éléments de sécurité comme le PIM ou les fichiers clef (la liste est séparée par un « ; »). Pensez à décocher l'option Ask password pour automatiser totalement la procédure, et éventuellement à cocher l'option Open Explorer qui ouvrira le gestionnaire de fichiers une fois le volume monté.
Montage « 1-click », quid du démontage ?
Pour enregistrer vos paramètres, cliquez sur Apply. Le montage s'effectue ensuite via le bouton Mount. L'option Hide dialog next time permettra de ne pas voir cette fenêtre à chaque montage. Attention néanmoins, une fois qu'elle est cochée il est impossible de retrouver l'affichage de la fenêtre à moins de supprimer l'entrée et d'en créer une nouvelle.
Si tout s'est bien passé, le volume peut être démonté. Pour le monter à nouveau, sélectionnez l'entrée correspondante dans KeePass et demandez le montage via un clic droit puis Mount volume... (l'option apparait alors de manière automatique) ou en utilisant le raccourci clavier CTRL+M.
Mais si l'on peut automatiser le montage, est-il possible de faire de même avec le démontage ? En effet, rendre inaccessible les volumes chiffrés sur la fermeture de KeePass pourrait par exemple être un dispositif intéressant. Il est rendu possible par un second plugin open source de Frédéric Bourqui : VeraCryptAutoDismount.
Celui-ci s'installe de la même manière que le précédent, nous ne reviendrons donc pas sur la procédure. Ses paramètres sont accessibles dans le menu Tools, en cliquant sur VeraCrypt AutoDismount Plugin. Là, il faudra indiquer le chemin de VeraCrypt si ce n'est pas déjà fait.
Le plugin propose trois modes de fonctionnement lorsque la base de mots de passe est fermée : ne démonter aucun volume, démonter les volumes correspondant à certaines lettres ou démonter tous les volumes. Il est aussi possible de nettoyer le cache de mots de passe du pilote de VeraCrypt :
Commentaires (30)
#1
intéressant, même si je préfere faire le contraire (db keepass enregistrée dans un volume VC).
Pour monter mes volumes VC au démarage du PC, j utilise encore une fenetre de
http://sixdots.de/truecryptpassworddialog/en/
#2
David is on fire
" />
#3
Bah je continue la série quoi
" />
#4
#5
L’objectif, c’est que ça finisse par être pareil pour elle :p (mais ça va elle se met doucement à Signal
" />)
#6
Chéri c’est quoi ce post it sous ton clavier ?
#7
#8
Bon vu que je n’ai pas le permis, ça évite les soucis. Après, chacun gère sa vie personnelle comme il l’entend ;)
#9
Petite question (je ne sais pas si elle a déjà été posée) : allez-vous faire un tutoriel sur l’intégration de PGP/GPG à un client mail (par ex. Enigmail sur Thunderbird) ?
#10
Tant de plugins sympathiques… qui nécessitent d’installer du mono partout sur mon GNU/linux…
" />
#11
#12
C’est dommage que Keepass soit aussi moche sous Linux :( Sûrement à cause de l’émulation Mono.
J’utilise Keeweb, qui est TRES agréable à l’emploi, mais qui n’a pas tous ces plugins.
#13
Oui ;)
" />
Mais ça reste un gros morceau, donc ça arrivera un peu plus tard
#14
#15
Continuez, c’est bon on en redemande!
#16
Il peut toujours prétendre que c’est le sien… Après, mensonge ou pas?
#17
#18
#19
Oui, ça revient à chiffrer du déjà chiffré :p (mais on retrouve ça souvent, comme le chiffrement côté KP est peu “visible”.
#20
Hé ben, vous êtes à fond sur le sujet
" />
#21
#22
Ca marche si ce n’est pas une session admin?
#23
Je ne connaissais même pas ce lien entre KeePass et VeraCrypt !! Merci Nxi
" />
#24
#25
D’où l’idée d’utiliser une clef de sécurité pour ça ;) https://www.nextinpact.com/news/103288-keepass-comment-proteger-acces-avec-yubik…
#26
Pourtant le plugin n’est pas nouveau (mais noyé dans la liste des moultes plugins dont les 3⁄4 ne sont plus maintenus de Keepass
" />). J’ai découvert récemment en fait, lors de la préparation des différents éléments du dossier. Comme quoi 
" />
#27
Super , merci
#28
Ca marche si ce n’est pas une session admin?
#29
Sauf que je l’utilise aussi sur Android (là le keyfile n’est pas chiffré)
#30