J'ai été sensible assez tôt à l'importance de la sécurité des mots de passe. Aujourd'hui, plus qu'hier, on ouvre quantité de comptes sur des sites de commerce, de banque ou d'assurance, de santé. J'avais choisi le logiciel KeePassX, un coffre fort numérique protégé par un mot de passe unique, et suivi les bonnes pratiques : associer un mot de passe costaud et différent pour chaque site. Tout avait bien démarré avec de la bonne volonté, mais l'informatique des nuages et la mobilité ont progressivement compliqué les choses.
Au début, c'était simple car on avait une machine familiale dans la maison. Puis au fil des ans, j'ai acquis un portable, puis une tablette et un smartphone, et le casse-tête de la synchronisation entre les périphériques s'est posé. J'ai commencé simple (la machine familiale est la machine maître pour le fichier et des copies sont installées sur les autres périphériques) puis ça a fini par une synchronisation de la base KeePassX à travers Nextcloud, ce qui permet à n'importe quel périphérique de rajouter un mot de passe si besoin.
Enfin il s'est rajouté le problème de l'accès à ses mots de passe depuis des machines tierces (en milieu professionnel notamment). On peut ouvrir les mots de passe sur le téléphone et recopier le mot de passe dans le navigateur de la machine mais c'est pénible. Quand on est développeur, on a forcément une identité numérique (un compte GitHub, un compte StackOverflow, etc...) et on n'est pas ~~forcément~~ schizophrène donc on ne va pas en ouvrir un différent à chaque changement de poste. Du coup, j'ai ajouté la synchronisation de Mozilla Firefox dans la boucle, protégé par un master password pour partager certains identifiants liés à mon activité professionnelle en me rassurant que la référence c'est ma base KeePassX.
Le bilan, au bout de 12 ans, c'est que c'est un sacré bazar :
Cela fait beaucoup de points négatifs, il était temps de repenser tout cela et de se mettre au goût du jour. J'ai regardé un peu ce qui se fait avec quelques idées en tête :
J'ai finalement choisi BitWarden qui remplit mes critères. Le coffre-fort est hébergé sur leurs serveurs, dans le cloud Azure Microsoft pour être exact. On peut décider de l'héberger soi-même mais je doute faire mieux que des professionnels pour en sécuriser l'accès. On déverrouille l'accès au coffre-fort avec un mot de passe maître, le seul à retenir finalement ; idéalement c'est une phrase plutôt qu'un simple mot de passe car toute la sécurité repose sur lui. Et si on l'oublie, ce n'est pas la peine de le demander aux administrateurs de BitWarden car ils ne l'ont pas, il n'est pas stocké chez eux. L'avantage de BitWarden par rapport à d'autres solutions du même genre c'est aussi qu'il propose des applications pour toutes les plateformes : des extensions de navigateurs, des applications bureau et mobiles. Autre bon point, ils ont des fonctions d'import pour la plupart des solutions concurrentes.
Alors comment décider de faire confiance à BitWarden ? Ce qui compte pour moi c'est :
La confiance, c'est compliqué. Quelles que soient les garanties, il y a un moment où, en son âme et conscience, il faut se lancer ou rebrousser chemin. J'ai franchi le pas et décidé de leur confier mes mots de passe.
Premier écueil pour sortir les mots de passe de Firefox : l'extension Password Exporter (lien obsolète : https://addons.mozilla.org/en-US/firefox/addon/password-exporter) ne supporte pas Firefox 57, j'installe la version Firefox 52 ESR. D'ailleurs on annonce la version Firefox 62 ESR pour le mois d'août, ça me conforte dans l'idée que c'est le moment de s'en occuper. L'extension exporte les mots de passe dans un fichier CSV et BitWarden permet de les importer. Pour KeePass, on a un import mais comme j'ai une version KeePassx 0.4 j'ai du passer par la migration vers une version récente de KeePass avant de pouvoir importer ma base de mots de passe dans BitWarden. A ce stade, j'ai un coffre-fort avec plein de doublons entre les données de FireFox et KeePass ; bien fait pour moi, le gros ménage commence.
Je désactive la mémorisation des identifiants de Firefox et je vide les identifiants enregistrés puis j'installe l'extension BitWarden pour Firefox. On ouvre le coffre-fort en entrant son méga mot de passe.
On peut paramétrer la fermeture du coffre-fort. A la maison, on laissera le coffre-fort ouvert jusqu'à la fermeture du navigateur ; au travail on optera pour une fermeture automatique sur inactivité, au bout de 15 minutes. Le principal intérêt d'avoir un gestionnaire de mots de passe couplé au navigateur c'est le remplissage des formulaires pour ne plus faire de copier-coller de mots de passe. L'icône de BitWarden change quand un mot de passe est disponible pour un site et il suffit de le sélectionner pour remplir le formulaire.
J'ai terminé ma bascule vers BitWarden depuis une semaine ; je me sers de l'extension Firefox et de l'accès Web, je n'ai installé aucune application native sur mes périphériques. Par sécurité, j'ai prévu une sauvegarde régulière et manuelle vers un support physique, c'est à dire un export des mots de passe vers une clef USB qui reste dans un coffre (non numérique celui-ci)... au cas où BitWarden disparaitrait ou bien si je deviens amnésique ;-)
Je paye Lastpass donc je ne me considère pas comme le produit ;)
BitWarden propose aussi une méthode de double authentification dans sa version de base mais je ne l'ai pas utilisé. Dans une version Premium , ils proposent la double authentification physique (YubiKey, Fido U2F).
La version Premium est une version personnelle avec plus de fonctionnalités à 10 euro par an. Une version Famille (à 1 euro par mois) permet de partager une partie du coffre-fort entre plusieurs personnes. Ensuite il y a des versions Business pour les entreprises. Ce sont ces abonnements payants qui permettent de financer les hébergements et le développement. C'est effectivement important de connaitre le modèle économique pour s'assurer qu'on n'est pas le cochon de la ferme
la base KeePassX est physiquement sur mon téléphone : même si c’est chiffré sérieusement, combien de temps faudrait-il à quelqu’un de motivé et équipé pour la craquer en cas de vol ?
C'est de l'AES-256, c'est tout de même considéré comme suffisant pour les documents classés « TOP SECRET » par l'administration américaine. C'est une sacrée motivation et un sacré équipement qu'il faut pour casser ça (en moins de quelques décennies).
En terme de motivation justement, attaquer les serveurs bitwarden ou lastpass ou tout ce que tu veut d'autre est amplement plus intéressant et ne demande pas un vol physique de ton équipement (ce qui représente encore un moyen qui n'est pas à la porté du premier venu).
La question c'est donc est-ce que tu craint de l’espionnage (étatique ou industriel) ? Au quel cas oui, on peut te voler ton téléphone et avoir les ressources suffisantes pour casser ton chiffrement AES ou est-ce que c'est pour le tout venant au quel cas les crackers seront bien plus intéressés par s'attaquer à une serveur contenant une énorme quantité de mot de passe quitte à mettre du temps à tout craquer.
Le vol du téléphone n'est effectivement pas critique mais savoir que la base est dans la nature me tracasserait quand même... Alors "Espionnage étatique" : non ! ils n'ont pas besoin de mon compte, ils peuvent aller directement à la source et demander accès au site lui-même :D
A tout prendre, le risque qui m'inquiète un peu serait un déni de service de BitWarden car le site est attaqué.
Sinon tu as https://buttercup.pw/
Le meilleure conseille que je puisse te donner est d'installer keypassxc uniquement sur ton pc personnel et de ne pas l'installer sur d'autres support.
As-tu vraiment besoin d'avoir accès à toute ta base de données de mot de passe sur ta liseuse et ton téléphone ? Le temps passé à l'utiliser vaut-il le risque encouru ?
D'autant plus quand on sait à quel point on ne peut pas faire confiance aux téléphones
Bonjour, merci pour cet article intéressant. J'utilise pour le pro et le perso Keepass (Windows/Linux), keefox pour Firefoxet keepass2android. C'est synchroniser avec mon serveur Nextcloud. Je trouve ce fonctionnement satisfaisant. En outre j'ai déjà utilisé la fonctionnalité de recherche des doublons dans keepass.
Petit podcast sur le sujet et pour présenter Secret-in.me [https://www.nolimitsecu.fr/secret-in-me/ secret-in.me - NoLimitSecu]
Toutes ces solutions restent des solutions qui n'ont été validées par aucun organisme sérieux.
Personnellement, si le produit n'est pas certifié par l'ANSSI, je passe mon chemin.
@Guillaume sur le principe je suis d'accord avec toi. Mais autant ANSSI est très à jour sur les guides et les bonnes pratiques, autant ils sont à la traîne sur les logiciels certifiés : une version de Keepass 2011 et de TrueCrypt 2008... Ca ne me rassure pas spécialement, rien ne dit que le produit n'est pas parti à vau-l'eau, techniquement ou éthiquement. Alors BitWarden n'est pas certifié, juste reconnu par ses utilisateurs, mais la partie serveur est Open Source et je compte sur l'audit des devs (pas ceux de BitWarden) pour alerter en cas de découverte de faille ou pire.
Finalement, le problème c'est la confiance et l'estimation du risque. J'ai longtemps utilisé Keepass avec de la synchronisation archaïque entre mes systèmes. Qu'est-ce qui est le plus risqué ?
Bien sûr, je pourrais, comme conseillé par certains, jouer la parano à fond et n'accéder à mes mots de passe que depuis mon PC avec un KeePass local. Mais on est en 2018, les usages et les besoins évoluent, la mobilité est la norme.
Dans le même genre il y a LastPass (appartenant à LogMeIn), avec la possibilité d'activer la double authentification avec l'application mobile. C'est multiplateforme et simple d'utilisation. Par contre pas de possibilité d'héberger la solution sur son serveur. Seule hic quand c'est gratuit c'est vous le produit ^^