Les petits utilitaires : 1– Le gestionnaire de mots de passe

Il y a toute une série de petits utilitaires indispensables avec lesquels je ne suis pas satisfait. Je me dis qu’en mettant ici mon usage, peut-être que ça ouvrira des portes.

Bref, j’aimerais un logiciel pour gérer mes mots de passe et les stocker de façon sécurisée.

  • Je veux y avoir accès aussi bien sur Mac, que sur Linux et sur mon mobile Android, y compris hors-ligne. Ce serait top s’il y avait un client web mais ce n’est pas indispensable.
  • Le stockage et l’accès doivent être sécurisées. Rien ne doit être accessible sans mot de passe maître, et ce dernier ne doit être stocké nul part.
  • L’app mobile doit pouvoir avoir un verrouillage soft (via un pin, un schéma ou une empreinte digitale) quand le téléphone passe en veille (ou à défaut quand je bascule sur une autre app).
  • Tous les clients (app mobile, desktop, navigateur) doivent de reverrouiller au bout d’un certain temps d’activité et nécessiter la saisie du mot de passe maître pour être réouverts.
  • Je dois avoir une extension du navigateur pour auto-compléter les formulaires de login, autant sur desktop que sur mobile. Idéalement l’auto-complétion n’injecte pas plein de trucs automatiquement dans chaque page web et n’agit que sur ma demande via un bouton dans la barre d’outil.
  • La même extension du navigateur doit savoir créer une entrée dans les mots de passe enregistrés à partir d’un formulaire de login sur une page web.
  • Il existe un moyen simple et rapide de faire une recherche dans la base de mots de passe.
  • L’outil embarque un générateur de mots de passe.
  • Ça serait top de pouvoir partager des mots de passe, en lecture et/ou en écriture, à une personne ou à un groupe.

Parce que je suis geek :

  • Il existe un accès en ligne de commande ou un moyen de bidouiller l’ensemble
  • Il est possible de sauvegarder facilement et automatiquement ma base de mots de passe quelque part (que tout ne repose pas sur un prestataire)
  • Le fonctionnement (API, chiffrement) est documenté, idéalement open source
  • Ça serait top que ça gère aussi directement l’agent pour mes clefs SSH
Dashlane

J’ai exploré par mal de choses. Pour l’instant Dashlane coche la plupart des cases mais l’extension navigateur me gêne. Il s’agit d’une coquille vide qui s’occupe des auto-completion et qui interagit avec l’application Dashlane native sur le système.

Je trouvais le système assez smart mais en réalité non seulement je ne vois pas ce que ça m’apporte mais je vois même en quoi ça peut diminuer légèrement la sécurité.

Dans tous les cas, l’injection de scripts dans toutes les pages à formulaire est franchement gênante. Firefox me signalait régulièrement des ralentissement dû à Dashlane mais en plus l’UX de gestion de l’auto-completion me gêne plus souvent qu’elle me facilite la vie, surtout sur un petit écran mobile (sans compter que sur mobile ça m’oblige à utiliser Chrome plutôt que Firefox).

Enfin, ça veut dire faire confiance. J’ai confiance dans la crypto de base mais quand j’ai posé des questions sur les interactions entre le navigateur et l’application native j’ai eu des demies réponses sans détails techniques. J’ai l’impression que cette partie de l’architecture repose plutôt sur l’obscurité. Non seulement ça me gêne, mais je doute encore plus de voir arriver autre chose que ce que l’équipe a prévu et a le temps de faire.

Bref, beaucoup de bons points mais j’ai peur que ça ne coche jamais les cases restantes.

Enpass

Ça couvre beaucoup moins de choses mais j’aime bien l’idée de fichiers qu’on peut synchroniser sans serveur via un disque en ligne quelconque genre Dropbox ou Google Drive. Ça me permet aussi de gérer les sauvegardes tout en me rassurant sur la pérennité.

Passbolt

J’en ai encore moins de cases cochées mais là j’ai de l’opensource, donc quitte à bidouiller ça peut être que ça peut faire une base de départ ?

Là où je suis étonné c’est de ne pas voir plus de projets open source que ça, et pas plus aboutis. Le cœur logiciel est pourtant assez facilement accessible pour deux ou trois dev motivés et le besoin est général au moins au niveau des geeks.

8 réponses sur “Les petits utilitaires : 1– Le gestionnaire de mots de passe”

  1. Du coup on me pointe https://passwork.me/
    Open source mais très orienté « accès via interface web ». Vu que ça parle de tracer qui accède à quel mot de passe, j’imagine même que les API ne seront pas adaptées pour un client off-line, mais ça peut être une meilleure base que Passbolt pour bidouiller.

  2. Autres open source :
    https://keeweb.info/ (interface web autour d’un fichier type keepass synchronisé par Dropbox ou similaire)
    http://teampass.net/ (web, développeur unique, interface des années 2000)
    https://www.clickstudios.com.au/ (web aussi, très orienté entreprise)
    https://www.passwordstore.org/ (lignes de commande par dessus des architectures de fichiers, git et gpg)
    https://github.com/nextcloud/passman (web, outil de nextcloud)
    https://bitwarden.com/

  3. Salut,

    KeePass devrait pouvoir couvrir un bonne partie de tes besoins :
    * il est open-source, dispose d’application Windows (KeePass), Linux (KeePass sur Mono), Mac (KeePass X) et android (KeePassDroid).
    * Il ne dépend pas d’un service web, c’est un fichier chiffré à déposer sur une dropbox, OneDrive ou autre. Ca fonctionne en offline.
    * Il dispose d’un plugin navigateur pas trop intrusif sur Chrome et Firefox (KeeFox et chromeIPass) pour remplir les mots de passe (si on l’y autorise) et créer des nouvelles entrées.
    * Il est sécurisé (audité par l’ANSSI) et propose de la génération de mots de passe.
    * Avec un extension ça gère les clés SSH (en répondant au protocole d’agent SSH).

    Les points qu’il ne couvre pas :
    * Le partage : tout est chiffré avec une clé maitre, pour partager c’est tout un fichier en partageant le mot de passe maitre.
    * Pas de verrouillage « soft » c’est uniquement avec le mot de passe maitre, même sur mobile (en tout cas avec KeePassDroid)
    * Je n’ai jamais testé l’accès en ligne de commande, je ne sais pas si ça existe.

    Je l’utilise depuis plusieurs années et j’en suis content.

    1. Mais pas de synchronisation entre les différents appareils. Le coup du dropbox ne fonctionnera pas automatiquement sur mobile. C’est un pré-requis pour moi

      1. En fait il est possible de synchroniser KeepassDroid (sur Android) et KeepassX 2 (sur PC). En effet, il suffit de trouver un outil de synchronisation de fichier type Dropbox qui supporte les accès webdav (comme Owncloud ou Seafile). Ensuite, sur votre ordinateur vous choisissez de mettre votre base de donnée Keepass dans le dossier synchronisé avec votre « cloud ». Dans votre KeepassDroid, vous mettez l’URL webdav qui correspond à ce même fichier. La synchronisation se fera dans les deux sens.

  4. Pour ma part, j’ai opté pour une approche différente et utilise depuis quelques mois un périphérique dédié à cet usage : https://www.themooltipass.com/

    Évidemment, c’est à transporter avec soit. C’est reconnu comme un clavier, donc ça fonctionne sur tous les équipements ayant un port USB (téléphones compris). Actuellement, sur mobile, il n’est pas possible via l’OS d’avoir le même comportement que l’extension de navigateur ; mais la dernière version d’Android le permet et c’est déjà en cours de développement de leur côté.

    Le seul point qu’il ne valide pas c’est le partage de mots de passe avec d’autres personnes. L’idée que les concepteurs ont retenus pour ça, c’est qu’un groupe d’utilisateur utilise un même mooltipass, mais chaque utilisateur a sa propre carte à puce (celle-ci servant uniquement à l’authentification, elle ne contient pas les mots de passes).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *