Logo-partie-tournante.webp

Retour sur KeepassXC: Coffre fort numérique

Sommaire

Cet article n’émane pas d’une intervention. Je souhaitais avoir sur mon smartphone et mon PC, toujours disponible, un coffre fort d’identifiants, d’informations et de documents complètement sécurisé et qui se synchronise; Un coffre fort aussi qui s’appuie sur un code source librement consultable et sur un système non centralisé (serveur) susceptible être piraté. Enfin, une solution inviolable, la base de données étant un simple fichier fortement chiffré. J’ai trouvé cet outil avec Keepass sauf que l’utilitaire en question souffrait de quelques limitations qu’on ne retrouve plus chez son « successeur »: KeepassXC ! Cet article est une sorte de Keepass VS KeepassXC.

Le contexte

Comme Keepass; KeepassXC n’est pas simplement qu’un moyen de retrouver ses identifiants de sites internet, je m’en sert aussi pour avoir un accès immédiat à plein d’autres choses, même sans être à domicile; sur mon téléphone: Informations bancaires diverses, paramètres serveur SMTP/POP/IMAP, clefs de licence de mes logiciels et systèmes d’exploitation. Mais aussi divers documents confidentiels bureautiques (car oui on peut enregistrer des fichiers dans KeepassXC).

Pour la synchro PC/Tel je place le fichier de base de donnée dans un espace cloud OneDrive (2€/mois TTC pour 100 GO). Evidemment un Google Drive, Dropbox ou autre est possible du moment que le logiciel de cloud space existe sur PC et Smartphone. KeepassXC est installé sur mon PC, et Keepass2Android sur mon Xiaomi Android. 

A quoi ressemble cette base de données? C’est juste un fichier avec l’extension .kbdx fortement chiffré donc si quelqu’un le subtilise il ne pourra rien en faire. Ci-dessous capture de la base de donnée placée sur mon OneDrive

Les conflits de synchronisation c'est fini

Avez-vous déjà modifié un document bureautique en même temps que vos collaborateurs sur un espace cloud? Vous aurez alors remarqué que -le service Cloud ne sachant quelle version garder- Un nouveau document de même nom suivi entre autres du mot « Conflict » est créé. Avec Keepass tout court, le même problème apparaissait lorsqu’on ouvrait à la fois le fichier kbdx sur PC et sur Smartphone. mais avec KeepassXC c’est terminé!

Encore mieux: Lors d’une édition simultanée entre PC et PC ou PC/Smartphone, les modifications sont synchronisables à la volée. Sur PC: L’option à activer (ou à vérifier qu’elle l’est) est dans le menu de KeepassXC> Outils> Paramètres> onglet Général . Vérifier que l’option suivante est bien cochée « Recharger automatiquement la base de données lorsqu’elle est modifiée de l’extérieur« .  Choisissez ensuite les autres options comme visibles sur l’image ci-dessous.

La photo suivante prise de mon téléphone montre les options considérées; Oui Photo car les captures d’écran de KeepassXC sont impossibles étant donné que l’appli dispose d’une sécurité qui l’interdit:

Voilà pour la partie PC. Du côté du smartphone sur lequel j’ai installé et configuré mon compte OneDrive, j’installe aussi Keepass2Android, j’ouvre la base de données et me rend sur les paramètres (3 petits points en haut à droite)> Applis> Gestion des fichiers. et coche « Rechercher des modifications » . 

L'extension de navigateur Web sur PC

Au lieu d’utiliser l’extension de manière classique -Rentrer automatiquement les identifiants dans les bons champs- Je m’en sert pour mettre à jour la base de données de KeepassXC afin de centraliser mes informations confidentielles et consulter mes informations sur une interface plus ergonomique que celle du navigateur.

L’extension KeepassXC-Browser est présente dans le magasin d’extension de votre navigateur préféré. Une fois installé dans le navigateur Web, Clic sur l’icône de réglage des extensions> Option d’extension> Bases de données connectées. Clic sur Connecter et renseigner le nom de votre PC (aucun impératif de nommage). Puis clic bien entendu sur « Enregistrer et permettre l’accès« .

Puisqu’on y est, aller sur Général> et cocher Toujours demander où enregistrer les nouvelles informations d’identification. Sans ça l’extension va enregistrer à la racine du listing de KeepassXC; Ce qui est embêtant si -comme moi- vous avez créé des groupes (Ex: Banques, Sites Web; etc). Ainsi une petite fenêtre vous proposera dans quel groupe placer l’information.

Désormais, lorsque vous vous identifierez sur un nouveau site, un bandeau généré par l’extension s’ouvrira pour proposer de mémoriser les identifiants dans KeepassXC. Même si vous utilisez les fonctions du navigateur pour vous authentifier vous savez que KeepassXC possède et centralise tous vos sésames, vos docs et infos confidentiels hors logiciels de surf, sans devoir ouvrir à part KeepassXC pour taper les infos. 

Réglages de KeepassXC

Ouvrir KeepassXC et la base de données, puis Outils> Paramètres> Intégration aux navigateurs. Cocher Activer l’intégration; Choisir son navigateur (pour moi c’est Edge). Cocher le reste comme suit:

Enregistrement des fichiers confidentiels

En tant que technicien informatique itinérant j’ai pas mal de documents bureautiques qui détaillent -Par exemple- La configuration de sauvegarde des PC d’une société (à quelle heure elle s’enclenche pour chaque PC, quels logiciels sont utilisés, clefs de licence, date achat vers quel stockage, etc.). J’ai besoin que ces documents soient disponibles quand je vais chez un client tout en étant indéchiffrables si mon PC portable est subtilisé.

Dans KeepassXC, je créé une nouvelle entrée, je choisit un titre puis onglet Avancé depuis le panneau vertical de gauche> Fichier joint et bouton Ajouter

Ce qui est génial c’est que la manipulation du document se fait de façon transparente: Nul besoin d’exporter puis réimporter le document. Par contre l’intégration sur Smartphone avec l’app Keepass2Droid n’est pas encore au point.

Partager des informations

Imaginons que vous travaillez avec des collaborateurs et que vous voulez co-éditer des informations sensibles tels que des identifiants et documents confidentiels, mais sans devoir partager toute votre base de donnée KeepassXC. L’option KeeShare le permet, en rendant possible le partage d’un seul ou plusieurs groupes avec un mot de passe de verrouillage différent de votre base d’origine. Vous pouvez autoriser la synchronisation comme la lecture seule. 

Depuis le PC « maitre », ouvrir KeepassXC puis dans le menu Outils> Paramètres> Onglet KeeShare et cocher Permettre l’importation et l’exportation. Clic OK pour revenir à la liste des entrées. Ensuite clic droit sur le groupe que l’on veut partager (ne fonctionne pas sur une entrée), puis Modifier le groupe, clic sur KeeShare et choisir le mode de partage dans Type

  • Importer = Vous pourrez modifier les entrées mais elles ne seront visibles que par vous-même, et si un collaborateur les modifient ce sont ses changements qui seront enregistrés.
  • Exporter = Chaque collaborateur aura sa propre version de la base qu’il pourra modifier mais sans que cela se répercute sur les autres; Un peu comme si chacun avait un fichier Word récupéré par copier/coller :  chacun peut en faire ce qu’il veut.
  • Synchroniser = Mode de coédition sans restriction.

Ensuite on choisit le chemin et le nom de la base partagée sur l’espace Cloud mis en commun entre les PC de l’équipe.

Attention que dans le cas où des sous-groupes ont étés constitués dans le groupe partagé, seuls les entrées seront visibles, sans la structuration en sous-dossiers; Ce qui est dommage et que j’espère sera corrigé lors du future version.

Et plus encore

J’apprécie beaucoup l’interface épurée de KeePassXC, la possibilité de récupérer les favicons sur les entrées qui correspondent à des services internet, mais aussi l’outil de statistique et de sécurité visible  dans le menu> Base de données> Rapports de base de données.

Le Bilan de santé révèle les mots de passe trop faibles, ceux trop utilisés sur d’autres entrées. Mais ce n’est qu’une analyse offline; La suite propose une analyse intelligente et en ligne:

Analyse de la compromission des mots de passe

Le menu HIBP mots de passe compromis est particulièrement intéressant: Il propose d’envoyer vos sésames de façon sécurisé au service Have I Been Pwned: Service en ligne reconnu qui va analyser ces infos pour dévoiler si vos mots de passe se trouvent dans les bases de données d’identifiants volés, récupérables sur le DarkNet contre un paiement en crypto-monnaie.

Ces bases sont utilisées pour brute-forcer automatiquement -et souvent au hasard- les accès sécurisés à différents services en ligne.

J’apprends qu’un vieux mot de passe que j’utilise encore – de 7 caractères mais qui me semble néanmoins « secure » fait partie de la base de donnée de Have I Benn Pwned… Je vois mal comment quelqu’un d’autre aurait eu l’idée d’utiliser le même mot de passe: Il ne s’agit pas de -par Ex.- mon prénom suivi du n° de département: J’en déduit qu’un service en ligne où j’utilise cette clef s’est faite piratée…