Gérer ses phrases de passe avec KeepassCX, Nextcloud et KeepassDX

Publié le 04/10/2020

Il y a quelques temps, j'ai reçu un mail de DigitalOcean m'indiquant que ma carte de crédit était arrivée à expiration. On était en mai; ma carte était arrivée à expiration en février; je le savais et je ne m'en inquiétais pas, puisque je n'avais pas besoin de leurs services dans l'immédiat.

En fouillant un peu parmi les informations de mon compte, je remarque malgré tout qu'il y a un truc louche sur ma dernière facture. En fait, je leur devais 176$ pour avoir réserver plusieurs (gros) serveurs. Serveurs que je n'avais jamais commandé, puisque je me suis toujours limité au strict minimum pour faire tourner deux-trois services, sans plus.

En plus de la sécurité de vos serveurs, il y a donc une donnée supplémentaire à prendre en considération: la sécurité de vos comptes utilisateurs.

Le problème ici était simplement que le mot de passe que j'avais utilisé avait déjà été associé à un autre compte, sur une plateforme qui s'était vue piratée (DropBox?). La politique de DigitalOcean est assez claire (quand on prend le temps de lire les caractères du contrat): vous pouvez approvisionner votre compte avec l'un des moyens de paiement acceptés, et si ce moyen de paiement est refusé, vous pouvez malgré tout continuer à utiliser leurs services. Le reste devra leur être remboursé à la fin du mois.

J'ai juste eu super chaud: si mon compte n'avait pas √©t√© pirat√© √† la fin du mois, les d√©g√Ęts financiers auraient pu √™tre beaucoup plus importants. Les 176$ s'√©talaient sur une p√©riode de trois jours maximum. Je me suis arrang√© avec eux et ils ont pass√© l'√©ponge, en plus de me donner quelques conseils.

Donc:

  1. N'utilisez pas le même mot de passe sur deux plateformes différentes. Si la première se fait pirater, les vils plaisantains pourront essayer les données qu'ils auront grapiller sur tous les canaux connus. Et il suffit d'avoir la même association (identifiant + mot de passe) pour être franchement dans la mouise.
  2. Quand c'est possible, activez le 2-forms authentication: en plus de conna√ģtre vos identifiants, ce m√©canisme suppose √©galement que vous avez un acc√®s physique sur un p√©riph√©rique que vous avez identifi√© comme √©tant le v√ītre.
  3. https://haveibeenpwned.com/
  4. [https://haveibeenpwned.com/Passwords](Pour vérifier la validité de vos mots de passe)

Pour le premier point, l'idéal est de passer par une application tierce (et pas un service tiers comme LastPass ou OnePassword: cela reviendrait à leur filer vos données, et on reviendrait dans le même cas de figure: vous ne savez pas ce qui peut arriver à ce service - s'il est racheté ou inaccessible, vous serez bien em...nuyée :-)).

KeepassXC

Il existe plusieurs versions de Keepass:

  • Keepass et Keepass2, √©crits avec Mono et donc pas forc√©ment optimis√©s pour un autre OS que Windows.
  • KeepassX, une r√©√©criture du premier pour √™tre portable, mais dont le d√©veloppement est √† l'arr√™t.
  • KeepassXC, un fork de KeepassX pour permettre une int√©gration plus rapide de nouvelles fonctionnalit√©s.

Préférez donc la troisième option.

En créant un nouveau fichier, vous pourrez y stocker toutes vos informations. La seule contrainte sera de retenir une phrase de passe initiale, qui débloquera l'accès à tous vos autres mots de passe.

Désavantages:

  • Perdez l'acc√®s √† ce fichier, et vous ne pourrez plus acc√©der √† rien du tout.
  • Donnez acc√®s √† ce fichier, et quelqu'un pourra acc√©der √† tous vos comptes.

Avantages:

  • Tous vos acc√®s seront stock√©s √† un seul endroit; √† vous √† en g√©rer la disponibilit√© (√©ventuellement en stockant ce fichier sur un espace de type DropBox ou Nextcloud)
  • Comme tous vos identifiants/mots de passe seront diff√©rents, il ne sera plus possible qu'un identifiant compromis ait un impact sur d'autres identifiants.
  • Comme les mots de passe peuvent √™tre g√©n√©r√©s al√©atoirement (et stock√©s dans KeepassXC), vous pourrez all√®grement d√©passer les 12 ou 16 caract√®res, en prenant des cha√ģnes compl√®tement impossible √† retenir. Au hasard: vN√ʬĽD√čp¬ŅuZ¬≤{¬ļ2/¬ľ√ézv√Ě√ģ√£@g√ꬩ√®√ß√ćc, en utilisant la palette ASCII √©tendue. Ce qui nous donne une entropie de 226.36 bits.

KeepassDX

Pour Android, j'utilise KeepassDX, qui me permet de lire les bases de donn√©es Keepass. Pour √™tre s√Ľr de bien r√©cup√©rer la derni√®re version, j'ouvre le fichier depuis l'explorateur de fichiers de l'application Nextcloud (sur F-Droid √©galement), en cochant la case "garder synchroniser".

Et pour iOS?

Je n'ai pas encore regardé ;-)