Pourquoi utiliser KeePass
KeePass c'est à la fois une base de données de mots de passe protégée, et des outils pour lire et écrire dans cette base de données. L'idée principale de KeePass est de proposer un format pour stocker (et éventuellement échanger) des identifiants de manière plus sûre que si on utilisait :
- des fichiers texte
- des bouts de papier
- toujours les mêmes mots de passe
L'outil génère et utilise des fichiers au format .kbdx, qui sont lisibles par tous les logiciels qui sont listés ici, à condititon bien sûr de pouvoir les déchiffrer.
KeePass facilite aussi la gestion de l'obsolescence des identifiants en inscrivant la date de création ou de mise à jour des identifiants, et en générant automatiquement des mots de passe robustes. Il n'est plus nécessaire de retenir une flopée de mots de passe "trop simples". Dans notre cas, on utilisera KeePass pour gérer et suivre les identifiants de certains services comme les mails, les modifier et les partager, en limitant leur exposition à des yeux extérieurs.
Une base KeePass étant chiffrée, la perte de la clé ou de la phrase de passe implique que la base ne peut plus être récupérée.
Installer KeePass
La première chose à décider avant d'utiliser KeePass est son client. Il n'y a pas de différences fondamentales entre KeePass2 ou KeePassXC, on recommandera donc l'utilisation de l'un ou de l'autre, à la fois sur Windows, Linux ou Mac. Ce guide est rédigé à partir de KeePass2, mais tout est transposable sur KeePassXC.
| Outil | Systèmes | Libre ? | Lien |
|---|---|---|---|
| KeePass 2 | Windows, Linux, Mac | Oui (GPL) | https://keepass.info/ |
| KeePass XC | Windows, Linux, Mac | Oui (GPL) | https://keepassxc.org/ |
| KeePassDX | Android | Oui (GPL3) | https://www.keepassdx.com/ |
Une fois son outil choisi, on l'installe comme n'importe quel autre logiciel sur son appareil. Il n'y a pas de composants tiers intrusifs susceptibles de nécessiter une attention particulière à l'installation.
Utilisation de KeePass
Dans ce guide on ne couvrira pas l'intégration avec les navigateurs ou avec des plugins, ou de fonctions de sécurité avancées, seulement de l'utilisation la plus basique.
Création d'une base de données
Version résumée : Nouveau -> Choisir une destination -> Choisir un mot de passe -> OK -> OK -> Skip -> Enregistrer -> C'est prêt !
La première chose que proposera KeePass à son ouverture est de créer une base de données. Si vous ne prévoyez pas de créer une base de données personnelle et d'utiliser uniquement une base déjà fournie, vous pouvez sauter cette étape. Si on souhaite créer une base de données plus tard, il suffit d'aller dans Fichiers -> Nouveau.
KeePass donne d'abord quelques informations de principe (sauvegarde régulière, stockage dans un emplacement connu...), et demande où stocker la base de données. Choisissez un emplacement approprié puis continuez.
KeePass demande maintenant une phrase de passe. Si c'est votre première base de données, ou votre base principale, vous voudrez certainement choisir une phrase complexe mais facile à retenir. Dans la mesure du possible, elle doit être différente du mot de passe que vous utilisez pour déverrouiller votre session, ou accéder à vos services les plus courants (mail par exemple). Lorsque vous êtes satisfait de la qualité de votre mot de passe, continuez.
Les options "expert" ne sont pas couvertes dans ce tuto mais pourront être demandées dans d'autres documents.
A cette étape, on peut cliquer directement sur "OK" aussi, ou choisir quelques options de personnalisation ou de sécurité qui ne sont pas couvertes non plus dans ce document.
Pour des raisons de sécurité encore, KeePass propose d'imprimer une feuille de récupération, au cas où la clé de la base de données serait perdue ou oubliée. Faites comme bon vous semble, mais ce n'est pas obligatoire.
La base de données est maintenant prête et peut être utilisée. Il faudra ensuite l'enregistrer (en cliquant sur la disquette) avant de quitter ou de verrouiller la base de données.
Partager et recevoir une base de données
Dans le cas où une base de données doit être envoyée en entier, que ce soit par mail, OnionShare, clé USB, ou partagée sur un volume commun, il est primordial de veiller à quelques règles pour ne pas compromettre la sécurité des identifiants partagés :
- La base de données (le fichier .kbdx) doit être protégé avec une phrase de passe suffisamment robuste
- La phrase de passe doit être partagée séparément de la base de données (ex: la base de données est envoyée par mail, et la phrase de passe par Signal).
Si une personne tierce parvient à obtenir la phrase de passe d'une base de données en transit, elle peut obtenir l'intégralité des identifiants déjà partagés, et on doit considérer la base de données et tous ses identifiants comme compromis et les modifier au plus vite en conséquence.
Ouverture d'une base de données
Pour ouvrir la base de données il suffit de parcourir son emplacement, puis d'indiquer le mot de passe associé quand il est demandé.
Créer une entrée
Une entrée est une paire identifiant/mot de passe et est l'élément principal d'une base de données. Pour en créer un, cliquez simplement sur l'icône correspondante avec une clé.
La fenêtre de création d'entrée apparaît alors :
Les champs à remplir sont :
| Champ | Utilité |
|---|---|
| Titre | Titre de l'entrée pour l'identifier |
| User name | Nom d'utilisateur qui sera entré |
| Password - Repeat | Le mot de passe |
| Qualité | Indication de la qualité du mot de passe si vous le générez ou insérez vous-même |
| URL | Adresse de la page de connexion, du site, ou de la ressource. Si on double-clique dessus, une page est ouverte. |
| Notes | Des commentaires. Un suivi est déjà assuré par l'onglet "Historique" |
| Expiration | Une date d'expiration pour assurer le suivi de l'entrée |
Par défaut, un mot de passe assez robuste est généré aléatoirement et il n'est pas nécessaire de le modifier ou d'en générer un autre, à moins de vouloir se conformer à une autre politique de gestion des identifiants. Tous les champs sont facultatifs (certains services n'utilisent pas de nom d'utilisateur par exemple, ou on peut ne pas vouloir donner trop d'informations sur un service utilisé).
Quand c'est prêt on clique simplement sur OK, puis on enregistre la base de données pour ne pas perdre l'entrée.
Utiliser une entrée
Copier-Coller
En copier-coller, il suffit de sélectionner une entrée, puis :
- Copier l'utilisateur avec CTRL+B
- Coller l'utilisateur avec CTRL+V
- Copier le mot de passe avec CTRL+C
- Coller le mot de passe avec CTRL+V
Les identifiants copiés de cette manière sont automatiquement effacés du presse-papier après un certain temps, il faut donc réagir assez rapidement. Après un certain délai (10s), il faudra à nouveau copier l'identifiant si on souhaite s'en servir.
Saisie automatique
KeePass permet de saisir les identifiants comme si on les tapait au clavier.
- Ouvrir la base de données
- Positionner le curseur dans le premier champ de login
- Sélectionner l'identifiant à insérer puis déclencher la saisie avec CTRL+V (sur KeePassXC : CTRL+MAJ+V)