Je mets en place mon gestionnaire de mots de passe sur tous mes ordinateurs et smartphone

J’ai choisi KeepassXC + Keepass2Android avec authentification Yubikey

Mon cahier des charges

  • Choisir un gestionnaire de mot de passe gratuit et sĂ©curisĂ© (encore mieux certifiĂ© ANSSI)
  • Permettre de partager une modification de mot de passe instantanĂ©ment sur tous mes appareils, smartphone inclus, Ă©viter les rĂ©plications de fichiers
  • Ne pas utiliser les solutions propriĂ©taires (non open source) qui pourraient hĂ©berger mes donnĂ©es quelque part dans le monde
  • Ne pas avoir un mot de passe d’ouverture super fort de 30 caractères spĂ©ciaux Ă  taper 5 fois par jour
  • SĂ©curiser l’ouverture de la base de donnĂ©es via une Yubikey unique sur tous les appareils
  • Si la Yubikey est perdue ou cassĂ©e, avoir une solution de secours
  • Que l’utilisateur dans le navigateur n’est aucun login ou mot de passe Ă  saisir et encore mieux, que la double authentification Ă  base de TOTP (mot de passe Ă  usage unique basĂ© sur le temps) soient calculĂ©s et complĂ©tĂ©s sur le mĂŞme principe.
  • Que les nouveaux login/mot de passe soient ajoutĂ©s dans la base facilement et les mises Ă  jour dĂ©tectĂ©es et corrigĂ©es dans la base.

Avenant Ă  mon cahier des charges

  • Avoir 3 bases : La mienne, celle de ma femme, celle commune aux deux
  • Que ma femme ait Ă©galement une Yubikey et qu’avec elle puisse ouvrir les bases
  • Evidemment que les deux prĂ©cĂ©dents points ne complexifient pas la remontĂ©e automatique des logins dans le navigateur

 

Fonctionnement de l’enregistrement des mots de passe dans la base au format Keypass

Toute la sĂ©curitĂ© de Keepass repose sur le fait qu’en l’absence de mot de passe d’ouverture, Ă  ce jour, il est impossible de lire les mots de passe contenus dans la base.

Keepass est Ă  aujourd’hui le seul gestionnaire de mots de passe a avoir reçu en France la certification de l’ANSSI. Evidemment, l’ANSSI n’a validĂ© qu’une version portable (KeePass Version 2.10 Portable) mais c’est bien le principe de cette manière de coder la base de donnĂ©e qui a Ă©tĂ© rĂ©compensĂ©e.

Ainsi pour faire simple, le logiciel Keypass exploite un fichier de base de données au format mabasedemotsdepase.kdbx

La force de ce fichier, c’est qu’il est portable. On peut soit le garder avec soi, le partager via un cloud ou un serveur de fichier… La rĂ©cupĂ©ration de ce fichier par un pirate ne “devrait” pas pouvoir ĂŞtre lu. Sur ce principe et en l’admettant, on peut poursuivre cette page.

Mon choix de la déclinaison KeePass pour les ordinateurs fixe ou portable sous Windows : KeePassXC

KeePassXC est une des dĂ©clinaisons les plus connues de KeyPass, j’en ai essayĂ© plusieurs mais la prise en charge archi-simple de la sĂ©curisation par Challenge-Response (on voit cela en dĂ©tail plus loin) est gĂ©niale. L’utilisation d’une Yubikey et du Challenge-Response permet de ne pas avoir Ă  saisir de mot de passe archi-fort, le principe de la clĂ© physique suffit avec KeePassXC.

A noté que KeepassXC se décline sur toutes les plateformes

Mon choix de la déclinaison Keypass pour les Android : Keepass2Android

Comme sur PC, il existe une multitude d’applications Android qui se prĂ©tendent compatibles KeyPass. Partant du principe que vous confiez toutes vos informations d’identification Ă  une application, il vaut mieux utiliser une qui a pignon sur rue et que toute la communautĂ© des geeks surveille. Ne prenez pas au hasard une application peu connue, pourtant les stores en sont pleins.

Keepass2Android permet d’utiliser la yubikey et le principe du Challenge-Reponse pour ouvrir la base. Principe et Challenge-Reponse identique Ă  celui de KeypassXC, c’est merveilleux donc, mĂŞme clĂ© Yubikey pour les deux.

Evidemment sur le smartphone, il faudra choisir une Yubikey qui peut être connectée au port USB ou une clé NFC (mon choix).

PrĂ©senter la clĂ© Ă  l’arrière suffira Ă  dĂ©verrouiller la base de donnĂ©es.

Mon choix d’un cloud dĂ©diĂ© au seul fichier de donnĂ©es : kDrive

J’ai facilement fait des premiers essais sur OneDrive Pro puis sur OneDrive Perso, cela a correctement fonctionnĂ©. Mais mon idĂ©e est d’Ă©viter de mettre Ă  disposition a base de donnĂ©es Keypass Ă  un pirate Ă©ventuel qui serait entrĂ© sur mon OneDrive Pro ou Perso. Je me suis dis, autant utiliser un mini cloud dĂ©diĂ© Ă  la seule utilisation de la base Keypass. Sous un nom farfelu et aucune information nominative.

J’ai un compte chez Ionos qui offre une solution HiDrive gratuite de base si on a un compte chez eux, sinon c’est 1.80€/mois. J’ai testĂ© avec HiDrive, j’ai eu des soucis de synchronisation et de fichier corrompu quand j’ai fait des essais de modifications sur plusieurs machines en mĂŞme temps, la synchro sur Android (mĂŞme avec l’option hors ligne) ne me semble pas au top, mais j’avoue ne pas avoir cherchĂ© plus. J’ai Ă©cartĂ© HiDrive aussi car c’Ă©tait le Drive en lien avec mon compte Ionos.

Après avoir Ă©pluchĂ© toutes les offres disponibles sur le marchĂ©, je me suis arrĂŞtĂ© sur le produit proposĂ© par Infomaniak. Infomaniak est un prestataire cloud suisse qui dĂ©veloppe des solutions d’hĂ©bergement web, de streaming, de marketing et d’Ă©vènementiel en ligne depuis 1994. L’entreprise privilĂ©gie l’Ă©nergie renouvelable locale et construit ses propres centres de donnĂ©es et centrales solaires en Suisse, sans dĂ©localiser. Ils proposent une offre dĂ©couverte gratuite avec 15 Go de stockage (kDrive) et une adresse mail gratuite Ă  vie. J’ai donc ouvert un compte avec un nom farfelu, et un stockage est rattachĂ© Ă  ce compte. Sans aucun lien avec moi en dehors des paramètres de sĂ©curitĂ©. A noter que le compte est sĂ©curitĂ© en double authentification avec choix entre Yubikey ou OTP.

Les données sont stockées en Suisse, cela me va très bien.

Sur les ordinateurs

Il faut installer l’application de synchronisation kDrive, fonctionnement identique aux autres logiciels Drive que tout le monde connait. Un dossier partagĂ© sur le disque en synchro avec un dossier dans le cloud.

C’est l’icone verte sur l’image ci-dessus, entre HiDrive et OneDrive dĂ©crit prĂ©cĂ©demment.

J’ai toujours choisi de dĂ©dier une partition de disque Ă  mes synchro cloud, c’est le disque O: chez moi, il est organisĂ© ainsi :

Je vais donc créer un dossier dans kDrive pour y mettre mon fichier de base de données KeyPass, il sera donc dans O:/kDrive

Sur les SmartPhones

On utilise l’application kDrive dĂ©diĂ©e. On va y retrouver le dossier crĂ©Ă© sur ordinateur qui contiendra la base de donnĂ©es KeyPass.

Mon choix de clé de sécurité physique : Yubikey

J’avais portĂ© mon dĂ©volu sur la Winkeo-A de NeoWave, entreprise française, fabriquĂ©e en France. Mais l’absence de NFC m’a fait reculĂ© car je voulais pouvoir dĂ©verrouiller Ă©galement la base de mots de passe sur smartphone.

J’ai finalement, un peu comme tout le monde, optĂ© pour la clĂ© la plus populaire, la Yubikey. Chacun peut choisir sa version en fonction de son utilisation.

J’interconnecte l’ensemble des Ă©quipements via le cloud

Un bon schĂ©ma valant tous les discours, voici une vue d’ensemble.

Chaque base de donnĂ©es ne peut ĂŞtre dĂ©verrouillĂ©e qu’avec une Yubikey (la mĂŞme).

Je mets en Ĺ“uvre de cette solution, Ă©tape par Ă©tape

Je crĂ©e un compte chez Infomaniak et j’installe kDrive

Chez Infomaniak, j’accepte la proposition d’adresse mail gratuite et de 15Go, une fois tout configurĂ©, j’active bien l’authentification multifacteurs puis j’installe sur mon PC l’application kDrive.

Cette application me propose un dossier de synchronisation, ce sera O:/kDrive, dans ce dossier, j’ajoute ensuite un dossier qui servira Ă  y placer mon fichier de base de donnĂ©es KeyPass.

Je crée une base de données Keypass qui contiendra tous mes identifiants

Je dĂ©bute sur PC, je tĂ©lĂ©charge l’application KeyPassXC.

Attention à bien prendre la version originale sur le site de KeypassXC !! 

J’installe KeyPassXC et ajoute une nouvelle base de donnĂ©es.

Pas d’inquiĂ©tude si besoin, il y a tout un tas d’imports possibles d’anciennes donnĂ©es.

L’installation ne pose pas de problème particulier.

Pour le mot de passe fort, je ne me prends pas trop la tĂŞte, dans quelques Ă©tapes, je vais le supprimer pour ne garder que l’identification avec la Yubikey.

J’enregistre la base de donnĂ©es dans le dossier spĂ©cifique que j’ai crĂ©Ă© sur mon disque O:/kDrive

A ce stade, je peux fermer ou ouvrir la base de donnĂ©es, elle demande le mot de passe fort dĂ©fini Ă  l’installation.

Je sĂ©curise l’ouverture de la base de donnĂ©es avec la Yubikey

Le dialogue entre KeyPassXC et la Yubikey se fait grâce Ă  ce qui s’appelle un Challenge-Response.

Je vais donc commencer par définir la clé du Challenge-Response dans Yubikey Personnalization Tool.

Dans l’onglet Challenge-Response, je clique sur HMAC-SHA1.

Sur cet écran, je coche le slot2, Dans HMAC-SHA1, je clique sur Generate pour générer une clé secrète.
Je ne veux pas Ă  avoir Ă  appuyer sur la Yubikey Ă  chaque appel, je ne coche pas “Require user input” mais c’est mon choix, chacun est libre de dĂ©cider. Et enfin, je clique sur Write Configuration pour enregistrer la clĂ© secrète dans la Yubikey.

Important : Bien noter quelque part la clé secrète, en effet, en cas de panne ou perte de la Yubikey, il me suffira de remettre la même clé dans une autre Yubikey et je ne perdrai pas vos accès.

Je retourne dans KeyPassXC ouvrir ma base de données puis je vais dans sécurité de la base de données.

Puis Ajouter une autre protection.

Puis Ajouter une question-réponse.

La clé est détectée, il suffit de valider et de fermer.

Premier test, je ferme la base de données et je la réouvre. Je dois taper le mot de passe et insérer la clé Yubikey.

Je vais supprimer le mot de passe pour ne garder que l’identification avec la Yubikey, je vais dans sĂ©curitĂ© de la base de donnĂ©es puis je clique sur Supprimer le mot de passe.

La base s’ouvre maintenant uniquement si la Yubikey est insĂ©rĂ©e et sans mot de passe supplĂ©mentaire. C’Ă©tait mon objectif.

J’interconnecte de manière sĂ©curisĂ©e KeypassXC et le navigateur

Tout est bien prévu, je retourne sur le site de KeyPassXC et je vais dans Download / Browser extension

Mon navigateur est Brave, je vais donc prendre la version Chrome de l’extension.

Un lien s’Ă©tablit entre Brave et KeypassXC, on peut donner un nom Ă  ce lien. Cela reste actif et autorisĂ© dans la base de donnĂ©es.

Pour vérifier ces liens, je vais dans Base de données / Paramètres de la base de données / Onglet Intégration aux navigateurs

Evidemment, par sĂ©curitĂ©, Ă  l’avenir, supprimer tout lien KeyPassXC/Navigateur qui deviendrait inutile.

Je reproduis toute cette installation sur mon ordinateur portable

A l’identique du paragraphe prĂ©cĂ©dent, je refais toute l’installation sur mon ordinateur portable.

La base de donnĂ©es est rĂ©cupĂ©rĂ©e sur le dossier kDrive qui s’est bien synchronisĂ©.

J’ouvre sans souci avec la mĂŞme Yubikey sur l’ordinateur portable.

J’installe kDrive sur mon SmartPhone

L’application kDrive, fournie par Infomaniak est très simple Ă  installĂ©e.

Une fois que je suis identifiĂ© avec mon mail/motdepasse et la seconde authentification, j’ai accès au fichier de la base de donnĂ©es KeyPass qui s’est enregistrĂ©e sur mon tĂ©lĂ©phone.

La seule petite manipulation que je rĂ©alise, c’est de cocher “Disponible hors ligne” pour avoir toujours la dernière version sur mon tĂ©lĂ©phone. Je ne sais pas si cela est indispensable mais dans le doute, c’est un plus.

J’installe Keypass2Android sur mon SmartPhone

Une fois l’installation terminĂ©e, je peux aller ouvrir la base de donnĂ©es.

Je vais sur Ouvrir, sĂ©lectionner tout en haut Ă  gauche “SĂ©lecteur de fichier système”, en effet, kDrive n’est pas dans les services intĂ©grĂ©s dans l’assistant (ce qui en pose aucun souci).

Quand la fenĂŞtre de sĂ©lection s’ouvre, je clique sur les 3 barres en haut Ă  gauche et je sĂ©lectionne mon kDrive dans la liste.

Je navigue ensuite dans mon kDrive et je vais sélectionner ma base xxxx.kdbx

Pour ouvrir ma base, je dois ensuite sĂ©lectionner la manière avec laquelle je vais m’identifier, je prends donc : “Mot de passe + DĂ©fi-rĂ©ponse pour KeepassXC

Quand je clique sur “DĂ©vĂ©rrouiller“, une petite fenĂŞtre s’affiche en surimpression avec la mention “Please attach or swipe your Yubikey now“.

Je passe au dos de mon tĂ©lĂ©phone la Yubikey, le NFC rĂ©agit et la base d’ouvre.

Nota : Pour l’instant, je dois passer deux fois la clĂ©, je ne sais pas pourquoi, ce n’est pas très gĂŞnant mais je me demande pourquoi cela se produit. Si quelqu’un sait, je suis preneur.

Il y a tout un tas de paramètres dans Keepass2Android, chacun est libre de choisir ses options.

Débat, questions, demandes de précisions

J’ai dĂ©sactivĂ© les commentaires sur ce blog, les robots de pub saturaient tout.

Je vous propose de poser vos questions ou simplement me faire un retour d’expĂ©rience si vous avez suivi ce tuto sur :