Mots de passe, Chrome, Firefox, Keepass : ne faire confiance qu’à soi ?

closeCet article a été publié il y a 9 ans 7 mois 9 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.

cadenas

Le constat peu reluisant

Google Chrome stocke les mots de passe de manière lamentable (c’est un fait, pas une question) et la protection contre l’affichage est un leurre (base SQLLite décryptable assez facilement). De plus, pour des raisons de commodités (synchro entre PC et tablettes/téléphones, très pratique il faut l’avouer), la base est stockée chez l’ami Google… en clair.
Bon c’est pratique pour nous, certes, mais aussi pour eux si des fois « quelqu’un » leur demandait un mot de passe… bon, c’est certainement pas le genre de Big Google hein.

Tiens, en passant, par rapport à Firefox :
– Pas de notion de « master password » comme avec firefox qui permet au moins de crypter la base d’identifiants et de la stocker ainsi cryptée, même si elle est hébergée chez un tiers – la société mozilla – ce qu’on peut ne pas apprécier non plus.
– Certes, pour le partage entre postes, il y a Firefox Sync, qu’on peut héberger nous-mêmes si vraiment on le souhaite (mais c’est un peu touchy à mettre en place et hors de portée de beaucoup).
– Et manque de bol, il me semble que si on la protège par un master password, la synchro entre postes ne peut plus avoir lieu, sauf à enlever le master password à un moment sur les 2 postes en question, attendre ou provoquer une synchro, puis recrypter. Un peu pénible.

Une solution ? (simple ?)

Face à ce constat et pour un peu de vie privée, au milieu de nos photos de chatons sur Facebook et compte Gmail (perso, j’évite Gmail), j’ai cherché comment faire pour reprendre la main un peu là-dessus. J’avais déjà les 2 tiers de mes mots de passe dans KeePass, mais par flemme, je faisais retenir le tout à Chrome quand même. Le problème est qu’en cas de perte de la machine, n’importe qui peut tenter sa chance sur la copie locale de la base SQLLite (fichier « Login Data » dans le profil).
EDIT : dans tous les cas, même si la synchro online peut être à peu près sure en cherchant bien, conserver soi-même ses mots de passe dans une base de données qu’on a à portée de main présente bien des avantages pratiques (changement de PC, squat d’un PC temporairement etc).

En creusant un peu j’en suis arrivé à la chose suivante :
J’ai exporté de Chrome tous mes mots de passe (avec le champ URL !!) grâce à ChromePass et importé dans KeePass (et dégagé les doublons). Ensuite, le plug-in ChromeIPass, en s’appuyant sur l’extension KeePassHTTP (lisez la doc et téléchargez-le ici), fait l’interface entre Chrome et KeePass, d’une manière que je trouve particulièrement élégante. Ainsi, dès que Chrome a besoin d’un identifiant/mot de passe, ChromeIPass le détecte et regarde avec votre accord dans KeePass, voit si quelque chose parle de ce site, vous validez l’accès aux identifiants et zou.
J’avais quelques réticences en me demandant comment l’outil ferait le lien entre une entrée dans KeePass et un site web, un formulaire, un champ précis etc. C’est assez bien pensé et efficace. Chaque demande de mots de passe est à valider dans KeePass (pas dans Chrome), on peut automatiser, regrouper différents accès, ça cherche intelligemment quelle que soit l’URL et le formulaire moisis du site sur lequel vous cherchez à vous identifier. Si en arrivant sur un site, votre identifiant n’est pas proposé, c’est que ChromeIPass ne l’a pas trouvé, il est encore temps d’aller dans KeePass et de renseigner le champ URL en conséquence. Bref, faut essayer et on comprend très vite.
Il faut évidemment avoir pris soin de virer quelques mots de passe de Chrome, sinon tous, pour tester – et aussi de ne plus « retenir les mots de passe ».

Allez, yapuka, c’est d’la bombe.

Quelques autres reflexions

Firefox

Sous Firefox, il y a aussi un plug-in exploitant KeePassHTTP, il s’agit de KeeFox. De même pour IE et toute la clique, je crois (à voir là)

Les alternatives au stockage chez Google : LastPass, 1Password etc

Baaaaah, j’ai pas hyper envie de donner mes mots de passe à eux plutôt qu’à un autre en fait. De plus, se balader avec sa base plus ou moins sous le coude, via une base KeePass fortement encryptée (mot de passe + clef ssh par exemple), c’est pratique dans d’autres situations. Tout n’est pas dans un navigateur qu’il faut avoir préconfiguré avant.
Un peu de lecture sur le sujet : http://lifehacker.com/5944969/which-password-manager-is-the-most-secure

Et quand KeePass sera mort ? et ma base KeePass, si je la perds ?

Il est open-source, donc il y aura un fork. Pas comme un certain Truecrypt et son arrêt aussi soudain que louche !!
Quant à perdre sa base KeePass, si elle est bien cryptée (gros mot de passe, millions de cycles de cryptage, utilisation de plusieurs couches à la suite : mot de passe + clef par exemple), on peut même imaginer la stocker dans un cloud quelconque. Ou bien faire intelligemment sa synchro soi-même autre part (j’ai opté pour ça).

Moi je m’en fous je mets le même mot de passe partout

OK super. Je ne rappellerais même pas qu’une site donné peut tout à fait avoir un système pas terrible stockant en clair le mot de passe… et que la plupart des sites permettent de récupérer son mot de passe avec 2/3 questions banales de la vie privée de la personne…
De plus, KeePass et ChromeIPass permettent de générer un mot de passe totalement bidon en un clic, mot de passe qu’on ne verra peut-être jamais écrit car il ne fera que transiter. Ca ne coûte pas bien cher de faire bien, disons.

Et ma tablette ? mon téléphone ?

Voir KeepShare pour Android. Je n’ai pas encore investigué car je n’utilise pas trop ces appareils pour aller sur le web, ou alors c’est exceptionnel et KeePassDroid permet au pire de s’en sortir pour lire une base KeePass.
Et sur iPhone ? borf, dans le monde merveilleux des iBisounours, tout doit être impeccablement pensé dès le départ. Je n’ai plus trop touché un tel appareil depuis quelques temps.

Pour pinailler…

ChromeIPass voit tout passer, lui. Quelqu’un a accès à son code source ? 😉
Je vois aussi une difficulté relative lorsqu’on synchronise sa base de mots de passe KeePass à plusieurs endroits et qu’on l’ouvre (disons, qu’on la fait évoluer) simultanément. Pour la synchro, c’est moyen…

12 comments

  1. Bonjour, juste une précision pour Firefox, en aucun cas il est nécessaire de désactiver le master password pour la synchronisation. Firefox Sync fonctionne très bien avec le master password activé, il sera simplement nécessaire de renseigner le mot de passe pour pouvoir synchroniser.

  2. A noter aussi ce plugin pour pouvoir synchroniser via SFTP (et SCP et FTPS) : http://keepass.info/plugins.html#ioprotocolext
    Une fois installé et winscp.{com,exe} disponibles dans le PATH ou dans le répertoire de KeePass, on peut ouvrir une base dont l’adresse est du type sftp://serveur.com:port/chemin/fichier.kdbx
    en précisant un login/pass (pas une clef par contre)

    Et aussi : KeeFox est bien plus abouti, à l’usage, que ChromeIPass.

    1. Bonjour,
      Je ne sais pas, je le découvre en voyant leur site
      Ca ressemble à un coffre-fort mais ça semble spécialisé pour les formulaires. KeePass est un peu plus large à mon avis (et plus reconnu et plus modulaire ?)
      Et quand je vois « Neutre: travail à la fois avec Internet Explorer et Firefox. », je me dis « bienvenue en 1990 »

    1. Pas grand chose. personnellement j’utilise une paire de clef et un master password, donc même s’ils voient le mot de passe, ils sont encore trèèèèèèès loin d’obtenir quelque chose
      Et puis à la limite, ce genre de menace pèse autant sur n’importe quel logiciel. Un keylogger pourrait tout aussi bien tenter de récupérer le master password d’un firefox.
      On est plus dans la protection par anti-virus là que dans le débat « est-ce que keepass est sûr »

  3. Bonjour,

    Même si cet article date un peu, j’interviens juste pour faire un petit hors-sujet sur votre remarque au sujet de TrueCrypt que vous semblez regretter.

    Il s’agissait également d’un open source et donc… il y a des forks.
    Le plus intéressant, selon moi, est VeraCrypt (petite latinisation du mot True ^^) qui est également Opensource et qui a l’avantage d’être entièrement compatible avec TrueCrypt (pas comme d’autres), d’ajouter encore plus de sécurité et d’être produit par des français (bin quoi ? XD).

    Petit lien SF:

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.