Ce billet fait suite à mes billets Des mots de passe que l'on utilise au quotidien... et Mot de passe oublié dans lesquels j'évoquais le logiciel Keepass comme logiciel de coffre-fort numérique pour les mots de passe.

• Ce billet n'est pas un tutoriel sur Keepass Il y a celui de la CNIL par exemple pour ça
• J'utilise Keepass X

J'avais donc entrepris de me créer un coffre-fort numérique de mot de passe, protégé par une phrase de passe solide. Pour chacun de mes comptes, même pour ceux dont je connaissais le mot de passe, j'ai régénéré un mot de passe le plus solide possible (en tenant compte des contraintes que certains sites imposent : longueur maximum, caractères spéciaux ou non) via Keepass, qui propose cette fonctionnalité. En cliquant sur Mot de passe oublié on a le lien qui permet de changer son mot de passe.

Depuis, je ne garde plus aucun mot de passe dans mon navigateur. Firefox propose de mettre un mot de passe général, ce qui a pour conséquence de chiffrer la base des mots de passe conservée, il est possible de mettre le contenu du profil Firefox dans un conteneur Veracrypt lui même chiffré. Il est également possible de mettre le fichier Keepass dans un conteneur Veracrypt ou sur une partition chiffrée (avec des phrases de passe différentes).

Quand j'ai besoin d'un mot de passe pour me connecter à un compte, j'ouvre mon conteneur Keepass, je cherche l'entrée (la fiche correspondante) et je copie-colle le mot de passe. C'est très clairement contraignant, il y a une extension pour Firefox qui permettent d'automatiser ça ; mais je ne l'ai pas installée.

De même quand je veux créer un nouveau compte pour tester un service, je crée une nouvelle entrée dans Keepass, je demande la génération d'un mot de passe aléatoire.

Pour certains comptes, j'ai même défini une date de péremption du mot de passe pour avoir une notification et régénéré un nouveau mot de passe aléatoire.

La question qui revient souvent est la question de la synchronisation et de la sauvegarde ? Mon fichier Keepass est sauvegardé régulièrement, je ne l'utilise que sur des machines de confiance et donc je ne l'utilise pas sur mon smartphone. Je ne me connecte qu'à très peu de compte depuis mon smartphone, Twitter essentiellement et j'ai recopié à la main le mot de passe généré aléatoirement par Keepass. Et oui c'est beaucoup plus ch... que de pouvoir faire un copier coller, surtout quand le mot de passe est bien aléatoire, long et avec des caractères spéciaux.

En conclusion, Keepass au quotidien, c'est possible. Mais c'est très clairement une contrainte Comme je le dis dans mes conférences d'hygiène numérique, c'est comme mettre quatre serrures à sa porte d'entrée : on a plus de sécurité contre les cambriolages, mais on a quatre serrures à ouvrir et fermer matin et soir. On rentre tard, on n'a qu'une envie, celle de dormir. Et on doit ouvrir quatre, entrer et les refermer avant de pouvoir aller dormir. A comparer à si on avait une seule serrure en terme de rapidité (plus rapide mais moins sécurisé).

Enfin, pour en parler et sensibiliser, penser à le présenter comme un coffre-fort de mot de passe (ce qu'il est) avant de parler de chiffrement, technique et. Et surtout faite une démonstration avec un fichier Keepass bidon. Une démonstration sera bien plus parlante et utile qu'un long discours (donc tout le contraire de ce que j'ai fait avec ce billet).