Chapitre 47 Gérer des mots de passe

Durée : Quinze à trente minutes.

Lorsqu’on crée une adresse mail, un compte sur un site web, etc., ce compte est en général protégé par un mot de passe.

Il est important de ne pas utiliser le même mot de passe pour différents comptes ou différentes utilisations.

Il est important aussi de ne pas utiliser le même mot de passe pour des identités contextuelles différentes, afin que la compromission de l’une d’entre elles n’entraîne pas la compromission des autres.

Il existe deux bonnes écoles pour la gestion des mots de passe :

  • choisir et retenir une phrase de passe différente pour chaque usage ;
  • générer aléatoirement des mots de passe et les enregistrer dans un gestionnaire de mots de passe qui, lui, est protégé par une bonne phrase de passe que l’on retiendra.

47.1 Choisir une bonne phrase de passe

La première école a l’avantage de ne nécessiter aucun support de stockage : on a toujours ses phrases de passe avec soi. Pour l’appliquer, consulter choisir une bonne phrase de passe.

Toutefois, lorsqu’on multiplie les comptes ainsi que les identités contextuelles, cela peut faire beaucoup de phrases de passe à retenir.

47.2 Utiliser un gestionnaire de mots de passe

La seconde méthode peut alors nous être utile. Dans la pratique, on aura une phrase de passe à retenir par identité, notre gestionnaire de mots de passe se chargeant ensuite de conserver les différents mots de passe liés à cette identité. Cela peut se faire sur un système Debian chiffré comme sur un système live amnésique en utilisant la persistance.

47.2.1 Installer le gestionnaire de mots de passe

On va utiliser le gestionnaire de mots de passe KeePassXC. S’il n’est pas installé sur notre système, installer le logiciel KeePassXC. Le logiciel KeePassXC est installé par défaut dans Tails.

47.2.2 Lancer KeePassXC

Appuyer sur la touche ( sur un Mac) pour ouvrir la vue d’ensemble des activités puis taper keepassxc et cliquer sur l’icône KeePassXC.

47.2.3 Créer et enregistrer une base de données de mots de passe

Une base de données de mots de passe est un ensemble de mots de passe qui seront stockés dans une même base de données KeePassXC et chiffrés par la phrase de passe associée.

Si on choisit d’utiliser KeePassXC dans Tails, il faudra au préalable activer la persistance et activer l’option Données personnelles.

Au lancement de KeePassXC, il faut tout d’abord créer une nouvelle base de données de mots de passe et l’enregistrer pour l’utiliser lors de futures sessions de travail. Pour créer une nouvelle base de données de mots de passe, choisir Créer une nouvelle base de données.

Pour stocker la base de données de mots de passe nouvellement créée afin de l’utiliser lors de prochaines sessions de travail, renseigner un nom et optionnellement une description. Cliquer ensuite sur Continuer.

On peut ensuite régler les Paramètres de chiffrement de la base de données, qui pourront aussi être modifiés ultérieurement. Cliquer ensuite sur Continuer.

Ensuite, il faut choisir une phrase de passe qui servira à déchiffrer la base de données de mots de passe. Étant donné que cette base de données va contenir certains de nos mots de passe, il est important de choisir une bonne phrase de passe. Spécifier deux fois cette phrase de passe dans la boîte de texte Mot de passe.

On peut aussi décider d’Ajouter une protection supplémentaire en générant ou en indiquant un Fichier clé qui comprend des octets aléatoires ; par contre, il faudra garder ce fichier secret et ne pas le perdre : sans le fichier clé, il sera impossible d’accéder à notre base de données.

L’intérêt d’une telle protection est de pouvoir stocker ce fichier clé sur un autre support que notre base de données de mots de passe, comme par exemple sur une clé USB chiffrée que l’on garderait en sécurité. En plus de notre phrase de passe, il nous faudra donc avoir cette clé USB avec nous pour pouvoir accéder aux mots de passe contenus dans la base de données ; et une personne qui parviendrait à deviner notre phrase de passe ne pourra pas tout de même pas déchiffrer la base de données sans notre fichier clé.

Par contre, le risque de cette technique est celui d’égarer la clé USB contenant le fichier clé : si nous n’avions pas fait de copie de sauvegarde de notre fichier clé, nous serions alors dans l’impossibilité totale d’accéder à nos mots de passe.

Cliquer sur Terminer une fois terminé.

Il faut ensuite indiquer à KeePassXC l’emplacement où enregistrer cette base de données. Si l’on utilise Tails, l’emplacement par défaut est le dossier Persistent : laisser tel quel, afin que la base de données soit bien enregistrée dans le volume persistant de notre Tails. Sinon, choisir l’emplacement désiré pour sauvegarder la base de données. Cliquer sur Enregistrer.

Étant donné qu’elle va contenir certains de nos mots de passe, penser à régulièrement sauvegarder une copie de cette base de données.

47.2.4 Générer et enregistrer un mot de passe aléatoire

KeePassXC permet également de générer des mots de passe aléatoires plus robustes que des mots de passe dont on pourrait se souvenir.

Dans KeePassXC, cliquer sur Entrées puis Nouvelle entrée…. Remplir les champs utiles. Pour le champ Mot de passe, cliquer sur le bouton en forme de dé (), situé sur la droite de la zone de saisie.

Une fenêtre contenant différentes options de génération de mot de passe s’ouvre.

Parmi les options disponibles, il est préférable d’utiliser des lettres minuscules, majuscules et des chiffres, puis d’augmenter le nombre de caractères du mot de passe (au minimum 32), puisqu’on n’aura pas à retenir ce dernier. Les caractères spéciaux sont, quant à eux, parfois source de problèmes avec certains logiciels ou sites web.

Pour choisir les caractères souhaités, cliquer sur les boutons correspondants dans la section Types de caractères. Lorsqu’un bouton est surligné (en vert), le mot de passe va être généré avec ce type de caractères ; lorsque le bouton est désélectionné (c’est-à-dire lorsqu’il apparaît en gris clair), les caractères correspondants ne seront pas utilisés dans le mot de passe généré. Cliquer sur l’œil barré à droite du mot de passe généré permet de rendre visible le mot de passe et ainsi de pouvoir vérifier ce qui est généré.

L’indicateur d’Entropie permet de mesurer la robustesse du mot de passe généré. Elle est directement liée aux types de caractères sélectionnés et à la longueur du mot de passe. L’entropie minimale recommandée est de 128 bits.

Cliquer ensuite sur Confirmer le mot de passe, puis sur OK.

47.2.5 Restaurer et déverrouiller la base de données de mots de passe

Lorsqu’on veut utiliser une base de données de mots de passe préalablement enregistrée, il nous faut la déverrouiller. Pour cela, lancer KeePassXC. En général, s’il la trouve, KeePassXC nous propose automatiquement d’ouvrir la dernière base de données de mots de passe utilisée. Il indique alors Déverrouiller la base de données KeePassXC, suivi du nom du fichier correspondant. S’il s’agit bien de la base de données que l’on souhaite ouvrir, on peut sauter le paragraphe suivant.

Dans le cas contraire, s’il ne s’agit pas de la bonne base de données de mots de passe, ou si KeePassXC ne nous propose pas automatiquement de base de données à déverrouiller, aller dans le menu Base de données, cliquer sur Ouvrir une base de données…, puis naviguer à travers la liste des dossiers pour trouver le fichier .kdbx correspondant à la base de données que l’on souhaite ouvrir. Sélectionner ce fichier puis cliquer sur Ouvrir.

Que KeePassXC ait automatiquement trouvé la base de données à ouvrir ou qu’on la lui ait indiquée nous-même, il nous demande alors de la déverrouiller. Pour cela, dans le champ Saisissez le mot de passe, saisir la phrase de passe que l’on avait configurée à la création de la base de données. Si l’on avait défini des identifiants supplémentaires pour protéger la base de données (tels qu’un fichier clé, par exemple), il faut aussi les indiquer à cet endroit. Enfin, cliquer sur OK.

Si la phrase de passe est incorrecte, le message d’erreur suivant apparaît :

Erreur de lecture de la base de données : Des identifiants invalides ont été fournis, veuillez ressayer.

Si le problème se reproduit, le fichier de la base de données pourrait être corrompu.

47.2.6 Utiliser un mot de passe enregistré

Après avoir restauré et déverrouillé la base de données de mots de passe, on peut utiliser les mots de passe qui y sont enregistrés.

Il existe deux méthodes pour utiliser un mot de passe enregistré : de façon manuelle en copiant/collant l’identifiant et le mot de passe ou en utilisant la saisie automatique.

47.2.6.1 Saisie automatique

KeePassXC peut enregistrer des « associations de fenêtres », qui lient une entrée avec le nom d’une fenêtre et une séquence de saisie automatique, c’est-à-dire les informations de l’entrée à taper directement dans cette fenêtre.

Pour ce faire, la fenêtre où l’on souhaite faire une saisie automatique doit être ouverte, par exemple le navigateur web avec la page de connexion à notre boîte mail.

Ensuite, rechercher dans KeePassXC l’entrée que l’on souhaite utiliser pour cette fenêtre, puis double-cliquer dessus afin de pouvoir la modifier. Les champs Nom d’utilisateur et Mot de passe doivent être remplis. Dans la colonne de gauche, aller dans Saisie automatique. S’assurer que la case Activer la saisie automatique pour cette entrée est bien cochée. Cliquer alors sur le symbole en bas de la section Associations de fenêtres pour créer une nouvelle association. Il est alors possible de choisir la fenêtre à laquelle on veut associer l’entrée dans le menu déroulant Titre de la fenêtre à droite. Pour finir, cliquer sur OK : le paramétrage est terminé.

Dorénavant, il est possible d’utiliser la séquence de saisie automatique en positionnant le focus475 dans la fenêtre où l’on souhaite saisir nos identifiants, par exemple le champ courriel dans le navigateur de notre boîte mail. Passer ensuite dans KeePassXC sur l’entrée correspondante et lancer la saisie automatique. Ça se fait avec la combinaison de touches Ctrl + Maj + V476 ou en cliquant sur l’icône représentant un clavier et intitulée Saisir automatiquement dans la barre d’outils en haut.

Attention : le remplissage automatique permet aussi de faire de belles boulettes, comme coller son mot de passe dans une fenêtre de messagerie instantanée… et envoyer le message automatiquement. Il faut donc faire très attention à l’endroit où on place le curseur avant d’exécuter le remplissage automatique.

Il est possible que cette méthode de saisie automatique ne fonctionne pas pour tous les types d’interfaces. Dans ce cas, il faut passer à la saisie manuelle.

47.2.6.2 Saisie manuelle

Dans KeePassXC, pour récupérer l’identifiant dans le presse-papier, aller sur l’entrée que l’on souhaite utiliser, puis faire clic-droit et choisir Copier le nom d’utilisateur ou effectuer la combinaison de touches Ctrl + B. Ensuite, coller le contenu du presse-papier dans le champ de la fenêtre où saisir l’identifiant. Procéder de la même manière pour copier le mot de passe en refaisant un clic-droit sur l’entrée et en choisissant Copier le mot de passe, ou bien en effectuant Ctrl + C, pour enfin le coller dans le champ d’entrée du mot de passe.

  1. L’endroit où vont apparaître les prochains caractères lors de la frappe au clavier.↩︎

  2. Maj est la notation pour la touche majuscule, également notée en anglais Shift. Cette touche peut être trouvée sous diverses notations selon les claviers : , ⇧ Shift, SHIFT ou encore ⇧ Maj.↩︎