Le constat est bien simple : nous devrions tous utiliser un gestionnaire de mots de passe quand l’on voit le nombre d’informations de connexion qu’il faut retenir, nous choisissons bien souvent les mêmes mots de passe de sites en sites ce qui est bien évidemment préjudiciable au niveau de la sécurité de nos données parfois très sensibles.
Ou alors nous choisissons aussi des mots de passe tous petits et donc bien plus simples à retenir, ce qui est peut-être encore pire. Pourtant, tout le concept du mot de passe est bien là : sécuriser un accès.
Il faut donc un mot de passe fort/lourd (nous allons revoir cette notion un peu plus loin) ainsi que des mots de passe différents.
Un gestionnaire de mots de passe qui ferait donc tout pour nous alors que nous conservons à chaque fois des mots de passe forts, voilà la solution.
Plus rien à retenir, c’est encore mieux. Le summum serait de n’avoir plus rien à faire et de laisser un logiciel se connecter automatiquement à notre place.
C’est exactement ce que propose KeePass et nous allons découvrir qu’en plus d’être extrêmement pratique il est certainement la meilleure solution au monde que tout le monde devrait posséder.
Un gestionnaire de mot de passe extrêmement sécurisé
KeePass est un gestionnaire de mots de passe, c’est-à-dire qu’il permet de stocker vos mots de passe (tous vos mots de passe comme ceux de sites internet ou même ceux de vos logiciels) en un fichier qui sera alors chiffré, ce qui revient en langage courant à dire « crypté ».
Il ne vous faudra alors et grâce à KeePass ne retenir plus qu’un seul mot de passe, et un bon, qui vous permettra d’accéder à tous vos autres mots de passe.
Pas d’inquiétude, KeePass va remplir pour vous automatiquement vos identifiants et mots de passe et même valider ceux-ci pour vous connecter automatiquement.
Toutes ces fonctionnalités sont très intéressantes d’un point de vue pratique, mais il ne faut pas oublier l’aspect sécuritaire et KeePass est tout simplement incroyable de ce côté-là.
Une base donnée inviolable dans les bonnes pratiques
Vous l’aurez compris, KeePass doit sauvegarder en un endroit vos informations de connexion, en une base de données contenue dans un fichier chiffré (« crypté ») qu’il doit protéger à tout prix par un mot de passe fort.
La méthode de chiffrement de cette base de données KeePass est ce qui se fait de mieux grâce à un algorithme de chiffrement très puissant, l’AES.
Le Chiffrement AES (par défaut dans KeePass)
Son acronyme est déjà très parlant puisqu’il signifie Advanced Encryption Standard. Il est donc un standard robuste et fiable dans le monde du chiffrement de données et à juste titre.
Développé par le gouvernement américain, il remplaça le chiffrement DES (Data Encryption Standard) en 1977 et est un système de cryptographie symétrique également appelée cryptographie à clé secrète.
En cryptographie, une clé est une donnée qui permet de chiffrer et de déchiffrer un message, on pourrait donc dire par abus de langage qu’il s’agit d’un mot de passe.
« Chiffrer » et « Déchiffrer » un message (ici un fichier contenant tous vos identifiants et mots de passe) se fait au moyen d’un algorithme, le fameux AES par défaut dans KeePass.
Si ce système de chiffrement est fiable, il faut bien comprendre qu’il repose tout particulièrement sur sa clé secrète qui doit être assez robuste pour qu’une attaque exhaustive (une attaque « bruteforce » par exemple afin d’essayer toutes les combinaisons possibles) soit beaucoup trop longue pour parvenir à briser la clé.
AES repose sur ce que l’on appelle la sécurité calculatoire. Avec AES, nous atteignons l’ordre du milliard d’années de calculs pour un ordinateur afin de briser la clé de chiffrement, mais la donne change lorsqu’il est possible d’utiliser la puissance de calcul de plusieurs millions d’ordinateurs à travers le monde (des ordinateurs « zombis » qui sont utilisés à distance par des hackers à l’insu des utilisateurs de ces machines). La sécurité calculatoire est donc toujours à remettre à niveau au fil des avancées informatiques.
L’AES n’a pour l’instant pas été cassé
La seule méthode susceptible de briser l’AES en théorie est la méthode bruteforce et donc de tester toutes les combinaisons possibles de lettres, de chiffres, de caractères spéciaux, etc. On comprend bien le caractère vital de posséder une clé secrète robuste.
Des tentatives pour briser ce standard du chiffrement ont été réalisées par la NSA. La National Security Agency y mit les moyens afin de pouvoir s’assurer que ce moyen cryptographique soit suffisamment fiable pour des documents SECRET et TOP SECRET.
Voici les résultats émis par la NSA à la suite de ces tests conçues à base d’attaques et leurs analyses :
« Toutes les tailles de clés de l’algorithme AES (128, 192 et 256) sont suffisantes pour protéger les clés des documents classifiés SECRET quand ce sont des clés de 192 ou 256 bits qui sont préconisées pour des documents classifiés TOP SECRET.
C’est pourquoi tout logiciel servant à travailler avec des documents aussi sensibles doit avoir une implémentation du chiffrement AES afin de protéger des systèmes et/ou des documents. »
AES devint un standard du gouvernement américain en mai 2002 après accord du Ministère du Commerce. AES est inclus dans la norme ISO/IEC 18033-3 standard.
AES est disponible dans bien des packages et il est le premier (et le seul) algorithme de chiffrement approuvé par la NSA pour les informations top secrètes quand utilisé au sein de la NSA dans des modules cryptographiques.
Quand la NSA attaque…
Jusqu’en mai 2009, la seule attaque reportée avec succès contre le chiffrement AES était de type side-channel attacks au sein de certaines implémentations de ce premier.
En sécurité informatique, une attaque side-channel est une attaque basée sur des informations glanées depuis des implémentations d’un système informatique, plutôt que de s’attaquer aux faiblesses de l’algorithme en lui-même.
La National Security Agency nota tous les logiciels finalistes avec AES, incluant Rijndael qui est le projet initial de AES, et déclara qu’ils sont effectivement tous sécurisés pour les informations gouvernementales non classifiées.
AES possède 10 rounds de clés 128 bits, 12 rounds pour 192 bits et 14 rounds pour des clés 256 bits. En 2006, la meilleure attaque recensée en était à 7 rounds pour une clé 128 bits, 8 rounds pour une à 192 bits et seulement 9 rounds pour une clé 256 bits.
Nous sommes donc bien loin encore d’un décryptage facile et massif, soyez rassuré car même la NSA ne parvient toujours pas à casser le cryptage de la clé et donc de pouvoir accéder à une base de données KeePass.
Dernièrement, les documents de l’affaire Snowden révèlent que la NSA fait toujours des recherches pour casser le code AES en effectuant leurs attaques sur une méthode basée sur le tau de Kendall, une statistique qui mesure l’association de deux variables et surtout la corrélation de rang entre deux variables.
Pour le moment, il n’y a aucune attaque contre qui ne puisse réussir en pratique sans que quelqu’un connaisse déjà la clé pour lire les données encryptés par AES quand il est correctement implémenté, comme c’est le cas avec KeePass.
KeePass est certifié par la NSA et même inclus dans sa suite B des algorithmes cryptographiques.
La seule faille sous KeePass est humaine !
Impossible donc de décrypter les données contenues dans votre fichier chiffré par AES, personne n’arrivera à découvrir tous vos mots de passe mais alors, que font des logiciels comme KeePass2John et Hashcat ?
Il est vrai qu’il existe quelques logiciels qui sont là pour casser votre mot de passe principal de KeePass, le fameux mot de passe maître, et ainsi donner un accès complet à la base de données.
Cela peut être possible dans le cas d’un mot de passe « faible ». Les attaques permettant cela sont bien évidemment de type bruteforce et il existe des dictionnaires en ligne des mots à insérer et des combinaisons habituelles.
Pour des mots de passe sans caractères spéciaux, de très peu de caractères, il est évident qu’ils puissent être découverts très facilement.
Ainsi, même si vous aviez à l’idée de mettre en mot de passe « patagonica » en vous disant que ce mot latin serait trop rare, perdu, il sera inclus dans le dictionnaire et découvert en seulement 1 petite minute de calculs.
La seule faille à KeePass est donc le mot de passe maître que vous allez choisir et qui sera le seul mot de passe à retenir pour le reste de votre vie.
Il faut qu’il soit long, plus c’est long mieux c’est mais si c’est pour ne faire qu’une répétition de caractères ou des suites logiques (123456789123456789) ce n’est pas la peine !
Des mots de passes forts, lourds, fiables et sécurisés
« On dit » qu’il faudrait au moins 8 caractères, ne contenir aucun nom d’utilisateur, de famille ou d‘entreprises, qu’il ne faut pas utiliser de mots entiers et combiner minuscules, majuscules, chiffres et caractères spéciaux et accentués.
Vous pouvez faire mieux et plus simple : faites-vous un mot de passe à base de phrases. Posez-vous une question et répondez-y avec une phrase exclamative. Un bon mot de passe pourrait donner :
Quelétaittonsurnomàl’école?J’étaisle1ersuperman!
Il y a de tout en caractères spéciaux et accentués, c’est suffisamment long et il y a même la présence d’un chiffre pour ajouter en difficulté.
Vous pouvez ainsi vous poser des questions sur une date de mariage ou autre et y répondre d’une manière à utiliser le plus d’accents et autres.
Ce n’est pas si aussi compliqué que cela et vous épargne les mots de passe de type « soleil75 » qui serait déchiffré en moins de 15 minutes.
La seule difficulté pour vous est de vous en souvenir et pour cela, rien de mieux que de répéter l’opération une bonne douzaine de fois histoire de ne pas avoir à le noter quelque part.
C’est ainsi que KeePass sera le plus sécurisé au monde et surtout qu’il sécurisera réellement tous vos identifiants et mots de passe personnels.
Il n’y pas que la NSA qui ait approuvé KeePass
En France aussi nous possédons un organisme chargé de la mise en conformité des logiciels qui seront utilisés dans nos administrations et comme toujours, c’est bien le standard AES qui a été choisi en algorithme cryptologique mais également KeePass puisqu’il est open-source.
C’est l’Agence Nationale de la Sécurité des Systèmes d’Informations (l’ANSSI) qui est en charge des tests et d’approuver les logiciels diffusés dans l’administration française, dont le Ministère de la Défense et ses données sensibles.
KeePass est certifié CSPN par l’ANSSI
En plus de nombreux tests, l’agence gouvernementale décerna une certification CSPN pour la version portable de KeePass, c’est-à-dire la Certification de Sécurité de Premier Niveau qui consiste en des tests en sandbox.
L’ANSSI testa donc KeePass dans un environnement contrôlé afin d’exécuter le code de ce dernier. Il en ressorti vainqueur et donc certifié CSPN.
Le Bug Bounty Camp pour la Commission Européenne
Voici une autre administration qui a tout intérêt à bien sécuriser ses données sensibles : la Commission Européenne.
Le projet EU-FOSSA vit le jour avec comme but de préconiser l’utilisation de logiciels libres et open-source après que ceux-ci aient été audités.
EU-FOSSA offre donc une approche systémique pour les institutions européennes qui veulent s’assurer que des logiciels aussi critiques puissent être utilisés en toute confiance.
Le projet a permis de renforcer les contributions des institutions européennes pour s’assurer du maintien de l’intégrité et de la sécurité de ces logiciels open-source dont fait partie KeePass.
Pour améliorer KeePass, il fut alors organisé un Bug Bounty, c’est-à-dire un challenge ouvert à des développeurs bénévoles qui doivent en un temps donné rapporter un maximum de bugs ou de failles d’un logiciel qui sera alors malmené et décousu dans tous ses petits recoins.
Un budget est alloué pour récompenser le travail acharné de ces bénévoles. Cela est évidemment plus facile pour eux de faire ces audits et tests dès lors qu’il s’agit de logiciels open-source puisque tout le code source est justement disponible pour ce genre d’analyses et améliorations.
KeePass passa donc sur le banc des tests lors de l’EU-FOSSA 2 et s’en sorti très largement. Dans sa troisième édition, KeePass bénéficia d’un budget de 71 000 € en janvier 2019.
Lors du Forum International de la Cybersécurité de Lille pour l’édition 2019, notre ministre des Armées annonça la mise en place d’un programme de Bug Bounty dans le cadre d’un partenariat entre le Commandement de la Cyberdéfense et la startup YesWeHack.
Notre Ministère des Armées devient ainsi le premier à organiser une vaste chasse aux bugs de sécurités, KeePass passera une fois de plus sur la sellette cette année et devrait pouvoir tenir le choc !
KeePass et l’Office Fédéral de la Sécurité des Technologies de l’Information
Créé en 1991 et chargée de la sécurité informatique et de la sécurité des communications, cette office allemande (Bundesamt für Sicherheit in der Informationstechnik ou BSI) s’occupe également de la sécurité des logiciels, de la cryptographie et de la certification de produits de sécurité en donnant également les accréditations nécessaires aux laboratoires de test.
C’est donc entre des mains d’experts allemands que KeePass passa en 2018 et fut tout simplement recommandé pour les administrations allemandes mais également « pour les petites entreprises ».
Côté français, la SILL (Socle Interministériel de Logiciels Libres) préconise également l’utilisation de KeePass au sein des administrations françaises quand la CNIL (la Commission Nationale de l’Informatique et des Libertés) recommande à tous et y compris au grand public d’utiliser KeePass et mets à disposition de celui-ci un tutoriel à suivre pour l’utiliser.
D’autres distinctions
- KeePass est recommandé par la Swiss Federal Office of Information Technology Systems and Telecommunication (FOITT/BIT) et la Federal IT Steering Unit (FITSU/ISB). Toutes les administrations suisses disposent donc de KeePass par défaut.
- KeePass est certifié par com et est noté comme Excellent par sa communauté d’utilisateurs.
- KeePass reçu la récompense du Download Pick de CNET sur Download.com tout comme sur la plateforme de Windows 10 Download.
- KeePass reçu la note de 5/5 par Anonymster et est le 1er choix de bons nombres de sociétés de services VPN pour la sécurisation de données.
Un peu plus de sécurité avec de l’entropie ?
Revenons-en à notre mot de passe maître, celui qui doit être le mieux possible mais aussi facile à retenir.
L’ANSSI propose ce classement pour vous donner une petite idée de la « force » d’un mot de passe :
| Type de mot de passe | Force | Commentaire |
| Mot de passe de 8 caractères dans un alphabet de 70 symboles | Très faible | Taille usuelle |
| Mot de passe de 10 caractères dans un alphabet de 90 symboles | Faible | |
| Mot de passe de 12 caractères dans un alphabet de 90 symboles | Faible | Taille minimale recommandée par l’ANSSI pour des mots de passe ergonomiques ou utilisés de façon locale. |
| Mot de passe de 16 caractères dans un alphabet de 36 symboles | Moyen | Taille recommandée par l’ANSSI pour des mots de passe plus sûrs. |
| Mot de passe de 16 caractères dans un alphabet de 90 symboles | Fort | |
| Mot de passe de 20 caractères dans un alphabet de 90 symboles | Fort | Force équivalente à la plus petite taille de clé de l’algorithme de chiffrement standard AES (128 bits). |
La première règle à connaître selon l’ANSSI est donc de préférer allonger son mot de passe plutôt que de chercher à le rendre plus complexe.
Pourtant, dans une large majorité des cas, votre mot de passe sera le plus souvent constitué d’un « motif » reconnaissable et que les hackers connaissent très bien et implémentent dans les dictionnaires qu’ils utilisent lors d’attaques bruteforce. Ainsi, il est facile de trouver :
- Les séquences, comme l’alphabet, compter les chiffres, etc.
- Les spatiaux, comme agencement des touches (AZERTY)
- Les dictionnaires, comme les noms propres et mots connus avec leurs variantes minuscules/majuscules et lettres/chiffres
- Les dates
Ces motifs s’agencent naturellement et les hackers les utilisent très simplement. Si vous utilisez un mot de passe qui peut être mémorisé, il pourra alors en théorie être craqué car il doit suivre une logique lors de sa construction. La logique étant l’ennemi de l’entropie puisque c’est tout l’inverse de « l’aléatoire », les attaques sont alors très faciles.
L’entropie (au sens informatique et mathématique) est connue depuis 1947 grâce à Claude Shannon qui put répondre à la question de savoir comment mesurer la sécurité apportée par un système de cryptographie.
Il a ainsi pu modéliser mathématiquement une heuristique où l’on doit considérer plusieurs variables avec une part d’aléatoire.
Grâce à cette formule mathématique, on peut alors mesurer l’entropie en bits. Ensuite peut être mesuré l’incertitude et le désordre qui sont liées à l’expérience aléatoire ce qui peut nous donner une définition physique de l’entropie que voici : c’est la mesure du désordre d’un système.
L’entropie est donc bonne pour contrer tout moyen d’automatisation informatique afin de décrypter vos mots de passe maître de KeePass.
KeePass peut donc vous proposer de gérer cette entropie d’une manière automatisée et d’une manière très pratique que voici :
Vous n’avez plus qu’à bouger aléatoirement votre souris dans ce cadre « brouillé » afin d’obtenir du « bruit ». En électronique, du bruit est en fait des parasites, tout comme ce que l’on voit en fin de compte sur cette image qui représente parfaitement les parasites d’une TV ne captant plus de signal.
Le but du jeu pour vous à cette étape est de générer une sécurité de 256 bits qui est matérialisée dans la jauge juste en dessous. Il vous est donc possible de tester vos mots de passe en direct.
Ce qui est alors très intéressant, c’est de constater que l’on peut facilement générer cette part d’aléatoire. Testons d’ailleurs ce que peuvent-nous servir les sites et logiciels qui servent à générer aléatoirement des mots de passe.
Voici un mot de passe très aléatoire de 40 caractères :
%GS^jPq3f}Pb=&iy_Az(^}Y’>5-F-@&_+:.3_&+T
Voici ce qu’en dit le testeur de mot de passe de KeePass :
Il n’en ressort que 236 bits, soit pas encore le maximum de 256 bits qui est alors la sécurité maximale existant actuellement.
Mais la dure réalité qu’il faut bien admettre c’est que vous ne retiendrez jamais ces 40 caractères aléatoires à moins d’être Rain Man.
Nous allons reprendre notre mot de passe test bien plus facile à retenir pour comparaison (il fait 48 caractères) :
Quelétaittonsurnomàl’école?J’étaisle1ersuperman!
Nous nous rapprochons déjà plus des fameux 256 bits, mais le plus important est de bien noter qu’il faut absolument chercher à allonger vos mots de passe (et avec des caractères de ponctuation par exemple) pour les rendre les plus forts possible.
En l’état, ce mot de passe de test peut tout à fait convenir et sera suffisamment puissant pour plusieurs décennies encore.
Voici donc un bon compromis et c’est ce que nous vous conseillons de faire. Oubliez donc finalement le côté aléatoire et toute la théorie (qui est juste) pour préférer une ou deux belles phrases faciles à mémoriser.
Mettez-y un chiffre et le tour est joué. Un petit exemple pour atteindre notre quota de sécurité ?
Jenemerappelleplusbienquandjesuisnéetpourtantc’estmonmotdepasse,commentjefais?Jesuispourtant007!
Avec une force de 400 bits, ce mot de passe pourtant simple mais bien long permet une sécurité plus que suffisante puisque la meilleure au monde, aller au-delà des 256 bits n’est pas nécessaire même pour des dossiers gouvernementaux TOP SECRETS.
Conseils d’Edward Snowden, le plus parano de tous…
Quand l’on est un lanceur d’alerte ayant travaillé pour la CIA et la NSA, on est particulièrement paranoïaque par la suite et Edward Snowden maîtrise parfaitement le sujet de la cryptologie et de la sécurité des données sensibles.
Concernant les mots de passe, celui-ci recommande tout comme nous d’utiliser des « phrases de passe ». Et oui, abandonnons carrément cette appellation pour ce qu’elle devrait être aujourd’hui, ce n’est pas aussi idiot qu’il n’y parait comme nous avons pu le démontrer.
Ainsi lors d’une interview, il préconisa par exemple un mot de passe comme « margaretthatcheris110%SEXY »
Utiliser une authentification forte : la double authentification
Une authentification forte est le fait d’utiliser une authentification à double facteur et donc à deux modes d’identification complémentaires.
Ainsi, il y aura 2 sécurités et l’ordinateur ne validera plus seulement votre mot de passe. Ainsi, même si votre mot de passe vous est volé, les données restent toujours protégées et cette double authentification, KeePass la propose à l’aide d’un fichier clé.
Pour les spécialistes de la sécurité informatique, utiliser une double authentification est devenue une évidence et l’on retrouve d’ailleurs cela de plus au plus au quotidien avec des sms de validation par exemple.
Utiliser le duo mot de passe principal et fichier clé sous KeePass
Vous désirez une sécurité maximale avec KeePass ? La double authentification est faite pour vous. Nous allons vous créer une clé USB avec votre fichier clé. Votre clé USB sera donc une véritable clé à devoir absolument utiliser pour pouvoir accéder à votre base de données cryptée KeePass, car votre mot de passe principal seul ne fonctionnera alors pas.
[box type=”note” align=”aligncenter” class=”” width=”auto”]
Note : nous vous proposons la solution d’un fichier clé sur une clé USB alors que cela pourrait très bien s’installer sur votre ordinateur. Dans ce cas, nous vous conseillons de le cacher dans votre arborescence en ne le laissant pas facilement à la portée de quiconque. Toutefois, disposer ce fichier sur une clé USB apporte une meilleure sécurité et une praticité supplémentaire si vous utilisez la version portable de KeePass.
[/box]
C’est à la création de votre base de données sous KeePass que vous pouvez choisir cette option et il vous faudra alors cocher les 2 solutions que l’on voit ci-dessous :
Vous bénéficierez ainsi du Master password (le mot de passe maître) et du Key file (le fichier clé). Cette double authentification est encore la meilleure sécurité qui puisse exister en plus de sécuriser l’accès à votre ordinateur, de posséder un anti-publicité (ce que recommande Snowden également), un antivirus à jours et en analyse en temps réel ainsi qu’un bon firewall (pare-feu).
Si vous désirez un niveau supplémentaire dans la paranoïa, alors vous pouvez même crypter votre clé USB contenant votre fichier clé (à l’aide d’un logiciel open-source comme VeraCrypt, digne successeur de TrueCrypt) mais vous pouvez également utiliser des clés USB déjà prévues à cet effet avec même un petit clavier intégré dessus pour taper votre mot de passe alors que cette clé USB se sera chargé de bien crypter le contenu de celle-ci.
Mot de passe maître AES-256 bits + fichier clé sur clé USB cryptée AES-256 bits !
Conclusion
KeePass est tout simplement le meilleur en reposant sur le meilleur chiffrement qui existe. Apporter une double authentification avec un fichier clé est la solution ultime, surtout si vous utilisez encore par-dessus une clé USB cryptée en AES-256 déverrouillable par un code PIN.
Si une écrasante majorité d’administrations et de gouvernements dans le monde l’utilisent, ce n’est pas pour rien, sans compter ses nombreuses certifications officielles, les audits passés dessus et sans compter la NSA qui ne parvient toujours pas à casser son chiffrement, vous êtes bien avec le meilleur gestionnaire de mots de passe que tout ordinateur devrait posséder de base et cela quel que soit votre domaine d’activité.
