KeepassXC comme gestionnaire de mot de passe

Présentation de KeepassXC

Keepass, KeepassX, KeepassXC… quelle différence ?

Plusieurs gestionnaires de mots de passe ont un nom proche. Certains s’appuient sur le même code, d’autres utilisent seulement le même format de base de données.

KeepassXC est un « fork » de KeepassX. Ce dernier est un port multi-plateforme de Keepass qui n’était disponible que sous Windows. Depuis la version 2, Keepass peut également fonctionner sur Mac et Linux en utilisant Mono. Keepass utilise deux formats de base de données : la version 1 en .kdb et la version 2 en .kdbx. KeepassX et KeepassXC utilisent le format de la version 2 (.kdbx) mais peuvent importer l’autre format.

Le développement de KeepassX est devenu lent (la dernière version date de 2016) et son mainteneur ne donnait pas de réponse quant à une possible mise à jour. Un fork – KeepassXC – a ainsi été créé pour poursuivre le développement et ajouter de nouvelles fonctionnalités.

Il existe d’autres programmes ayant un nom similaire, il s’agit souvent de port pour les smartphones iPhone / Android / Windows Phone.

Pour résumer, Keepass2 et KeepassXC sont deux logiciels différents évoluant chacun de leur côté. La principale différence est la technologie utilisée. Le premier requiert la plateforme .NET de Microsoft pour Windows et Mono pour les versions Linux et macOS, tandis que le second utilise Qt. Le premier est codé en C# tandis que le second est codé en C++. Keepass2 possède également des plugins pour compléter ses fonctionnalités tandis que KeepassXC n’en possède pas. À vous de voir ce qui vous convient le mieux.

Mon choix : KeepassXC

KeepassXC est un gestionnaire de mots de passe multi-plateforme. Il est disponible sur Windows, macOS et Linux. Un tel gestionnaire a pour objectif de vous aider à gérer vos mots de passe : il permet de générer des mots de passe sécurisés, de les organiser et de vous aider à les saisir. Il s’agit d’un logiciel libre distribué sous la licence GNU General Public License.

Le gestionnaire crée une base de données encryptée. De cette manière, si le fichier tombe entre de mauvaises mains, il ne pourra pas être lu sans le mot de passe maître. Rappelez-vous : vous n’aurez plus qu’à retenir un seul mot de passe. Il est donc important que vous définissiez un mot de passe fort pour votre base de données.

Gérer votre base de données de mots de passe

KeepassXC vous permet de créer différentes catégories pour mieux organiser vos mots de passe. Chaque catégorie peut également être agrémentée d’une icône différente. Ainsi, vous pourrez facilement retrouver vos mots de passe en fonction du type : réseaux sociaux, administratif, etc.

Chaque entrée n’est pas forcément liée à un site. Vous pouvez y stocker les mots de passe de vos clés SSH, d’un document chiffré, etc.

Pour chaque nouvelle entrée, le gestionnaire de mots de passe vous propose de générer lui-même un mot de passe fort. Vous pouvez configurer le type de caractères à utiliser (majuscules, minuscules, chiffres, caractères spéciaux et ASCII étendu) ainsi que la longueur de mot de passe. En fonction des options choisies, KeepassXC vous indique la qualité du mot de passe : faible, bon ou excellent. Étant donné que vous n’aurez pas à vous souvenir de ces mots de passe, je vous conseille de viser « Excellent ».

Utiliser KeepassXC

À l’ouverture de KeepassXC, celui-ci vous propose d’ouvrir la dernière base de données ouverte. Vous pouvez modifier ce comportement dans les paramètres, mais s’il s’agit de votre ordinateur personnel, ça vous évite de rechercher le fichier à chaque utilisation. Il vous faudra alors saisir votre mot de passe sécurisé (de préférence) pour accéder à l’ensemble de vos mots de passe. Pour utiliser ces mots de passe, plusieurs solutions s’offrent à vous.

La méthode manuelle

Cette méthode n’est pas la plus rapide, mais si vous n’avez pas envie de vérifier chaque paramètre pour la saisie automatique ou si vous ne souhaitez pas utiliser d’extension, elle fera l’affaire.

Dans votre base de données, vous vous positionnez sur le site sur lequel vous souhaitez vous identifier. Vous ouvrez l’URL avec le raccourci ctrl + maj + u. Vous retournez sur votre base de données et :

• le raccourci ctrl + b vous permet de copier temporairement le nom d’utilisateur dans le presse-papier.
• le raccourci ctrl + c vous permet de copier temporairement le mot de passe dans le presse-papier.

Ensuite, vous retournez sur le site et vous coller le contenu du presse-papier dans le champ correspondant. Évidemment, vous devez d’abord copier-coller l’un, puis l’autre. Il ne reste plus qu’à valider.

Ici, je vous explique la procédure en utilisant les raccourcis clavier, mais vous pouvez faire la même chose avec un clic droit sur l’entrée.

La saisie automatique

Dans votre base de données, vous vous positionnez sur le site sur lequel vous souhaitez vous identifier. Vous ouvrez l’URL avec le raccourci ctrl + maj + u. Vous retournez sur votre base de données et vous utilisez le raccourci ctrl + maj + v. KeepassXC remplira les champs pour vous.

Pour utiliser cette méthode, il faut s’assurer que les champs correspondent au format par défaut. Certains sites n’ont que deux champs : nom d’utilisateur et mot de passe. D’autres sites ont des champs supplémentaires, comme un code postal par exemple. Vous pouvez personnaliser ces champs dans les propriétés de l’entrée pour les faire correspondre au site.

De même, par défaut, il est prévu qu’une case à cocher « se souvenir de moi » se situe juste après la case mot de passe. Certains sites nécessitent plusieurs « tab » avant d’arriver à cette case, d’autres n’en proposent pas. Il faut modifier la séquence pour la faire correspondre.

La séquence pourrait ressembler à :

// La chaîne de départ
{USERNAME}{TAB}{PASSWORD}{TAB}{SPACE}{ENTER}

// 2 tabulations pour arriver à la case à cocher
{USERNAME}{TAB}{PASSWORD}{TAB}{TAB}{SPACE}{ENTER}

// Saisir le code postal avec une chaîne fixe
{USERNAME}{TAB}38100{TAB}{PASSWORD}{TAB}{SPACE}{ENTER}

// Saisir le code postal en utilisant un attribut nommé CodePostal
{USERNAME}{TAB}{S:CodePostal}{TAB}{PASSWORD}{TAB}{SPACE}{ENTER}

Une extension pour votre navigateur

KeepassXC dispose d’une extension compatible avec Firefox, Chrome, Chromium et Vivaldi : KeepassXC-Browser. Une fois installé, une nouvelle icône apparaîtra dans votre navigateur vous permettant de connecter votre base de données à l’extension. Un identifiant vous sera demandé pour mémoriser la connexion entre ce navigateur et votre base de données ; vous pouvez choisir le nom que vous souhaitez.

Maintenant, dès que vous consulterez une page nécessitant de s’authentifier, KeepassXC-Browser vous proposera d’autoriser son accès à la base de données (vous pouvez mémoriser ce choix). Il cherchera alors si un mot de passe correspond au site dans votre base de données. Cette vérification se fait grâce au champ URL des différentes entrées. S’il y a une correspondance, vous pourrez remplir automatiquement les champs grâce à l’extension. Soit via l’icône (le plus rapide), soit par un clic droit et en choisissant l’option dans le menu contextuel.

Si vous saisissez vos identifiants manuellement, KeepassXC-Browser peut détecter si le mot de passe ne correspond pas à celui enregistré en base de données. Il vous proposera de le mettre à jour. De même, une fois les identifiants saisis manuellement : si vous faites un clic droit sur le champ, le menu contextuel de KeePassXC-Browser vous propose « Enregistrer les identifiants ». Les identifiants seront alors enregistrés dans votre base de données.

À noter : pour utiliser l’extension, il faudra vérifier les paramètres de KeepassXC : l’option « Activer l’intégration au navigateur » doit être cochée.

Pour les clés SSH

Vous pouvez définir une entrée SSH avec un titre et un mot de passe. Dans la fenêtre d’édition de l’entrée, vous aurez un onglet « Agent SSH ». Cet onglet vous permet de définir la clé privée correspondante et des paramètres d’ajout/suppression de la clé de l’agent SSH.

En revanche, si vous voulez utiliser la complétion automatique depuis un terminal, il faudra quelques manipulations supplémentaires. Il faut installer un programme pour afficher une fenêtre de dialogue à la demande de la clé SSH. J’ai tenté openssh-askpass sans succès. Finalement, j’ai installé x11-ssh-askpass malgré son affichage très sommaire (il est possible de le modifier, mais ce n’est pas le sujet ici). Ensuite, sur Linux, dans votre dossier /home/user, il faut éditer le fichier  .profile :

// Remplacez user par votre nom d’utilisateur
nano /home/user/.profile

// Ajoutez :
export SSH_ASKPASS=/usr/lib/ssh/ssh-askpass

La prochaine fois que vous aurez à saisir votre clé, une fenêtre s’affichera vous demandant si vous voulez utiliser celle définie dans KeepassXC.

Sur smartphone

Pour l’utiliser sur un smartphone, il faut au préalable copier votre base de données dans un répertoire du téléphone. Il faut également penser à la mettre à jour régulièrement si vous modifiez ce fichier sur votre PC.

Il existe différents ports permettant d’ouvrir votre base de données. Étant sur Android, j’utilise personnellement KeePass2Android. Vu sa simplicité d’utilisation, je vous recommande cette application.

Avant de l’utiliser, il faut déjà renseigner votre base de données l’application. Ensuite, lorsque vous visiterez une page nécessitant de s’authentifier, si vous vous placez sur un champ à remplir, vous verrez « Remplir avec Keepass2Android ». L’application se chargera de remplir les champs pour vous.

Je ne sais pas si les autres applications fonctionnent de la même manière. Il y a quelques années, j’en utilisais une autre qui ne fonctionnait qu’avec des copier-coller. Son utilisation n’était donc pas aussi pratique.

Pour terminer, quelques précisions

Les captures d’écran présentent dans l’article sont sombres. KeepassXC s’adapte directement au thème utilisé sur votre système d’exploitation. Sur Manjaro, j’utilise un thème sombre, ainsi KeepassXC utilise lui aussi un thème sombre. Ceci dit, j’ai tenté de changer de thème pour vous montrer la différence mais KeepassXC restait sombre…

Certains sites (comme les banques) ne proposent pas de champ à remplir pour le mot de passe. Il faut saisir des nombres sur un clavier propre au site. Dans ce cas-là – à moins de ne pas avoir trouvé l’option – KeepassXC ne pourra pas remplir automatiquement le champ. Il vous faudra faire un clic droit sur l’entrée correspondante, choisir « Modifier l’entrée », puis cliquer sur l’œil pour afficher le mot de passe. Là, vous pourrez le mémoriser temporairement pour le saisir sur le site. La solution n’est pas idéale, mais c’est le mieux que j’ai pu trouver pour le moment.