Avis KeePass (avril 2024) : la solution en « local »

KeePass est un gestionnaire de mots de passe surprenant qui se distingue par sa sécurité et son utilisation en local. Pour en savoir plus sur ce service pas comme les autres, voici notre avis sur KeePass en avril 2024.

Actuellement, la plupart des gestionnaires de mots de passe sont dits "en ligne". Cela signifie que vos données sont envoyées et chiffrées sur les serveurs des fournisseurs, afin qu'elles puissent être accessibles et automatiquement synchronisées sur l'ensemble de vos appareils. C'est une option très pratique et qui convient parfaitement à la majorité des utilisateurs, bien qu'elle ne soit pas toujours sûre, comme les clients de LastPass en ont fait l'amère expérience. Mais la fonctionnalité est considérée comme assez sécurisée pour qu'elle soit aujourd'hui majoritaire.

Cependant, pour ceux qui voudraient posséder un contrôle plus précis sur leurs données et leur stockage, il existe également des gestionnaires "en local". KeePass fait partie de cette catégorie et est désormais un choix classique de gestionnaire pour les utilisateurs les plus avancés. Certes, son interface n'est pas vraiment accueillante, mais sa gratuité, son choix de l'open source, sa présence depuis de nombreuses années et ses modules complémentaires qui multiplient ses fonctionnalités et ses possibilités de personnalisation en font un choix idéal pour les utilisateurs les plus avertis.

L’offre

Elle se limite à une version gratuite. KeePass ne fait pas dans le « bling bling ». Ce logiciel répond à votre principal besoin : sauvegarder vos mots de passe. L'essentiel est ailleurs : dans ces nombreuses options de réglages (dont la plupart sont à réserver aux initiés).

Interface et ergonomie

Apparu il y a presque 20 ans, KeePass fait figure de dinosaure avec son interface un peu vieillotte, son ergonomie pas vraiment intuitive au premier abord et l’absence de synchronisation entre différents appareils (c’est en effet un logiciel qui stocke en local vos mots de passe). Une fois qu’on a écrit ces quelques lignes, on peut se demander si KeePass doit être encore utilisé en 2024. La réponse est oui !

En apparence, on ne peut installer KeePass que sur un ordinateur fonctionnant sous Windows (attention, téléchargez la version officielle que sur ce site. Il existe en effet de nombreux clones malveillants). En réalité, il existe de nombreuses déclinaisons (« ports » en anglais) pour tous les systèmes d’exploitation d’ordinateurs et de téléphones mobiles.  

Avec KeePass, le partage n’est pas vraiment intuitif. Vous devez partager votre base de données complète sur un disque dur ou un autre réseau où d’autres personnes peuvent y accéder avec votre mot de passe principal. Pas vraiment recommandé. Les options de partage des gestionnaires en ligne sont mieux adaptées à ce genre de pratiques (à utiliser toutefois avec précaution et modération).

KeePass est également entièrement personnalisable grâce à de nombreux plug-ins qui font tout, de l’amélioration de l’interface à la synchronisation de la base de données de mots de passe avec Dropbox. Pour synchroniser votre base de données avec vos différents appareils mobiles, il est nécessaire de la stocker dans le cloud (Google Drive, Dropbox, OneDrive, etc.). C’est moins pratique qu’avec un « vrai » gestionnaire de mots de passe en ligne, mais c’est jouable. Pensez à chiffrer cette base de données avant de la mettre dans le cloud. Une sécurité supplémentaire…

Par contre, quelle confiance peut-on accorder à ces « ports » non officiels et aux multiples plug-ins ? Sont aussi sûrs que le code source de ce logiciel ? Le risque n’est pas négligeable. Et cette question mérite d’être posée, car certains plug-ins pourraient injecter du code malveillant dans votre répertoire KeePass, infectant ainsi votre ordinateur.

La sécurité

KeePass est disponible en deux versions, KeePass 1.x et KeePass 2.x avec chacune deux algorithmes de chiffrement (AES + Twofish ou ChaCha20). La base de données KeePass complète est cryptée, y compris les noms d’utilisateur, les URL et les mots de passe. Pour accéder à votre base de données, cette solution (comme d’autres) utilise une fonction de dérivation de clé. KeePass supporte AES-KDF et Argon2 dans sa dernière édition, cette dernière étant un KDF plus moderne. Encore une fois, le risque se situe au niveau des plug-ins et des « ports ».

Fonctionnalités additionnelles

En plus des nombreuses versions à installer sur ordinateur et smartphones, KeePass est également disponible en version « portable » c’est-à-dire qui ne nécessite pas d’installation locale. Vous pouvez la stocker sur une clé USB et lancer le logiciel depuis n’importe quelle machine. Cette solution permet ainsi d’emporter vos mots de passe partout où vous allez, mais avouons quand même que cela est moins pratique qu’un gestionnaire en ligne. À chacun de trouver le bon compromis entre la confidentialité de sa base de données et l’aspect pratique.

En fin de compte, KeePass est peut-être un peu difficile à utiliser, en partie parce qu’il est bourré de fonctionnalités. Par contre, vous disposez d’un contrôle granulaire sur la manière dont vous créez, cryptez et stockez vos bases de données, jusqu’à la méthode d’authentification que vous souhaitez utiliser et la forme de cryptage. Vous pouvez même définir le nombre d’itérations pour la fonction de dérivation de clé. Autant d’options qui n’intéresseront pas la majorité du grand public.

La version « portable » s’avère très pratique pour consulter ses comptes depuis un appareil qui n'est pas le nôtre. Enfin, comme mentionné plus haut, KeePass est un gestionnaire de mots de passe uniquement local, ce qui signifie qu’il n’y a pas d’interface pour navigateur, ni d’applications mobiles officielles. Heureusement, il existe une multitude de « ports » non officiels pour Android, iPhone…