Des gestionnaires de mots de passe, il en existe plein. Mais Heimlane Vault est un service français bâti sur une architecture zéro connaissance et un empilement d'algorithmes de chiffrement conformes aux recommandations de l'ANSSI et de l'OWASP. Il est disponible gratuitement pour les particuliers avec des offres pour les entreprises.
1Password, Dashlane, Bitwarden, Proton Pass, LastPass... il existe plusieurs solutions, mais comme bien souvent, ce sont les solutions américaines qui sont le plus largement médiatisées. Connaissez-vous Heimlane Vault ? Cette solution française vaut pourtant le détour.
Un chiffrement conforme ANSSI, pas seulement un argument marketing
Tout se passe côté client. Vos données sont chiffrées sur votre appareil avant d'être transmises aux serveurs d'Heimlane. La société ne reçoit donc jamais vos identifiants en clair - c'est le principe du zéro connaissance. Même en cas de compromission des serveurs, les données volées sont inexploitables sans votre clé de déchiffrement, que vous seul détenez.
La pile cryptographique est documentée dans la fiche technique du service. Pour protéger la dérivation des clés maîtres, Vault s'appuie notamment sur Argon2id et PBKDF2 - deux algorithmes conçus pour rendre les attaques par force brute coûteuses, à la fois en temps et en ressources. Le chiffrement des données repose sur AES-256, standard utilisé par les gouvernements pour protéger des informations classifiées. Le partage d'identifiants entre membres d'une équipe mobilise RSA-2048, un chiffrement à clé publique : les credentials circulent sans jamais exposer la clé privée. Les échanges avec les serveurs transitent via TLS 1.3, la version la plus récente du protocole de sécurité des communications. L'ensemble est déclaré conforme aux dernières recommandations de l'Open Worldwide Application Security Project (OWASP) et à celles de ANSSI référencées sous la note PG-078.
La protection contre les attaques web passe par une politique CSP de niveau strict. Pour rappel, la "Content Security Policy" est un mécanisme qui indique au navigateur quels scripts il est autorisé à exécuter. En niveau strict, cela bloque les injections de code malveillant (XSS), les tentatives de détournement de clics (clickjacking) et les injections de scripts tiers non autorisés.
Segmentation réelle par zone, pas par liste de contrôle
Dans la plupart des gestionnaires d'équipe, les droits d'accès fonctionnent comme une liste de portes autorisées : le logiciel décide qui peut ouvrir quoi, mais toutes les données sont protégées par la même clé de chiffrement. Si cette clé est compromise, tout l'ensemble est exposé.
Heimlane Vault fonctionne différemment. Chaque coffre partagé possède sa propre clé de chiffrement, indépendante des autres. Un collaborateur qui n'a pas accès à un coffre donné ne dispose pas de sa clé - et sans clé, les données sont illisibles, même pour quelqu'un qui aurait un accès direct au serveur. Les droits ne sont donc pas seulement gérés par le logiciel, ils sont gravés dans le chiffrement lui-même.
Le service stocke bien plus que des mots de passe. On peut y placer des notes sécurisées, des fichiers chiffrés, des cartes bancaires, des clés SSH ou des données d'identité personnelles. Une fonction d'enveloppe sécurisée permet des échanges externes chiffrés, y compris avec des personnes qui n'ont pas de compte Heimlane.
En conformité avec le RGPD, les serveurs sont hébergés chez OVH en France et chez Hetzner en Allemagne. Soulignons que l'authentification biométrique (Face ID, Touch ID...) est prise en charge sur mobile.
Dans sa version gratuite, Heimlane Vault propose de stocker un nombre illimité d'éléments sur un nombre illimité d'appareils. Notons qu'il est aussi possible d'importer des mots de passe exportés depuis d'autres gestionnaires de mots de passe. Dans notre prise en main, l'import de 1775 éléments a tout de même pris 15 bonnes minutes. Pour 1€/mois, l'utilisateur dispose en plus de 1 Go de stockage pour y placer des documents, 1 Go supplémentaire pour partager des fichiers ou encore d'alertes de sécurité
- Stockage local des données
- Chiffrement des informations
- Extension navigateur intégrée
