Avis KeePass (décembre 2023) : la solution en « local »

Créé par l’allemand Dominik Reichl il y a près de 20 ans en 2003, KeePass est un gestionnaire de mots de passe uniquement en « local ». Vous devrez télécharger l’application et tous les modules complémentaires que vous souhaitez afin d’accéder à vos mots de passe. Malgré une interface un peu austère, cette solution devrait être installée sur votre ordinateur comme gestionnaire principal ou comme « Plan B » en cas de défaillance de votre solution en ligne.

Il existe de nombreux gestionnaires de mots de passe et la majorité d'entre eux sont en ligne, c'est-à-dire qu'ils vont stocker vos informations (chiffrées et qui ne peuvent être accédées qu'à l'aide de votre mot de passe maître) sur leurs serveurs. Cela les rend très pratiques : vous pouvez accéder facilement à vos données sur l'ensemble de vos appareils grâce à une synchronisation automatique dès qu'une modification est effectuée. Cependant, ils ne sont pas sans risque, comme les utilisateurs de LastPass l'ont découvert récemment.

En ce mois de mars 2023, peut-être avez-vous envie de reprendre un peu le contrôle sur vos données. Et si son utilisation n'est pas toujours des plus simples, un gestionnaire de mots de passe en local et open source comme KeePass est une excellente option. D'autant plus que malgré ses nombreuses années d'existence, le logiciel est toujours régulièrement mis à jour, avec une version 2.53 sortie le mois dernier.

Mais même si KeePass est considéré comme plus sécurisé car en local, le logiciel n'est pas à l'abri des vulnérabilités. Il a été découvert qu'il était possible pour des acteurs malveillants qui disposent des droits d'écriture sur un appareil de modifier le fichier de configuration XML de KeePass et d'y ajouter un trigger. Ainsi, la prochaine fois que l'utilisateur entre son master password pour déchiffrer sa base de données, un export est lancé sans qu'il soit prévenu et les hackers peuvent récupérer toutes les informations de la base de données, noms d'utilisateurs et mots de passe inclus, en clair.

À la suite de cette découverte, les utilisateurs ont demandé l'ajout d'une confirmation avant toute exportation de données. Mais les développeurs de KeePass ont nié le fait que c'était une vulnérabilité, en indiquant que si les attaquants avaient les droits d'écriture sur un appareil, ils avaient de nombreuses façons de l'attaquer et de récupérer des informations stockées sur KeePass. Ils ont ajouté que "KeePass ne peut pas, par magie, fonctionner en toute sécurité dans un environnement non sécurisé".

L'avantage, c'est que contrairement à un gestionnaire en ligne, vous avez plus de liberté pour sécuriser vous-mêmes votre installation de KeePass dans ce genre de cas.

L’offre

Elle se limite à une version gratuite. KeePass ne fait pas dans le « bling bling ». Ce logiciel répond à votre principal besoin : sauvegarder vos mots de passe. L'essentiel est ailleurs : dans ces nombreuses options de réglages (dont la plupart sont à réserver aux initiés).

Interface et ergonomie

Apparu il y a presque 20 ans, KeePass fait figure de dinosaure avec son interface un peu vieillotte, son ergonomie pas vraiment intuitive au premier abord et l’absence de synchronisation entre différents appareils (c’est en effet un logiciel qui stocke en local vos mots de passe). Une fois qu’on a écrit ces quelques lignes, on peut se demander si KeePass doit être encore utilisé en 2023. La réponse est oui !

En apparence, on ne peut installer KeePass que sur un ordinateur fonctionnant sous Windows (attention, téléchargez la version officielle que sur ce site. Il existe en effet de nombreux clones malveillants). En réalité, il existe de nombreuses déclinaisons (« ports » en anglais) pour tous les systèmes d’exploitation d’ordinateurs et de téléphones mobiles.  

Avec KeePass, le partage n’est pas vraiment intuitif. Vous devez partager votre base de données complète sur un disque dur ou un autre réseau où d’autres personnes peuvent y accéder avec votre mot de passe principal. Pas vraiment recommandé. Les options de partage des gestionnaires en ligne sont mieux adaptées à ce genre de pratiques (à utiliser toutefois avec précaution et modération).

KeePass est également entièrement personnalisable grâce à de nombreux plug-ins qui font tout, de l’amélioration de l’interface à la synchronisation de la base de données de mots de passe avec Dropbox. Pour synchroniser votre base de données avec vos différents appareils mobiles, il est nécessaire de la stocker dans le cloud (Google Drive, Dropbox, OneDrive, etc.). C’est moins pratique qu’avec un « vrai » gestionnaire de mots de passe en ligne, mais c’est jouable. Pensez à chiffrer cette base de données avant de la mettre dans le cloud. Une sécurité supplémentaire…

Par contre, quelle confiance peut-on accorder à ces « ports » non officiels et aux multiples plug-ins ? Sont aussi sûrs que le code source de ce logiciel ? Le risque n’est pas négligeable. Et cette question mérite d’être posée, car certains plug-ins pourraient injecter du code malveillant dans votre répertoire KeePass, infectant ainsi votre ordinateur.

La sécurité

KeePass est disponible en deux versions, KeePass 1.x et KeePass 2.x avec chacune deux algorithmes de chiffrement (AES + Twofish ou ChaCha20). La base de données KeePass complète est cryptée, y compris les noms d’utilisateur, les URL et les mots de passe. Pour accéder à votre base de données, cette solution (comme d’autres) utilise une fonction de dérivation de clé. KeePass supporte AES-KDF et Argon2 dans sa dernière édition, cette dernière étant un KDF plus moderne. Encore une fois, le risque se situe au niveau des plug-ins et des « ports ».

Fonctionnalités additionnelles

En plus des nombreuses versions à installer sur ordinateur et smartphones, KeePass est également disponible en version « portable » c’est-à-dire qui ne nécessite pas d’installation locale. Vous pouvez la stocker sur une clé USB et lancer le logiciel depuis n’importe quelle machine. Cette solution permet ainsi d’emporter vos mots de passe partout où vous allez, mais avouons quand même que cela est moins pratique qu’un gestionnaire en ligne. À chacun de trouver le bon compromis entre la confidentialité de sa base de données et l’aspect pratique.

En fin de compte, KeePass est peut-être un peu difficile à utiliser, en partie parce qu’il est bourré de fonctionnalités. Par contre, vous disposez d’un contrôle granulaire sur la manière dont vous créez, cryptez et stockez vos bases de données, jusqu’à la méthode d’authentification que vous souhaitez utiliser et la forme de cryptage. Vous pouvez même définir le nombre d’itérations pour la fonction de dérivation de clé. Autant d’options qui n’intéresseront pas la majorité du grand public.

La version « portable » s’avère très pratique pour consulter ses comptes depuis un appareil qui n'est pas le nôtre. Enfin, comme mentionné plus haut, KeePass est un gestionnaire de mots de passe uniquement local, ce qui signifie qu’il n’y a pas d’interface pour navigateur, ni d’applications mobiles officielles. Heureusement, il existe une multitude de « ports » non officiels pour Android, iPhone…