Je traduis de l’anglais au français le gestionnaire de mots de passe libre KeePass qui évite de ne plus se soucier de la gestion de ses mots de passe. La version 2.x de KeePass est sa version professionnelle (par exemple : on peut ajouter dans sa version 2.x entre autres plusieurs pièces jointes à une entrée de mot de passe, comme une clé de chiffrement privée SSH, ou une clé de chiffrement privée PGP alors que dans sa version 1.x cette fonctionnalité implémentée n’est que d’une seule pièce jointe par entrée) ; la version 1.x de KeePass est un peu plus rudimentaire que la version 2.x. Un mécanisme d’historique des entrées de mot de passe permet de ne pas se tracasser avec les changements de mots de passe au fil du temps puisque chaque ancien mot de passe est « historisé » ce qui permet leur traçabilité.

Je lui ai incorporé le dictionnaire bilingue du gouvernement canadien qui m’a été donné par un membre francophone qui y avait accès. De plus, le logiciel comporte le dictionnaire anglais-français REVERSO PROMT 5 avec son dictionnaire en supplément spécialisé en informatique.

Le logiciel est disponible à cette adresse : https://www.keepass.info/download.html.

La traduction se trouve à cette adresse : https://www.keepass.info/translations.html.

Dans la cible de sécurité de KeePass 2.10 en mode portable commanditée par l’ANSSI à Thales que j’ai lue, il est indiqué deux failles dans le logiciel :

1. Celle du presse-papiers (« clipboard » en anglais) où lorsqu’on copie le mot de passe d’une entrée de KeePass pour le coller ailleurs, il est inscrit en clair (c’est-à-dire non chiffré) dans le presse-papiers, car aucune application sous Windows ne sait aller lire une information chiffrée dans le presse-papiers ; c’est la raison pour laquelle l’information reste en clair un certain moment avant de s’effacer et dont le temps de rétention dans le presse-papiers est configurable en secondes dans les paramètres du logiciel KeePass. Avec la saisie automatique globale (raccourci clavier Ctrl+Alt+A par défaut) et l’option « Obfuscation de la saisie automatique à deux canaux », aucun des enregistreurs de frappe actuels ou espions de presse-papiers actuellement disponible ne peut écouter un processus de saisie automatique obfusquée, mais il est théoriquement possible d’écrire une application d’espionnage dédiée à la journalisation de la saisie automatique obfusquée. L’enregistreur de frappe n’intercepte toujours que la même moitié de la chaîne de caractères qui compose le mot de passe dans le presse-papiers. L’autre moitié est envoyée par la fonction SendInput qui simule des touches pressées ←, →, et passe l’autre moitié des caractères qui ne passe pas par le presse-papiers pour recomposer le mot de passe en entier. Pour plus d’information alors cf. installer le fichier avec l’extension .chm qui contient la documentation locale du logiciel en français téléchargeable au format d’archive zippée sur le site officiel de KeePass au bas de la page des traductions (https://www.keepass.info/translations.html), ou bien cf. l’aide qui est en ligne ici.
2. Lorsque le mot de passe a été copié dans le presse-papiers et que l’ordinateur est passé aussitôt en mode hibernation (veille prolongée) sous Windows alors il est possible d’aller retrouver le mot de passe en clair sur l’image de la mémoire vive (RAM pour Random-Access Memory) recopiée sur le disque après hibernation.

Sinon, selon son auteur, KeePass pare la plupart des enregistreurs de frappe sur une saisie du mot de passe maître sur un bureau sécurisé, mais *pas* tous !

Sinon stocker ses mots de passe sur un grand système permet de s’affranchir à mon sens du presse-papiers. Mais utiliser, un grand système pour stocker ses mots de passe est bien moins souple et flexible qu’un logiciel comme KeePass qui s’installe sur smartphone, PDA, etc., et est bien plus onéreux.

KeePass se couple aux smartphones (Android, BlackBerry, iPhone, Windows Phone). A priori, il faut chiffrer ses documents sur le nuage (pas un nuage nécessairement américain suivant sa citoyenneté, notamment si on est citoyen européen) avec par exemple le logiciel libre VeraCrypt et pourtant ne pas y déposer ses bases de données de mots de passe chiffrées que nous garderons sur un support local. Ici, la base de données des mots de passe peut être chiffrée en AES avec une clé de 256 bits.

Pour KeePass, il n’y a que la clé principale à se souvenir qui peut être composée, c’est-à-dire le mot de passe maître, et/ou l’emplacement d’un fichier clé pour authentification, et/ou sur sa version 2.x le compte (credential) utilisateur Windows, et/ou une clé supplémentaire avec un greffon, et/ou un certificat électronique grâce à un greffon de KeePass. Ensuite, une fois la clé principale saisie on peut utiliser un générateur automatique et sophistiqué pour tous ses mots de passe enfants.

Nous garderons la feuille de secours imprimée du logiciel KeePass 2.x que nous aurons remplie sur une surface *dure* dans notre portefeuille. Elle contient toutes les informations de la clé principale d’ouverture de la base de données de nos mots de passe pour KeePass 2.x. Pour KeePass 1.x, il faut noter sur une surface *dure* les informations de la clé principale d’ouverture de la base de données de nos mots de passe dans une feuille que nous garderons dans notre portefeuille. Vous pouvez également donner ces informations à votre avocat en Droit pénal. Vous ne garderez évidemment pas cette feuille dans votre portefeuille lors d’un voyage à l’étranger si vous ne comptez pas donner vos mots de passe (notamment de vos comptes anonymes ou non des réseaux sociaux auxquels vous avez souscrits) aux douaniers notamment aux États-Unis si vous êtes citoyen européen et de surcroît journaliste, avocat, médecin ou professionnel. La base de données sera gardée dans un coffre-fort à la banque, chez votre avocat, et ainsi de suite…

A priori, il n’y a que quatre mots de passe à se souvenir : celui d’ouverture de session sur votre ordinateur, celui de KeePass, celui qui permet de chiffrer votre disque et celui de votre boîte aux lettres électronique.

Il vous faut également une sauvegarde chiffrée de toutes vos données hors site en cas d’incendie, d’inondation, d’intrusion informatique, de saisie, de vol, de perte ou si votre ordinateur est en panne ou cassé *mais* pas n’importe où ! Et, également sauvegarder vos données sur un ordinateur non relié à l’Internet.

Normalement, la règle à retenir c’est : changer ses mots de passe régulièrement, c’est-à-dire tous les deux ou trois mois ; ceci est configurable et gérable automatiquement dans le logiciel par un mécanisme associé à chaque entrée ; puis de les faire tester, aussitôt après changement, par une tierce personne de confiance afin de vérifier qu’ils fonctionneront correctement le jour où ils nous seront nécessaires. Il est également recommandé de ne pas changer un mot de passe un vendredi (par exemple : en France) en production afin de ne pas être éventuellement bloqué un week-end à cause d’un mot de passe qui ne fonctionnerait pas ; puisque les week-ends les collaborateurs d’une entreprise (je ne parle pas d’une entreprise terroriste…) qui travaillerait 7j/7 sont pour la plupart chez eux à leur domicile et donc pas présents sur leur lieu de travail et par conséquent ne peuvent interagir sur la résolution d’un incident d’un mot de passe quelconque en production qui ne fonctionnerait plus depuis qu’il a été modifié la veille (par exemple : si l’on est un samedi en France) ou l’avant-veille (par exemple : si l’on est un dimanche en France). Sinon, bien sûr, il faut évidemment changer tous les mots de passe concernant un collaborateur qui quitterait l’entreprise soit après avoir été remercié par les ressources humaines ou bien s’il souhaite aller découvrir de nouveaux horizons ailleurs.

Il s’installe sur tous les principaux systèmes d’exploitation des ordinateurs du marché.

Chaque nouveauté de KeePass par rapport à sa version précédente est visible depuis la page d’accueil de son site officiel.

Voici les mécanismes qui sont utilisés sur KeePass pour s’assurer que nous disposons de la bonne version et qu’elle n’a pas été altérée ou falsifiée (vérifier l’intégrité de vos téléchargements avec son empreinte numérique, sa signature numérique et sa taille) : Hash Sums, OpenPGP Signatures, et .NET Public Keys.

A sa compilation, une clé de compilation est gardée secrète par l’auteur du logiciel ; ce qui signifie que si nous recompilons le code source nous-mêmes avec Visual Studio 2008 sans cette clé gardée secrète alors nous obtenons une empreinte numérique et une taille différentes de l’exécutable compilé officiellement (pour information : le fichier .msi pour le déployer sur un réseau d’ordinateurs est compilé avec Visual Studio Community 2017 avant la version 2.55 puis avec Visual Studio 2022 à partir de la version 2.55).

Sur Windows, KeePass doit passer sans problème le filtre SmartScreen de Microsoft sinon il y a de très fortes probabilités qu’un intrus ait pénétré votre système d’exploitation. Auquel cas, il faut refaire votre système d’exploitation depuis zéro ou bien restaurer son image disque sauvegardée juste avant le moment où le filtre SmartScreen n’a pas neutralisé cette intrusion. Des antivirus sur Windows, tels que Kaspersky, arrivent à identifier de tels clones malveillants de KeePass qui comportent des chevaux de Troie.

En cas de vol ou suspicion de fraude de la base de données chiffrée de ses mots de passe, alors il s’avère impératif de changer aussitôt tous ses mots de passe ainsi que la clé principale (avec un mot de passe fort) d’accès à la base de données des mots de passe de KeePass.

Je tiens à remercier vivement tous les traducteurs bénévoles qui m’ont aidé, depuis déjà *plus* de dix ans, dans ma tâche.