Dans la jungle des gestionnaires de mots de passe

Le dans «Divers» par Eldeberen

Travaillant dans le domaine de l’informatique et sa sécurité, je prêche régulièrement l’usage de gestionnaires de mots de passe pour sensiblement améliorer le niveau de sécurité des comptes en ligne de mes proches.

Autant personnellement j’utilise l’excellent passwordstore (avec un plugin dmenu légèrement modifié), autant je ne peux pas le recommander à tout le monde car il nécessite des connaissances sur git et GPG.

Après avoir lancé une bouteille à la mer sur le fédiverse, j’ai compilé ici quelques solutions qui me paraissent intéressantes. J’ai volontairement exclu les solutions qui ne sont pas synchronisables entre plusieurs appareils. On est en 2022 merde. Idem, tous proposent la génération de mots de passe aléatoires, le rangement par dossiers, la gestion des métadonnées, etc.

Trois catégories ressortent :

  1. Les services hébergés (dit aussi SaaS)
  2. Les services à héberger
  3. Les logiciels avec synchro tierce

Je vous laisse découvrir tout ça :)

Cet article est sujet à des modifications ultérieures.

Les services hébergés

Ici on retrouve tous les gestionnaires qui sont hébergés par un prestataire. De manière générale ce sont ceux qui sont le plus simple à prendre en main, mais aussi qui demanderont souvent une contribution financière, comptez quelques euros par mois en moyenne.

Lastpass, Dashlane, 1Password

Ce sont les mastodontes du marché. Faciles à prendre en main, ils se démarquent par des services annexes : alertes de sécurité, rotation des mots de passe automatique, etc.

Ils sont payants à minima si vous voulez de la synchronisation entre appareils, et fonctionnent via un client Web en majorité. Niveau sécurité, ces boites ont tout intérêt à faire leur taf correctement. En pratique… j’en ai aucune idée. À vous de vous faire votre avis.

Bitwarden, Vaultwarden

Bitwarden et son petit frère Vaultwarden sont des logiciels libres, c’est à dire que n’importe qui peut lire le code, savoir comment ça fonctionne, le modifier, l’améliorer, et l’utiliser chez lui. Bitwarden est le projet d’origine, là où Vaultwarden est une réécriture dans un autre langage (Rust en l’occurence).

En pratique vous trouvez le même logiciel chez plusieurs fournisseurs. Que ce soit via l’offre de l’éditeur ou des hébergeurs associatifs, vous pourrez utiliser leurs services gracieusement. Ceci étant dit, je ne peux que vous encourager à soutenir via un abonnement ou des dons ces hébergeurs.

Les deux logiciels parlent le même langage (utilisent la même API, en langage informatique) donc normalement tous les logiciels compatibles avec l’un le sont avec l’autre. Je pense entre autres aux applications pour smartphone.

Nextcloud Passman

Distribué sous la forme d’un plugin pour Nextcloud, Passman peut être une solution intéressante si vous disposez déjà d’une offre Nextcloud. Contactez votre administrateur pour savoir si l’ajout du plugin est envisageable. Il possède une option d’import depuis quelques autres gestionnaires, parmi lesquels on retrouve KeePass, Lastpass et Dashlane.

Les services à héberger

Si vous possédez un serveur chez vous ou chez un prestataire d’infonuagique, vous pouvez intaller une de ces solutions. Attention, cela demande des compétences techniques pour garantir une maintenance régulière, assurer la sécurité et la disponibilité des données.

Bitwarden, Vaultwarden

On retrouve ici les deux logiciels présentés précédemment. Pas grand chose de plus à ajouter, suivant !

Passbolt

Celui-là s’adresse essentiellement aux pros et autres associations. Il a beaucoup plus de fonctionnalités que les autres, en particulier la gestion des permissions pour le partage des mots de passe de comptes techniques. Il peut aussi se brancher sur votre annuaire d’entreprise (LDAP, ActiveDirectory).

Leur modèle économique se base sur 3 solutions :

  • Auto-hébergé, via la version communautaire gratuite
  • Auto-hébergé, en payant une licence pour la version pro
  • En SaaS, via les offres dédiées de l’éditeur

N’hésitez pas à regarder dans le détail ce qui est proposé. :)

Les logiciels avec synchro tierce

Dernière catégorie de solutions, celles qui stockent les mots de passe dans un fichier sécurisé. Vous n’avez plus qu’à synchroniser ce fichier sur vos différents appareils pour en profiter de partout. Pour cela le plus simple reste de stocker la base sur un cloud, type Nextcloud/Dropbox/GDrive.

Cette solution est là aussi assez intéressante pour le coté atomique : le gestionnaire de mot de passe gère les mots de passe, le gestionnaire de synchronisation la synchronisation.

KeePass, KeePassXC, KeeWeb

KeePass est à l’origine un des premiers gestionnaires de mot de passe vastement partagé et utilisé. De cette base plusieurs logiciels ont repris le format de sauvegarde, mais en ajoutant des fonctionnalités et en retravaillant l’interface. C’est ce qui a donné jour à KeePassX, KeePassXC et KeeWeb (entre autres).

Chacun a son style, personnellement au bureau j’utilise KeePassXC, qui permet accessoirement de faire de la double authentification avec une YubiKey.

Password Store

Dernier de la liste et mon petit préféré, voici passwordstore. Basé sur GPG pour le chiffrement et Git pour la synchro, c’est le plus KISS (Keep It Simple, Stupid) des gestionnaires cités jusque là. Si vous n’êtes pas un peu nerd sur les bords, passez votre chemin.

Pour le reste, vous apprécierez sans doute son écosystème, en particulier passmenu. La communauté a produit des scripts pour migrer depuis une grosse douzaine de formats et services, ce qui est plutôt pratique si vous souhaitez franchir le pas.

À propos de passmenu, par défaut il ne permet que l’insertion automatique du mot de passe. Perso je stocke aussi l’identifiant via la clé login: <identifiant>, et je voulais que celle-ci puisse, dans le cas où elle est présente, être aussi insérée. Après une légère modification, le script est dispo ici : passmenu.sh. Concrètement vous l’appelez avec le flag --fulltype, si un login est présent il est tapé, puis une tabulation (pour changer de champ) puis le mot de passe.

Concernant la synchronisation, les fichiers ont beau être chiffrés, je conseille de les stocker dans un dépôt privé, de préférence sur une forge de confiance : la vôtre, celle d’un CHATONS ou encore SourceHut.

Conclusion

Service Type Prix par mois Prise en main
1Password, Dashlane, Lastpass SaaS commercial 3~5 € Très facile
Bitwarden, Vaultwarden SaaS associatif ❤️~3 € Très facile
Nextcloud Passman Plugin Nextcloud N/A Très facile
Bitwarden, Vaultwarden Auto-hébergement N/A Très technique
Passbolt Auto-hébergement Gratuit, 30+ € Très technique
KeePassXC, KeeWeb Gestionnaire seul Gratuit Plutôt facile
Passwordstore Gestionnaire seul Gratuit Technique

Muni de ce rapide résumé, mes derniers conseils sont :

  • trouvez-vous la chaussure à votre pied, l’outil idéal ;
  • ayez conscience de qui gère vos données sensibles, là où elles sont stockées.

There's no cloud, just someone else's computer

Si malgré tout vous n’avez pas d’attentes particulières, je conseille fortement d’utiliser Bitwarden/Vaultwarden chez un CHATONS. :)

Have fun!

Vous pouvez réagir à cet article en m'envoyant un mail, à blog[@]middleearth[.]fr. Je répondrais avec plaisir :)