KeePassX

Mise à jour : Debian Buster / 10.7

Sommaire

KeePassXC

• Installation

$ sudo aptitude install -t buster-backports keepassxc
$ sudo aptitude install -t bullseye webext-keepassxc-browser

Annexe - KeePassX

KeePassX est un gestionnaire de mots de passe, libre et gratuit, multiplate-forme Linux, Windows et Mac OS. C'est la version Linux Debian qui est décrite ici.

Les mots de passe sont stockés dans une base de données au format .kbd qui peut-être copiée et utilisée sous différents systèmes d'exploitation, en utilisant :

• KeePassX sous Linux, Windows et Mac OS
• KeePass1 sous Windows (Sous Windows, KeePass1 est plus performant que KeePassX)
• KeePassDroid sous Android

KeePassX permet

• de copier manuellement ou automatiquement les "Nom d'utilisateur" et "Mot de passe" d'une entrée de la base de donnée vers les champs d'une page web
• de générer des mots de passe complexes
• de gérer la durée de vie des mots de passe
• de coder la base de données selon un algorithme AES ou Twofish au moyen d'une clé .... à ne pas perdre!

Note :

• KeePassX, Keepass1 sont des gestionnaires de mots de passe d'origine voisine, mais différents
• Keepass2 est un gestionnaire développé en parallèle de Keepass1,par la même équipe, mais leurs bases de données ne sont pas compatibles, mais transférables
  
• Une version KeepassX compatible avec la base de donnée Keepass2 est en cours de développement (actuellement dans experimental)
  

Ressources

• KeePassX Site : http://www.keepassx.org/
• KeePassX Excellent tutoriel : http://blog.niqnutn.com/index.php?article23/keepassx
• KeePass1 http://keepass.info/
• KeePassDroid tutoriel : https://info.securityinabox.org/fr/keepassdroid_principale
• KeePass Helper addon : https://addons.mozilla.org/fr/firefox/addon/keepass-helper/

1 - Installation et configuration

KeePassX est disponible dans les dépôts stable de Debian et l'installation se résume à :

    # aptitude update 
# aptitude install keepassx

Lancer keepassx et depuis le menu Extras / Préférences, adapter, en fonction de l'utilisateur, les préférences en terme de sauvegarde, apparence, langue, ..... La modification de l'onglet Avancé est décrite ultérieurement.

2 - Création d'une base de données

La création d'une base de données s'effectue à partir du menu principal de KeePassX : Fichier / Nouvelle base de données. La fenêtre qui s'ouvre demande la définition d'une clé maître.

2.1 - Création de la clé maître

Celle-ci peut-être :

• soit un mot de passe
• soit un fichier clé
• soit une combinaison des deux

2.1.1 Mot de passe

Le mot de passe qui protège la base de donnée doit bien sûr être de bonne qualité, puisque de lui dépend la sécurité de tous les autres mots de passe. Pour éviter de retenir une longue série de lettres/chiffres, quelques possibilités pour faciliter la mémorisation de mots de passe "longs" :

• Constituer le mot de passe avec la première lettre de chaque mot d'une phrase : "KeePassX est depuis le 15 juin 2015 mon gestionnaire de mots de passe préféré" devient Kedl1j2mgdmdpp

• Utiliser le générateur de mots de passe prononçables de KeePassX : Menu Extras / Générateur de mots de passe / Onglet Prononçable, avec l'option "mots de passe Prononçable" : exemple : CyndutLydjeecgeeldya. Le résultat n'est pas toujours probant !

• Installer le paquet passwdqc qui fournit un programme de génération de phrases de passe (en anglais). La taille de la génération aléatoire peut-être spécifiée entre 26 et 81bits avec comme valeur par défaut 41 :

# aptitude install passwdqc
# pwqgen random=70
futile5Love$Sell$pact6Joke

2.1.2 Fichier clé

Le codage et la protection de la base peut également être réalisé à partir d'un fichier de contenu quelconque. Ce fichier ne doit bien sûr pas être perdu ou modifié. Pour éviter les modifications intempestives, il est préférable, une fois créé, de ne pas l'ouvrir avec un autre programme que KeePassX.

Typiquement il est stocké sur une clé USB que l'on conserve avec soi et que l'on introduit dans le PC seulement pour l'ouverture de la base.

2.1.3 Combinaison mot de passe et fichier clé

Si le mot de passe et le fichier clé sont correctement conservés, cette combinaison cumule "la protection par la connaissance (le mot de passe) et par la possession (la clé usb par exemple)".

2.2 - Sauvegarde

On peut alors sauvegarder la base de donnée qui vient d'être créée et lui donner un nom.

2.3 - Algorithme de codage de la base

Une fois la base de données créée, l'algorithme de codage, AES par défaut, peut être remplacé par Twofish. Cette option est définie dans Fichier / Paramétrage de la base de données : Choix de l'algorithme.

3 - Création des entrées

Dans la terminologie, KeePassX,

• une "entrée" ou "nouvelle entrée", est le nom de la fiche associée à un mot de passe

• les groupes et sous-groupes sont équivalents à des dossiers permettant de classer les entrées

3.1 - Gestion des groupes

Par défaut, deux groupes sont présents à la création de la base : internet et email. Par défaut, deux groupes sont présents à la création de la base : internet et email. Il est possible d'en créer d'avantage, de les modifier, supprimer, etc... en sélectionnant le menu Groupes dans la barre de menu principale.

3.2 - Création d'une entrée

Les différentes informations associées à un mot de passe sont regroupées dans une fiche appelée "Nouvelle Entrée".

Les différents champ d'une entrée sont :

• Le Groupe : A choisir parmi les groupes existants

• Le Titre : Ce champ identifie l'entrée dans la base de donnée. Son contenu peut être défini de façon arbitraire, sauf s'il est utilisé pour la "Reconnaissance automatique de l'entrée" (voir plus loin).

• Nom d'utilisateur : Ce champ correspond à l'identifiant dans la page de "login" dans la page internet, peut-être une adresse internet, un champ numérique ou texte, .....

• URL : Adresse web de la page de connexion

• Mot de passe :

  • Cliquer sur l'icône "Oeil" à gauche du champ pour faire apparaître le mot de passe en clair

  • Cliquer sur le bouton "Gen" à gauche du champ "Repeat" pour faire apparaître les menus de génération de mot de passe

• Commentaire :

  • Ce champ peut-être utilisé de façon arbitraire pour noter toute information utile

  • Il peut également être utilisé

    • pour personnaliser la séquence de déplacement du curseur et de remplissage dans le cadre de la "Saisie automatique" (voir plus loin)

    • pour définir le titre de la fenêtre, dans le cadre de "Reconnaissance automatique"(voir plus loin)

• Expire : Ce champ permet de définir une date à partir de laquelle KeePassX proposera le renouvellement du mot de passe

• Pièce jointe : Permet de joindre une pièce quelconque

• Tools : Menu déroulant permettant de personnaliser le champ Commentaire dans le cadre de la "Saisie automatique "et de la "Reconnaissance automatique"

4 - Utilisation

4.1 - Ouverture d'une page internet à partir d'une entrée

Pour ouvrir l'URL définie dans une entrée,

• sélectionner (clic gauche) l'entrée souhaitée dans le menu principal de KeePassx
• puis sélectionner (clic droit) dans le menu déroulant: Ouvrir l'URL
• Alternativement, après avoir sélectionné l'entrée souhaitée (clic gauche), taper Ctrl U

Le navigateur par défaut du système sera utilisé, à moins qu'un autre navigateur ait été indiqué dans le menu : Extra / Préférences / Avancé

4.2 - Saisie du "Nom d'utilisateur" et du "Mot de passe"

4.2.1 Saisie "manuelle"

• Puis
  
• • Copier l'utilisateur vers le presse papier : Ctrl B (ou clic droit et sélectionner Copie l'utilisateur vers le presse papier)
  • et recopier l'information à l'emplacement souhaité dans la fenêtre du navigateur avec Ctrl V)
• enfin
  
• • Copier le mot de passe vers le presse papier : Ctrl C (ou clic droit et sélectionner Copier le mot de passe vers le presse papier)
  • et recopier l'information à l'emplacement souhaité dans la fenêtre du navigateur avec Ctrl V)

4.2.2 Saisie "automatique"

Pour copier en une seule fois, le nom d'utilisateur et le mot de passe :

• Dans la fenêtre de KeePassX, sélectionner une entrée
  
• Puis lancer la saisie automatique : Ctrl V ( ou clic droit et sélectionner Exécuter la saisie automatique)
  

Attention : la copie s'effectue dans la dernière fenêtre ouverte avant le passage à KeePassX. Si cette fenêtre n'est pas le navigateur et la page voulue, la copie s'effectuera tout de même et affichera, par exemple, le mot de passe en clair dans un traitement de texte ou une page facebook, etc.....!!!!!!

• Saisie du Nom d'utilisateur dans le champ où est positionné le curseur
• Tabulation vers le champ suivant
• Saisie du Mot de passe dans ce champ
• "Enter"

Si la saisie doit s'effectuer selon une séquence différente, il est possible de la modifier.

Attention : il y a un bug dans la saisie automatique, au moins dans la version linux, qui transforme les caractères ascii en caractères qwerty! Voir ci-dessous :

4.2.3 Bug de la saisie automatique

• Si la copie automatique s'effectue en transformant les caractères, par exemple de "azerty" en "qwerty", une solution consiste à utiliser la commande setxkbmap (avec ou sans l'argument de la langue du clavier)

$ setxkbmap

• Pour que cette instruction soit prise en compte à chaque ouverture de session, l'inclure telle quelle, par exemple, dans les commandes du menu Session et Démarrage / Démarrage automatique de XFCE4.

• Cette commande est fournie par le paquet x11-xkb-utils, à installer le cas échéant.

4.2.4 Personnalisation de la séquence de saisie automatique

• Dans le menu déroulant "Tools" en bas de la fenêtre de l'entrée, sélectionner Auto-type : Customize Sequence, la séquence par défaut apparaît dans le champ Commentaire.
  

• Puis modifier comme souhaité (ajout / suppression de tabulations, modification de l'ordre des champs de saisie, ...)

4.3 - Reconnaissance et saisie automatique

4.3.1 Activation de la reconnaissance automatique

Lorsqu'une fenêtre du navigateur est ouverte, il est possible de demander à KeePassX, de détecter dans la base de donnée l'entrée correspondance et de l'utiliser pour remplir automatiquement les champs de saisie. Une fois activée, cette reconnaissance sera disponible pour toutes les entrées, mais pourra être utilisée ou non.

Pour activer la reconnaissance automatique :

• Ouvrir le menu Extra / Préférences / Avancé

Choisir un Raccourci global de Saisie Automatique, par exemple Ctrl + Super_L + v , où Super_L désigne la touche W marquée du logo de Windows.

• Si la case "Utiliser le titre de l'entrée pour correspondre à la fenêtre globale de Saisie Automatique" est cochée, la reconnaissance sera basée sur tout ou partie du nom de la fenêtre du navigateur. Ce mode est appelé : "Customize sequence"
  

• SI la case n'est pas cochée, la reconnaissance sera basée sur le Titre complet de la fenêtre du navigateur. Ce mode est appelé "Select target window"
  

• Chaque entrée doit être configurée selon le mode défini.
  

• La mise en œuvre aux niveaux des entrées est différente selon le mode retenu.

4.3.2 Mode " Customize sequence"

• Sélectionner et ouvrir une entrée

• Ouvrir l'URL de la page internet dans lequel doit s'effectuer la saisie

• Entrer dans le champ "Titre" de l'entrée tout ou partie du titre tel qu'il apparaît dans la bordure supérieure de la fenêtre du navigateur (attention, ce titre peut différer de celui qui apparaît dans l'onglet de la page). Dans le cas présent, on pourrait prendre "Yahoo-Connexion", ce qui permettra d'utiliser la reconnaissance indépendamment du nom du navigateur.

4.3.2 Mode "Select target window"

Si le mode "Select target window" a été retenu :

Pour paramétrer une entrée en mode "Select target window" :

• Sélectionner et ouvrir une entrée

• Ouvrir l'URL de la page internet dans lequel doit s'effectuer la saisie

• Dans le menu "Nouvelle entrée", Sélectionner Tools / Auto-type : Select target window

• Dans la fenêtre qui s'ouvre, sélectionner (flèche descendante à gauche) le titre de la fenêtre du navigateur correspondant à l'entrée
  

• Cliquer sur OK pour fermer la fenêtre, le titre de la fenêtre du navigateur est reporté dans le champ commentaire

Noter que le nom du navigateur (ici iceweasel) étant intégré dans le titre de la page, la reconnaissance automatique ne pourra être utilisée qu'avec ce navigateur.

4.3.4 Utilisation de la reconnaissance automatique

• positionner le curseur sur le premier champ à remplir

• taper le Raccourci global de saisie automatique défini dans les préférences (Dans le cas présent, Ctrl + Super_L + v)

• KeePassX recherchera l'entrée à saisir parmi les entrées existantes, selon le mode défini.

Il peut arriver que la "frappe automatique"soit trop rapide et entraîne des difficultés d’authentification. Dans le menu Préférences / Avancé, passer le délai de frappe de touche de 5ms à par exemple 10 ms.

4.3.5 Personnalisation du Titre de la page du navigateur - KeePass Helper

Dans certains cas, on peut souhaiter personnaliser le titre de la fenêtre du navigateur, par exemple, pour le rendre plus explicite. Une solution consiste à rajouter dans le titre de la page du navigateur le nom de domaine de la page, à l'aide de l'extension Keepass Helper de Iceweasel / Firefox.

• Dans Iceweasel, ouvrir la page : about:addons Rechercher dans le catalogue : KeePass Helper, l'installer et redémarrer le navigateur

• Se rendre à nouveau dans la page about:addons, onglet extensions, dans les préférences, choisir le mode souhaité (url plus ou moins complet) et séparateur.

• Dans l'exemple ci-dessous, on a choisi comme séparateur : !! et comme mode URL le mode standard "show the hostname" Le titre de la page comprend désormais l'url du domaine encadrée par des !!

• Modifier en conséquences, le texte de reconnaissance
  

• • soit dans le Titre des entrées (mode Customize sequence)

  • soit dans l'intitulé Auto-type-window dans le champ Commentaire (mode Select target window)