pass et l'hygiène numérique

Table des Matières

Récemment j’ai lu un billet fort intéressant de Gemna sur la façon dont il sécurisait ses mots de passe et les stockait par le biais de Keepass. Cela m’a donné envie de reprendre l’écriture d’un vieux brouillon que j’avais sur ma façon de gérer - du mieux que je peux - mon hygiène numérique et plus précisément mes mots de passe.

Il y a quelques années, et même encore quelques mois j’avais la fâcheuse habitude d’utiliser plus ou moins le même mot de passe pour tous les services que j’utilisais. En fait je fonctionnais avec une base qui restait la même et j’y ajoutais une combinaison à la fin pour différentier ce mot de passe de celui d’un autre site. Et, naïvement, je me sentais tout de même assez protégé avec cette astucieuse combine qui permettait à mon petit cerveau de me rappeler de chacun des mots de passe tout en les sécurisant vu qu’il n’y en avait pas un pareil.
Oui mais alors j’en suis venu à me dire que si mon cerveau était capable de les retenir et donc d’assimiler la logique que j’avais mise dans leurs constructions, alors un robot pouvait également être capable de trouver ce pattern et ainsi pouvoir trouver nombre de mes mots de passe. Là je fus pris de panique, je devins même assez paranoïaque il faut le dire.

Alors que faire pour être vraiment tranquille sur internet ? Hé bien dans un premier temps je pense qu’il est important d’admettre que le risque zéro n’existe pas et qu’il sera toujours possible pour quelqu’un ou pour un ordinateur de casser un mot de passe. En revanche il est possible de compliquer les choses et de ne pas livrer ses mots de passe à la vue de tous.
Suivez le semblant de guide.

Les mots de passe

On pourrait en parler pendant des heures, on a tous entendu l’histoire des comptes piratés avec des mots de passe comme 123456 ou azerty, mais il n’empêche qu’il ne faut pas prendre le problème de la sécurité sur le web à la légère. Très souvent les comptes que nous créons sont des extensions à des services indispensables dans notre vie (électricité, banque, achats en ligne, adresse email …) et un même mot de passe, de sur-crois simplissime, peut être une hypothétique porte d’entrée à de grands dégâts.
Il est donc important de prendre le temps de sécuriser ses mots de passe pour assurer le coup et ainsi risquer le moins possible de se retrouver dans la merde. Bien sûr il est quasiment impossible, hormis si vous avez une mémoire sur-développée, de se rappeler de mots de passe compliqués pour la multitude de comptes créés sur le web. Et c’est là que de petits logiciels entrent en scène pour épauler votre mémoire qui commence à donner des signes de faiblesse.

Propriétaire ou Libre

Comme toujours je me suis posé la question du choix du service. Un service propriétaire, qui vous propose de synchroniser vos mots de passe entre vos appareils peut s’avérer être une solution qui, au premier abord, semble alléchante. Car on le sait maintenant, on ne va plus sur le web seulement avec son PC, même de moins en moins et on privilégie un surf nomade que ce soit sur tablette ou smartphone. En revanche ce qui me rebute un peu quant au fait de confier mes mots de passe à un service propriétaire, c’est que je ne sais pas ce qu’il fait derrière. J’imagine qu’il n’irait pas jusqu’à vendre mes mots de passe à de gros méchants, mais je pense en revanche qu’il pourrait les analyser pour en tirer des études statistiques sur les mots de passe et, par extension, pourrait offrir aux hackers des données intéressantes sur les structures des mots de passe stockés chez lui.
Une rapide recherche sur internet me fait ressortir un article de 2015 expliquant que LastPass, l’un des leaders propriétaires du marché (car il ne faut pas oublier que cela reste bel et bien un marché pour ces sociétés.) s’était fait hacker ses serveurs et que donc un nombre incalculable de mots de passe, certe chiffré et visible seulement avec un mot de passe maître, s’étaient donc envolés dans la nature1.
Alors, et c’est sans surprise pour un gars qui préfère le libre, je vais me détourner des services propriétaires pour aller voir du côté des services libres. Et là il semble y avoir deux solutions possible. KeePass ou Pass. Pour le premier je vous renvoie au billet de Gemna qui est fort bien détaillé.

Pass

Pour ma part j’ai choisi d’utiliser pass. Pourquoi celui-ci et pas l’autre ? Tout simplement parce que je le trouve plus en accord avec ma façon d’utiliser les choses et qu’il est très simple à prendre en main et ce même si on souhaite l’utiliser dans un terminal. Nous avons donc pass (qui dans certaines distributions s’appelle password-store) qui permet de stocker vos mots de passe cryptés grâce à un clé GPG.

GPG késako ?

Une clé GPG (pour GNU Privacy Guard) est une clé vous permettant d’être identifié, d’avoir une sigature propre qui va permettre de vous identifier. Par exemple dans le monde linuxien, les paquets de logciels présents dans les dépôts des distributions sont souvent signés avec une clé GPG afin d’identifier clairement le membre qui a enpaqueté le logiciel et ainsi éviter de se retrouver avec des paquets envoyés par n’importe qui.
Ainsi il vous faut créer une clé GPG pour utiliser pass, tout ce passe en ligne de commande avec la commande gpg --gen-key, il n’y a plus qu’à suivre les instructions à l’écran pour créer votre clé. Mais si jamais la ligne de commande vous éffrait un peu il est tout de même possible de passer par des GUI pour créer une clé GPG. Sous Gnome on peut utiliser seahorse, ou encore KGpg avec Kde/plasma.

Pass et linux

Pour utiliser pass deux solutions sont possibles. La première est d’utiliser un GUI comme qtpass ou alors il faut passer par la ligne de commande. Pour cette dernière il faut préalablement s’assurer qu’une clé GPG est déjà créée pour votre utilisateur puis initialiser pass avec votre ID GPG avec la commande suivante pass init <ID GPG ou email>. L’ID GPG de votre clé secrète peut se récupérer en utilisant la commande gpg --list-secret-keys, il faudra cependant ajouter le préfixe 0x devant votre numéro à huit chiffres pour que pass init associe correctement votre clé GPG au nouveau répertoire de mots de passe.
pass permet également de pouvoir créer une hiérarchie dans le stockage de vos mots de passe, par exemple avec la commande pass je peux visualiser l’ensemble des mots de passe gérer par le logiciel.

justin@solus ~ $ password-store (ou pass selon la distribution)
Password Store
├── Services
│   └── EDF
└── Web
    └── Cloud

Pour ajouter une entrée il faut utiliser la commande pass insert aaa/bb/mdp. Dans ce cas précis le mot de passe est ainsi rangé dans la catégorie aaa puis dans le sous-dossier bb. Ainsi je trouve que le système est d’une grande clarté et qu’il est donc facile de s’y retrouver et d’ordonner un peu tout ça.
Pour générer un mot de passe on utilise la commande pass generate chemin/du/mdp chiffre où la partie chiffre indique permet d’indiquer le nombre de caractères que comprendra le mot de passe généré. Et si un site n’accepte pas les mots de passe avec des caractères spéciaux l’argument -n créera un mot de passe qui devrait faire l’affaire, sans bizarrerie.
Si par la suite nous voulons voir un certain mot de passe alors il faudra utiliser la commande pass chemin/du/mdp et, en ajoutant l’argument -c il est même possible de copier le mot de passe dans le presse-papier pour l’utiliser par la suite.

Pass et Firefox

Pour ceux qui voudraient également utiliser pass intuitivement avec Firefox il existe une extension baptisée passFF (le brainstorming a du être dense) qui fait très bien le job et vous permet de gérer vos mots de passe tout en restant dans la fenêtre de Firefox. Je n’ai pas testé le truc mais ça a l’air propre et facile à utiliser. Pour le moment il est juste possible de voir les mots de passe déjà crées avec pass, pas de création possible au menu.

Pass et Android

Deuxième point, avoir mes entrées synchronisées sur mon téléphone. Beaucoup ont peur d’Android, le grand méchant rejeton de Google, mais je pense que l’OS mobile est tout de même assez sûr et surtout si l’utilisateur ne fait pas n’importe quoi avec.
Pour utiliser pass sur Android Fdroid est encore une fois notre ami et tout se trouve dans ses dépôts pour faire fonctionner le machin. L’application s’appelle password-store et doit être couplé avec OpenKeyChain2 pour pouvoir fonctionner avec votre clé GPG. Une fois le tout parametré, il est assez simple de prendre en main l’application. L’accent sur la sécurité est bien entendu là et pour voir un mot de passe il vous faudra naturellement entrer votre passphrase GPG. L’application m’empêche de faire une série de screenshots, ce qui est assez sympa niveau sécurité d’ailleurs. En tout cas il est possible quand on entre sa phrase GPG de spécifier jusqu’à quand l’application peut la mémoriser. Ainsi nous avons le choix de la mémoriser jusqu’à ce que l’écran s’éteigne ou alors pendant une heure ou encore une journée. Ensuite les informations relatives à l’entrée s’affichent et par défaut l’application copiera le mot de passe dans le presse-papier pendant 20 secondes, après ce laps de temps il faudra renouveler l’opération pour avoir de nouveau accès au mot de passe.

Password-store permet également l’auto-complétion avec un navigateur web sous Android. L’option peut être pratique pour automatiser un peu le truc. Une fois le service activé dans les paramètres d’accessibilité l’application se superposera à votre navigateur lorsqu’un écran de connexion apparaîtra; ainsi il sera possible de choisir l’entrée qui correspond au site pour que le mot de passe se copie bien proprement.
D’ailleurs il faut préciser qu’il est possible de spécifier, dans l’entrée pass, une URL de connexion et ensuite l’application fera automatiquement le lien et vous proposera seulement l’entrée correspondant à l’URL visitée. Vraiment sympa comme fonctionnalité.

Pass et la synchronisation

Pour synchroniser mes entrées entre mon PC et mon smartphone j’utilise Syncthing, ainsi tous les transferts restent sous mon contrôle et aucune fuite est possible. De plus le tout est chiffré et ne se ballade pas sur le net. Notons également que pass permet de stocker ses entrées sur un serveur git (bien sûr il faut éviter Github hein). Pour ma part je n’ai pas de serveur sous la main donc je fonctionne avec des dossiers en local et cela marche très bien.

Au final il est vrai que gérer ses mots de passe est une chose contraignante car chronophage, mais il faut prendre conscience de l’importance de bons mots de passe distincts sur le web car un drame est vite arrivé. Il y a des solutions pour tous les goûts et bon nombres de tutoriels sont disponibles sur la toile pour aider à la création d’un coffre-fort numérique.
La technologie devient smart mais il ne faut pas oublier que si l’utilisateur ne l’est pas alors la technologie perdra une grande partie de son intérêt pouvant même mettre en danger les données de l’utilisateur.


  1. Lastpass piraté - Le Monde. [return]
  2. OpenKeyChain peut également servir à crypter des mails avec l’application K9mail ou encore des sauvegardes sous Android avec l’application oandbackup. [return]