Vu !

Je te vois, toi, au fond, qui a le même mot de passe partout. Met un coup de coude à ta voisine, qui pense que rajouter une petite variation à chaque utilisation la protègent. Oh, je ne vous en blâme pas, je l'ai fait aussi. Mais comme je dis toujours : c'est comme la cigarette, il n'est jamais trop tard pour arrêter.

Sauf que je fume pas.

De quoi mes mots de passe ?

Petit rappel qui ne fait pas de mal. On ne va parler que de services web pour simplifier. Si vous utilisez le même mot de passe partout, et a fortiori avec une même adresse mail (on y reviendra un jour), voilà ce qu'il va se passer !

Insérer ici le générique du Visiteur du Futur

Un jour, un de ces comptes sera compromis. Partons du principe le plus simple : votre couple email / mot de passe (qu'on appellera donc « vos identifiants ») est dans la nature. Le « pirate » ou, plus probable, un acheteur, va tester ces identifiants sur plein de sites et services (pas à la main, je vous rassure). Or, il est statistiquement très probable que vous avez des comptes sur lesdits services (Google, Microsoft, Facebook, Instagram, Snapchat, etc.). Donc je vais partir du principe que c'est le cas.

Le « pirate » aura donc accès à tous ces comptes. Le plus grave étant selon moi votre compte mail. En effet, sur une large majorité des services web, il existe une procédure de changement / récupération de mot de passe qui se fait… en envoyant un mail à l'adresse associée au compte. Avoir accès à cette boîte mail, c'est avoir accès au changement de mot de passe de tous ces services. Et ça veut dire qu'en perdant le contrôle de votre boîte mail, vous perdez potentiellement le contrôle de tous vos comptes. C'est à dire de votre identité numérique. Et ça craint.

Si vous pensez que ce n'est pas grave, fermez tout de suite cette page, la suite ne vous intéressera pas.

La base de la base

de données ! Haha !

…

Tuez-moi.

Rappelons les règles essentielles pour avoir de bons mots de passe : un mot de passe différent par site / service pas de variations, ça ne sert pas à grand chose au final. Oui c'est mieux que rien, mais boire de la javel c'est mieux que boire du cyanure. on ne révèle son mot de passe à personne. Et si on est dans le besoin absolu de le faire, on le change derrière. plein de caractères. En général, je génère mes mots de passe avec 20 caractères. Certains services mal sécurisés imposent une limite maximale, ce qui n'a aucun sens (coucou Blizzard avec sa procédure de récupération de mot de passe digne de la NSA, tout ça pour 12 caractères max…) plein de caractères différents : lettres, CAPITALES, ch1ffr15, ©@®@©tè®es ßpéci@ux. Encore une fois, certains services refusent les caractères spéciaux, ou les imposent. on ne stocke pas ses mots de passe dans un fichier non chiffré. * on ne les écrit pas sur papier, sauf à disposer d'un coffre-fort (et je plaisante pas)

Ça fait pas mal de conditions, hein ? Rassurez-vous, on s'occuper de toutes à la fois.

Les outils

Pour tout cela, on va utiliser un gestionnaire de mot de passe. Il en existe suffisamment pour contenter tout le monde. 1Password, Dashlane, Lastpass, Keepass, etc. Nextinpact en a fait une très bonne revue l'année dernière.

Depuis ce temps, je m'étais mis à utiliser Lastpass. Surtout parce que la version gratuite me permettait d'avoir l'extension pour Firefox sur Mobile (pas sûr que c'était dispo chez tout le monde). Sauf que l'interface est assez daubée quand il s'agit de générer un mot de passe, ou d'enregistrer un nouveau site. Pour ce qui est du remplissage automatique des formulaires, pas grand chose à dire, ça marche très bien.

Et puis aujourd'hui, je m'y connecte depuis Windows (oui, j'ai un dualboot, je l'assume), et il me fait « Impossible de charger la liste des sites, essayez de vous reconnecter ». Évidemment, se reconnecter ne fait rien. Mon coffre fort est vide. Intense moment de flip. Je reboot sous Linux (ça y marchait très bien 30 minutes avant). Aucun problème. Je ne sais pas d'où ça venait, mais ça m'a motivé à trouver une solution que je contrôle (et j'ai exporté mes mots de passe au passage hein, faut pas déconner).

Et comme on a un Nextcloud fonctionnel, autant en profiter. J'avais, il y a quelques temps, envisagé d'utiliser Keepass, et de synchro le fichier .kbd (qui contient les mots de passe) entre mes appareils via Nextcloud. Mais ne plus avoir de remplissage automatique des formulaires… Il y à bien une extension Firefox, mais j'ai entendu dire que cette fonctionnalité ne marchait pas très bien (parce que c'est un peu le bordel de bien le faire marcher).

Et puis on m'a conseillé de tester Passman, dans Nextcloud. Ce qu'on va faire donc.

S'parti

Dans Nextcloud, on va dans le menu en haut à gauche, et on clique sur « + Apps ». Une fois là, on va dans « Tools » dans le menu de gauche et on tape « Passman » dans le champ de recherche, puis « Enable ».

Ce qui nous donne ceci :

Il suffit maintenant de cliquer sur la nouvelle icône « Passwords » dans la barre de menu.

Puis on clique sur « Create a new Vault ». Le « Vault », qui signifie « chambre forte » en anglais, est l'endroit où on va stocker nos mots de passe. On peut en créer plusieurs en cas de besoin. On saisit son nom et le mnot de passe pour y accéder. Attention, ce mot de passe est critique, s'il est trop facile à deviner ce sont tous vos mots de passe qui seront exposés. Mais comme c'est le seul que vous aurez besoin de retenir, n'hésitez pas à bien le complexifier. Et surtout, ne l'oubilez pas. Sans lui il sera impossible de retrouver vos mots de passe.

Quand on a bien tout saisi, le bouton de création passe au vert, on peut y aller !

Ça crée le vault et… on ne peut pas dire que l'interface soit chargée ! Tant mieux. Il suffit de cliquer sur le petit « + » à côté du nom du vault pour ajouter un site.

Ajout d'un site

On remplit donc les infos. Ici, je vais enregistrer mes identifiants pour Mamot.fr, l'instance Mastodon de la Quadrature du Net. On saisit donc le nom qui va apparaître dans la liste, ici « Mamot ». Puis le nom utilisé pour la connexion au service et l'email associé au compte (selon si le service demande le nom d'utilisateur ou l'email pour se connecter, comme ça on a les deux).

Pour le mot de passe, on a deux possibilités : soit on a déjà un mot de passe (par exemple si le compte qu'on ajoute existe déjà), et on le tape. Passman nous indique si le mot de passe est assez robuste (ce genre d'évaluation est à prendre avec beaucoup de parcimonie). soit on n'a pas de mot de passe (nouveau compte) ou on veut changer un existant. Dans ce cas, on peut (mais ce n'est pas obligé) demander à Passman de nous générer un mot de passe. Dans ce deuxième cas, vous vous demandez peut-être (si vous avez déjà vu un gestionnaire de mot de passe) : « Mais, on ne peut pas choisir la forme du mot de passe et sa longueur !? ». Et je vous répondrai : « Si ! Mais pas ici ». Sautez à « Options de génération d'un mot de passe » pour en savoir plus. Vous pouvez d'ailleurs cliquer sur le petit œil pour voir le mot de passe généré.

Ce n'est évidemment pas mon vrai mot de passe.

On saisit également l'URL du service où on va utiliser nos identifiants. On peut également ajouter des notes (à vous de voir quoi y mettre) en ajouter des tags qui servent de rangement par catégorie.

On valide, et on revient sur la page principale. Notre site apparaît dans la liste !

En cliquant dessus, on peut voir les informations du site. On peut notamment à nouveau afficher le mot de passe en cliquant sur l'œil. C'est très utile car certains sites interdisent le copier/coller du mot de passe (ce qui est extrêmement stupide).

Ici, on peut modifier le site (Edit), le supprimer (Delete), le partager uvec quelqu'un (Share ; soit un autre utilisateur de votre Nextcloud, soit via un lien à envoyer par mail) et voir l'historique des fodifications apportées au site (Revisions).

Options de génération d'un mot de passe

On l'a vu, Passman peut générer un mot de passe. Par défaut, sos mots de passe font 12 caractères de long, et comprennent des majuscules, des minuscules, des chiffres et des caractères spéciaux. On peut ne pas être satisfait de ce réglage par défaut : on peut vouloir plus de caractères, ou certains sites pourraient limiter la forme et la longueur du mot de passe.

On va donc régler chaque mot de passe à notre convenance.

Lors de la création, on va aller dans l'onglet « Password »

Ici, on va pouvoir définir : La longueur du mot de passe (Password Length) Le nombre minimum de chiffres (Minimum amount of digits) La durée de vie du mot de passe, soit en temps absolu soit en choisissant une date en cliquand sur « No expiration date set » La forme du mot de passe. Plus il y a d'éléments cochés, mieux c'est. Dans l'ordre : utiliser des majuscules, des minuscules, des chiffres, des caractères spéciaux, éviter les caractères ambigues et utiliser tous les types de caractères cochés au dessus.

L'onglet Custom Fields permet de rajouter des champs (de texte, de mot de passe ou un fichier) si vous en ressentez le besoin.

L'onglet File vous permet d'attacher un fichier à votre site.

L'onglet OTP vous permet de saisir votre token One Time Password, si vous en avez un. Si vous n'avez rien compris à cette phrase, cet onglet ne vous sert à rien, oubliez.

Euh bien voilà du coup

Il ne vous reste plus qu'à ajouter tous les sites où vous avez un compte, éventuellement changer les mots de passe s'ils sont trop faibles… en fait non, changez les de toute façon, c'est toujours bien de renouveler ses mots de passe. Et vous avez mis un bon pied dans une sécurité accrue de vos informations de connexion.

Objection !!!

Plait-il ? Ah, vous utilisez déjà un gestionnaire de mot de passe, mais vous ne lui faites pas confiance ? Vous voulez rappatrier toutes vos informations dans votre Passman ? Ça tombe bien, je suis dans le même cas. Allons-y.

Rien de plus simple. Allez dans Settings en bas à gauche, et recliquez sur le lien Settings

Repérez l'onglet « Import credentials ». Ici, on va partir du principe que votre gestionnaire de mot de passe actuel est dans la liste. Sinon, vous pouvez tenter votre chance avec l'importateur générique. Si vous ne savez pas comment exporter vos mots de passe de votre gestionnaire actuel… lisez leur FAQ.

Pour Lastpass (mon cas) c'est dans « ··· Plus d'options - Paramètres avancés - Exporter)

Toujours pour Lastpass, il me génére un énorme fichier texte. Je le copie-colle dans un éditeur de texte basique (Bloc Notes sous Windows, l'éditeur de texte de base de votre distribution sous Linux), je le sauvegarde, puis je l'ouvre dans un tableur (LibreOffice Calc, ou Excel). Je colle le texte dans mon tableur, et il me demande quel est le séparateur des colonnes (vu qu'on est sur un fichier CSV). Il est très important ici de repérer comment sont séparées les entrées. Moi ce sont des virgules. Je décoche donc tout ce qui n'est pas séparateur de virgule, et je colle. J'enregistre en .csv. Attention, il semble qu'il y ait un soucis si le fichier CSV comporte des lignes vides au début. Veillez donc à les supprimer.

Maintenant qu'on a tout ça, on retourne dans Passman, on clique sur Parcourir, et on va chercher notre .csv, puis on clique sur « Import ».

Et voilà, il suffit de retourner sur votre vault et vous pouvez consulter vos informations de connexion, trés alphabétiquement. Les catégories de Lastpass ont été automatiquement transformées en tags.

On n'oublie pas de supprimer le fichier CSV qui contient tous les mots de passe en clair !!!

Intégration au navigateur

Voilà, nous avons un vault avec plein de mots de passe dedans. Mais si c'est pour aller piocher dedans à la main à chaque fois… Nous allons donc installer un module pour Firefox pour nous permettre de l'utiliser plus facilement.

Il se télécharge sur le magasin d'extensions.

Une fois installé, on a une nouvelle icône en haut à droite. On clique dessus. Il nous demande de rentrer les informations d'identification de notre serveur NextCloud.

Il détecte tout seul l'application Passman installée, et nous demande donc de choisir à quel vault on veut accéder. Ici, on en a qu'un.

Et enfin, il nous demande un mot de passe pour chiffrer les données saisies dans l'extension, pour ne pas que le mot de passe maître de notre vault soit enregistré en clair.

Et… c'est tout. À présent, quand vous allez sur un site enregistré, Passman essaiera de remplir automatiquement les champs de connexion. S'il n'y arrive pas, vous pouvez toujours cliques sur la loupe dans le champ de connexion pour chercher les identifiants à la main. Ça arrive même avec les meilleurs gestionnaires.