KeePass ne propose pas de support natif d’une double authentification à travers une clef de sécurité, via le protocole U2F ou un autre procédé. Son dérivé KeePassXC a récemment ajouté la gestion des Yubikey afin de renforcer l’accès à votre base de mot de passe. Voici comment en profiter.

KeePass est connu pour être un gestionnaire de mots de passe open source de référence (voir notre analyse). Il permet de les organiser de manière simple, tout en exploitant un format de fichier ouvert : KDBX (qui en est à sa v4).

Mais il n’est pas exempt de défauts. Outre son interface un peu datée, il n’était proposé au départ que sous Windows (il est désormais possible d’utiliser Mono), et certains estiment que des fonctionnalités relativement pratiques lui manquent. Ainsi, de nombreuses alternatives existent, que ce soit pour des OS mobiles ou pour ordinateurs.

De KeePassX à KeePassXC

Parmi eux, KeePassX a fait parler de lui il y a quelques temps, avec la volonté de proposer une solution multi-plateformes (Linux, macOS et Windows), offrant des options complémentaires. Mais son développement n’était plus très suivi (le dernier commit date d’octobre 2016) et des développeurs ont décidé de reprendre le projet en main à travers un nouveau dérivé : KeePassXC. 

Il exploite une plateforme C++/Qt et son code est diffusé via GitHub. Il propose des fonctionnalités que l’on retrouve déjà pour certaines dans KeePass, d’autres non : le remplissage automatique sur les trois plateformes supportées, une gestion en lignes de commande, un créateur de mots/phrases de passe, un import de fichier CSV, la fusion de bases de mots de passe, les Timed One-Time Password (TOTP), la fermeture de la base de mots de passe avec la session utilisateur, etc.

Un support natif des Yubikey

Plusieurs d’entre elles ont été introduites avec la mouture 2.20, sortie au début de l’été, qui ajoutait une autre possibilité : le support natif des Yubikey Neo, Neo-n, 4 et 4 Nano. Il s’agit de clés de sécurité qui gèrent plusieurs standards, dont nous avons déjà parlé dans le cadre de nos articles sur l’U2F, de notre dossier sur GnuPG et le chiffrement ou encore lors d’un test avec un plugin d’intégration à KeePass. 

KeePassXC 2.2.0 permet d’utiliser leur fonctionnalité « Challenge-response » (voir notre précédente analyse) afin de composer la clé maître qui protège l’accès à votre base de mots de passe. Celle-ci peut être composée de deux autres éléments : un mot de passe et un fichier-clé.

Pour utiliser votre Yubikey, c’est relativement simple, notamment par rapport à l’intégration du plugin KeePass :

• Ouvrez votre base de mots de passe ou créez-en une
• Cliquez sur le menu Database puis Changer la clef maître
• Insérez votre Yubikey dans un port USB de votre machine
• Cochez la case Challenge Response puis cliquez sur Refresh

Quelques points à connaître

Vous pourrez alors sélectionner votre Yubikey. Si jamais celle-ci n’apparait pas, c’est que vous n’avez pas activé le mode Challenge-Response sur l’un de ses slots.

Pour le faire, il vous faudra récupérer l’application de personnalisation de la clé, afin de la configurer. Vous pourrez choisir si un appui sur la clé est nécessaire ou non via la case Require user input, et générer une clé privée :

Attention tout de même, l’implémentation actuelle est encore assez basique. Ainsi, si vous perdez la clé ou qu’elle vient à ne plus fonctionner, vous ne pourrez plus accéder à votre fichier. Il n’est en effet pas encore possible d’utiliser la clé privée afin de retrouver l’accès en cas de souci pour le moment comme via le plugin KeePass. On apprécierait aussi de pouvoir lier plusieurs clés à un même fichier afin de pouvoir les utiliser comme alternatives. 

Notez enfin que cela empêchera le fichier en question de fonctionner depuis un autre client qui ne proposerait pas un accès similaire. Bref, cela devra s’affiner afin d’être totalement exploitable sur le long terme, mais c’est un bon début. Espérons au passage que cela poussera d’autres gestionnaires de mots de passe à faire de même, ou à proposer au moins une intégration du standard FIDO U2F, déjà proposé par certaines applications comme Dashlane par exemple.