Discussion :

[Nicryc]

Bonjour,
J'aimerais un conseil à propos du logiciel KeePass (gestionnaire de mot de passe). J'ai lu le cours suivant : http://nicolas-vieux.developpez.com/...-KeePass/#LXXI. Celui-ci recommande absolument de ne pas utiliser de plugins et de ne pas synchroniser sa base de donnée sur un service cloud extérieur (Google Drive, OneDrive ou DropBox par exemple). Il précise que c'est dangereux mais ne donne pas plus d'explications, pas de sources. Je me pose donc la question, est-ce que cela représente réellement un risque de sécurité ?
Parce que franchement dans le monde d’aujourd’hui où on a souvent un voire plusieurs PC, un smartphone et une tablette, sans cela (une synchronisation simple) KeePass devient inutile.
Merci.

[BufferBob]

salut,

il s'agit bien d'un risque, étant donné que le propos est de disperser ses informations chez des tiers dont la confiance n'est que prétendue et/ou de déléguer l'accès à des informations sensibles à une application prétendument sécurisée (le browser), peut-être qu'il l'est réellement, mais dans le doute et sur le principe on considèrera que ça augmente le facteur de risque

en revanche, s'il s'agit bien d'un risque, ça ne représente pas pour autant une menace, à moins d'avoir des pirates aux trousses ou qu'un malware tire parti de ce risque et bénéficie d'une propagation suffisante

c'est subtil, et chacun apprécie la chose différemment à mon avis

[Nicryc]

Mais à propos des services clouds type Google Drive, DropBox etc. est-ce réellement un risque car on y stocke dessus uniquement la base de données cryptées et même si l'entreprise fournissant le service n'est pas fiable ou si un pirate arrive à s'en emparer, ils ne pourraient rien en faire si ?

À propos des plugins, effectivement on ne sait pas si le navigateur est sécurisé ou si l'extension l'est aussi, mais dans ce cas on peut tout aussi se méfier de la sécurité de KeePass lui même. Je suis d'accord avec toi c'est à chacun de se faire son ressenti, et pour me faire le mien je voulais quand même vous demander votre avis. Merci pour ta réponse en tout cas.

[BufferBob]

est-ce réellement un risque car on y stocke dessus uniquement la base de données cryptées (...) si un pirate arrive à s'en emparer, ils ne pourraient rien en faire si ?

la base de données (vault) est protégée par une passphrase (littéralement la clé de voûte), si ta passphrase c'est "toto" ce sera trivial à trouver pour un pirate
avec du temps et le matériel adéquat on peut forcer des mots de passe de +20 caractères facilement dans un temps raisonnable de nos jours

on peut tout aussi se méfier de la sécurité de KeePass lui même

• http://keepass.info/ratings.html
• http://www.ssi.gouv.fr/entreprise/ce...2-10-portable/

[Nicryc]

Ok dans le cours que je cite le «*professeur*» recommande de placer sa base de données soit sur un serveur à soi soit sur un hébergeur de confiance style OVH.
C'est vraiment plus sécurisé que DropBox ?
Si c'est à OVH quel type d’hébergement vous prendrez ?

[gangsoleil]

Bonjour,

Pour moi, quelque soit l'hébergement Cloud, le risque est exactement le même. Quant au fait de l'héberger toi-même, ben ça dépend... Si c'est sur un petit serveur accessible sur le net, il faut quand même de très bonnes compétences en administration pour que ce soit à peu près sécurisé (et utiliser *BSD, pas une linux grand public de base), et passer son temps à le mettre à jour.

[spawntux]

Bonjour,

Concernant tes réflexions je t'invite à aller suivre également ce poste https://www.developpez.net/forums/d1...nde-precision/.

Concernant le choix, il te faut te poser la question "de qui"/"de quoi" souhaites tu te protéger. Sans cela tu ne peux estimer ton risque et donc faire un choix judicieux.

Cette remarque vaut également pour l allusion au choix d un BSD plutôt que d un linux.
Si l argument est de dire plus orienté sécu car plus de review et de mécanisme permettant de la renforcer je ne suis pas d accord sans réponse aux deux questions ci dessus.

Bien cordialement

[rodrigue62]

la base de données (vault) est protégée par une passphrase (littéralement la clé de voûte), si ta passphrase c'est "toto" ce sera trivial à trouver pour un pirate
avec du temps et le matériel adéquat on peut forcer des mots de passe de +20 caractères facilement dans un temps raisonnable de nos jours

• http://keepass.info/ratings.html
• http://www.ssi.gouv.fr/entreprise/ce...2-10-portable/

Mais si on protège la base avec une clef .key en plus du mot de passe (a condition de ne pas la stocker également sur son service cloud mais sur une clef USB, son smartphone et les PC qu'on utilise) si quelqu'un récupère la base, en plus de passer le temps à cracker le mot de passe (si celui-ci est assez sécurisé) il lui faudrait en plus cette clef.

Si en plus tu changes tes mots de passe de ta base régulièrement, le temps que celui qui a piqué ton fichier base arrive à le décrypter, la plupart de tes mots de passe auront changés depuis.

Après les plugins j'utilise quelques uns, mais c'est vrai que je me suis déjà posé la question de la fiabilité. Pareil pour la version en ligne KeeWeb , c'est pratique (çà évite d'avoir à tout installer quand on veut récupérer un mot de passe une fois sur un PC qu'on utilise pas habituellement) mais je me pose aussi des questions sur la fiabilité...