TOOLinux

Le journal du Libre

Gestionnaires de mots de passe collaboratifs en ligne

lundi 2 mai 2011

Potentiellement chaque administrateur peut-être amené à avoir besoin d’accéder à n’importe laquelle d’entre elles, voir à une partie seulement. Ces mots de passe vont concerner les systèmes d’exploitation, les bases de données, les annuaires, les gestionnaires de contenus, bref tout ce qui peut tourner sur ces machines.

Au final, cela peut représenter un nombre plus que significatif. Autre particularité, ces administrateurs ne sont pas dans un même lieu géographique, mais collaborent au travers d’internet. Ajouter à cela que si les administrateurs utiliseront majoritairement des systèmes d’exploitation GNU/Linux sur leurs postes, certains gestionnaires d’application ou responsables utiliseront Windows.

Il ne peut donc s’agir d’une solution trop “root”. Il faut quelque chose d’accessible assez simplement. La première idée qui m’est venue fut de chercher un logiciel permettant d’accéder à ces mots de passe depuis une interface web. Je suis conscient que l’idée de stocker ces mots de passe en ligne est quelque peu anxiogène. Mais en l’occurrence, il n’y a guère d’autre choix possible et je m’assurerais que la solution offre un chiffrage des données de bout en bout jusqu’au stockage des mots de passe.

Clipperz

Ce logiciel libre est à la base d’un service en ligne de gestion de mot de passe. <a
href="http://www.clipperz.com/">Clipperz est distribué sous licence AGPL. L’installation est assez simple pour qui maîtrise la plateforme LAMP (Linux Apache. MySQL, PHP). On se retrouve avec une quasi-copie conforme du service en ligne.

Les données sont stockées sur le serveur de façon chiffrée. Ainsi si on venait à vous voler votre base de données il serait très difficile de récupérer vos mots de passe. Autre point indispensable aussi l’utilisation du protocole https ou d’un VPN (<a
href="http://fr.wikipedia.org/wiki/R%C3%A9seau_priv%C3%A9_virtuel">Virtual Private Network) pour sécuriser l’accès à vos mots de passe.

Ce que j’ai aimé : la simplicité d’utilisation. Clipperz est particulièrement bien adapté à un usage personnel. Il permet notamment d’automatiser l’authentification sur un site web au travers d’un système de capture du formulaire d’ouverture de session. Ce dernier est alors appelé directement depuis Clipperz.

Ce qui m’a manqué : Il n’est pas possible de créer d’arborescence sous forme de dossier pour classer ces mots de passe. Il n’existe pas de fonction de recherche qui peut-être utile lorsque l’on finit par avoir un grand nombre de mots de passe.

WebKeepass

Cette application est issue d’un portage en Java du logiciel <a
href="http://keepass.info/">Keepass, un autre logiciel libre destiné à la gestion des mots de passe, pour qu’il puisse fonctionner en mode web. Connaissant déjà ce dernier, j’ai cru avoir trouvé la solution idéale. De prime abord, je m’attendais à une installation laborieuse n’étant pas familiarisé avec les logiciels web écrits en Java. Cependant, le logiciel est fourni sous la forme d’un pack incluant <a
href="http://fr.wikipedia.org/wiki/Apache_Tomcat">Tomcat et MySQL.

J’ai réalisé l’installation sur une machine virtuelle utilisant une Debian 6.0 à laquelle j’ai ajouté le package openjdk-6. L’installation se fait ensuite à l’aide d’un script bash auquel vous devez fournir quelques renseignements dont le chemin vers le JDK Java ainsi que le répertoire d’installation. Il faut ensuite, comme indiqué dans la documentation (qui se trouve dans le fichier zip d’installation), rendre exécutable quelques fichiers et ensuite lancer le service.

J’ai cru lors de la première utilisation que le service ne marchait pas. En fait, je n’avais pas la patience d’attendre le chargement de l’applet Java et m’acharnais à rafraîchir ma page web <img
src='http://philippe.scoffoni.net/wp-includes/images/smilies/icon_smile.gif' alt="web sécurité mot de passe " class='wp-smiley' title="Gestionnaires de mots de passe collaboratifs en ligne" /> !

Ce que j’ai aimé : un vrai système de gestion multi-utilisateur avec la possibilité pour ceux-ci de se partager des mots de passe entre eux. Cependant dans mon cas les utilisateurs auront accès ou pas à la totalité des mots de passe.

Ce qui m’a manqué : une ergonomie plus intuitive. Je pensais me trouver dans un environnement similaire à Keepass, mais en fait la gestion multi-utilisateur complexifie l’interface et on a du mal à s’y retrouver.

cpassman

Je vais citer ce logiciel pour vous inviter à l’éviter. Pourtant, je suis allé jusqu’à installer <a
href="http://www.cpassman.org/">cpassman tant la présentation qui en était faite était attirante. L’installation se fait sur la base d’une plateforme LAMP classique. Ce qui séduit tout de suite c’est l’ergonomie et la facilité de prise en main. Je dois dire qu’il correspondait à quasiment 100% de mon cahier des charges, mais…

Il est distribué sous une licence <a
href="http://creativecommons.org/licenses/by-nc-nd/2.0/">Creative Common By-Nc-Nd. Autrement dit, vous êtes libre d’utiliser ce logiciel à condition de ne pas le revendre et de ne pas le modifier, ce qui revient à en faire un logiciel non-libre. J’aurais été prêt à aller au-delà de cela si un détails ne m’avait pas arrêté en route.

Une chose à vérifier lorsque l’on confie ces données à un logiciel ou à un service en ligne est la possibilité de récupérer ces données dans un format documenté et exploitable depuis des logiciels “basiques”. En l’occurrence, il s’agit ici de pouvoir exporter ces mots de passe pour changer la cas échéant de logiciel.

Or cpassman ne permet qu’une sauvegarde et encore dans un format chiffré. Une fois vos mots de passe saisis ils sont verrouillés dans le logiciel. Je n’ai pas testé la version 2 actuellement en bêta pour vérifier si cette possibilité est apparue. En tout cas je n’ai rien trouvé qui y ressemble dans la version de production.

Keepass

J’en suis donc revenu à mon point de départ en quelque sorte. <a
href="http://keepass.info/">Keepass est un logiciel de “bureau” et ne permet pas un accès un mode web aux mots de passe. On m’a fait remarquer que Keepass dispose de la possibilité d’ouvrir un fichier au travers des protocoles FTP et HTTP. J’aurais aimé que ce soit leur version sécurisée, mais cela représentait une piste et le fichier contenant les données est entièrement chiffré.

J’ai donc testé un fonctionnement de Keepass en FTP sans découvrir de problème particulier. Je précise cependant que sur la version GNU/Linux de Keepass, cette fonctionnalité n’a pas l’air d’être implémentée. Cependant, cela ne pose pas de soucis majeurs pour un geek gnuxien (GNU/Linuxien) de configurer un point de montage sur un lecteur FTP ou mieux en <a
title="Monter un système de fichiers via ssh sous Linux et Windows" href="http://www.tux-planet.fr/monter-un-dossier-distant-avec-sshfs/">SSHFS. Les protocoles sécurisés devenant à nouveau exploitables.

Keepass gère lors de l’enregistrement la synchronisation des données si celles-ci ont été modifiées par un autre utilisateur sur le serveur. Ayant utilisé Keepass de cette façon par le passé, je n’ai jamais rencontré de soucis de mise à jour ou de perte de mot de passe.

Un dernier détail qui en arrêtera certains, Keepass nécessite l’installation de Mono pour fonctionner. Il existe pour eux une version de Keepass dépourvu de ce dernier, mais qui est resté en retrait fonctionnellement : <a
href="ttp://www.keepassx.org/">KeepassX. Ce dernier cependant rendra déjà pas mal de service pour le stockage de vos mots de passe. Mais <a
href="http://www.keepassx.org/news/2010/03/213">la dernière version publiée date de mars 2010 ce qui n’est pas récent et ne présage pas de façon positive de l’avenir de ce logiciel.

Autre chose ?

Je n’ai pas trouvé d’autres logiciels correspondant à mon mouton. La solution Keepass est en cours d’expérimentation. Maintenant il est vrai que je n’ai pas l’expérience de ce type de situation et qu’il existe aussi peut-être des façons de faire pour gérer ce type de problématique. Si vous travaillez chez un hébergeur ou autre et que vous avez eu à gérer la problématique d’une ferme de serveurs, je suis preneur de toute information ou piste.

Rendez-vous sur le site pour commenter.

Philippe SCOFFONI