A suivre…
Les coffres à mots de passe
Pascal Kotté
33

Buttercup

Coffre numérique à mots de passe

Bon alors, cela commence bien…

A ben oui, inutile de se moquer de moi, je n’utilise que des outils libres, ou de l’éditeur: Jamais les produits de sécurité commercialisés, il y a un problème majeur de conflits d’intérêts !!!

Pensez-y, le seul qui a intérêt à voir son système “Secure”, c’est MiGroSoft ! Et si son système est une passoire, c’est essentiellement à cause des trous imposés par une société qui demande à être protégée, et réclame bêlement de la surveillance massive et des outils de contrôle, pour surveiller les méchants: Résultat, des centaines de milliers de PC cryptés à cause d’un backdoor imposé par la NSA !

Un petit checkup pour vérifier avant de dire “Exécuter quand même”, même si c’est Korben qui nous donne le lien, c’est pas une garantie !

https://www.virustotal.com/fr/ et hop !

Ah ah, c’est du tout frais ! Je ne suis pas le premier à vérifier, le premier seulement la veille ! On est un certain nombre à être abonné à Korben…

A priori, devrait pas être dangereux, 1 détecté sur 61, bon je relance, mange pas de pain…

Quand c’est comme cela, si il n’y a pas d’urgence, je planifie de revoir plus tard; Sinon un petit coup de ClamAV et je Spybot dessus, et il faut reconnaître que les probabilités ici d’une saleté, sont très, très réduites, dans ce contexte…

Les contributeurs sont traçables et actifs dans la communauté Github depuis un moment:

Ce serait pas de bol que leur EXE source ce soit fait ‘injecté’ par une saleté, même si c’est toujours possible. Bon, il viennent de sortir une nouvelle version il y a 2 heures: 0.17.2:

Bon allez, je prends et refais un VirusTotal dessus: Pas de surprise, c’est le même résultat ! Mais cette fois, je suis le premier à le soumettre :)

Bon alors, je lance, Windows me cache l’option, j’affiche ‘info complémentaires’ et exécute quand même (dans une sandbox…)

C’est plutôt cool !

Simple, et efficace, avec un import possible des Archives numériques de :

  • Keepass
  • 1Password
  • LastPass

J’ai testé pour LastPass, attention d’ouvrir depuis FireFox pour faire un export CSV (en clair, gaffe où tu poses ce fichier), car la version Chrome te génère un html uniquement (et tout aussi en clair…).

Tu peux choisir de révéler ou de copier le mot de passe !

Avec une option sympa, c’est que l’affichage va faire la distinction colorée entre les ‘lettres’ et les ‘chiffres’

S ou 5 ? l ou 1 ou I ?

L’import de mes 1774 mots de passe et 93 notes sécurisées, s’est bien passé ! (Oh purée, incroyable d’avoir testé tout cela, en plus de 12 années remarquez… !-)

Mais le résultat est inutilisable: Le problème est le ‘grouping’ et l’outil de recherche de ButterCup… Le search se limite à l’intérieur d’un ‘GROUP’ et dois trouver le bon avant d’avoir une chance de récupérer… Si tu as pas limité tes groupes dans LastPass, et utilisé cette option généreusement, comme si c’était un ‘tag’ de plus: Cela va te poser soucis…

Mais voici comment le contourner, tu importes ton CSV dans “LibreOffice Calc”, c’est la peine d’essayer avec Excel, l’import des éléments de champs textes avec des sauts de lignes, ce qui est un standard CSV normal, Microsoft n’a jamais su le gérer intelligemment ! Alors j’installe LibreOffice, y compris chez mes clients Microsoft… Puis tu vas remplacer la colonne ‘grouping’ avec le même groupe !

A noter, que je peux ouvrir plusieurs Archives en //, c’est pas mal du tout…

La plate-forme peut ouvrir et synchroniser en Cloud une archive partagée:

Support de Cloud WebDAV pour la synchronisation en usage multi-utilisateurs… A tester

C’est à priori peut-être un des 2 avantages sur KeePass:

  1. WebDAV
  2. Simplicité, interface épurée, plus “end-user friendly…”

Ressources

Peu gourmand: L’explorateur de process montrait une URL de debug, mais le programme n’a pas ouvert de canaux réseaux durant mon test, je suppose que ce canal sert à récupérer les retours de ‘crash’ lors de plantages…

Comme Chrome, un process de surveillance avec une URL

En l’occurrence, ici il s’agit de l’environnement “Google Cloud platform” http://appspot.com

Encore jeune ?

J’ai pu constater des lenteurs et délais sur les temps de réaction, mais avec ma grosse liste, guère étonnant. Les process tournent en mode parallèle, mais l’interface ne remonte pas un feedback ‘curseur je bosse’ pour signaler une activité en cours… C’est une Béta 0.17, depuis un démarrage fin 2015 (cf. twitter)… Pas de business model, pas d’appel à financement ???

Quand on fourni autant de travail, sans afficher un modèle ‘business’ pour gagner sa vie, ce qui de nos jours reste une nécessité sociétale, pour avoir le droit de juste “survivre” (même si je trouve cela stupide et milite pour le RU (ou RBI)). Je m’inquiète ! C’est quoi le plan ? Pure générosité ?

Donc 2 petits bémols de mon point de vue:

  1. Quand tu crées ton archive, le ‘PassPhrase’ n’est pas répété, tu as intérêt à le noter dans un notepad++, et le coller dans la création de l’archive, puis te l’imprimer de suite en 2 exemplaires pour mettre en COFFRE matériel… (Enveloppe scellée?)
  2. Le Search, pourquoi l’avoir limité au seul ‘GROUP’ actif ? C’est une bonne idée de pouvoir le limiter, mais aussi de pouvoir l’étendre à tous les ‘GROUPS’ :(

Que vais-je en faire moi-même ?

Pour remettre dans les mains d’un entrepreneur pas très digital, pour partager avec lui les clefs numériques de son entreprise, ou d’une personne, c’est plus simple que KeePass, et moins “intrusif”, plus libre que DashLane…

Mais moi, je garde mon LastPass ! Même s’il est probablement accessible par la NSA. Je milite contre la surveillance massive, mais je m’en fou, tant que nous ne sommes pas (encore) basculé dans un 4ème Reich… Impossible ? Tu connais ‘La Vague?’ (ou 3ème vague à l’origine)…