Retour au blog

Pourquoi KeePass est votre meilleur ami et pourquoi vous devez vous en séparer.

Cybersécurité • 07 septembre 2023

Utilisé par une grande majorité des DSI française, Keepass présente pourtant des limites fortes, notamment sur la gestion des accès.

 

I. KeePass est votre meilleur ami 🤝

1. Parce qu’il est open-source.

Créé en 2003 par un ingénieur allemand (Dominik Reichl), Keepass s’appuie sur une communauté engagée permettant à la solution de garantir un haut niveau de transparence…et de sécurité !

C’est d’ailleurs l’un des seuls gestionnaires de mots de passe certifiés par l’ANSSI aux côtés de… LockPass 🙂 Cette certification lui permet de rassurer les utilisateurs sur la robustesse de l’application et l’utilisation des mécanismes de chiffrement à l’état de l’art.

 

2. Parce qu’il est gratuit

Au-delà de la sécurité et de l’attrait de l’open source, l’un de ses points forts est sa gratuité. Et même si open source et gratuité vont souvent de pair, ce n’est pas toujours le cas !

Pendant très longtemps, les DSI ont dû batailler pour débloquer du budget afin de limiter les mauvaises pratiques liées à la gestion des mots de passe. Keepass fût donc un excellent moyen de sécuriser les accès d’une DSI à moindre coût.

 

3. Parce qu’il dispose d’un client lourd.

Avoir ses mots de passe stockés directement sur votre device peut poser question en termes d’accessibilité, notamment en cas de ransomwares par exemple.

Cependant, ce client lourd présente l’avantage de pouvoir gérer l’accès à des applications lourdes ou des clés spécifiques type clés SSH. Un vrai plus pour les administrateurs Systèmes par exemple.

 

4. Parce qu’il est On-Premise

Les mots de passe d’une équipe et notamment ceux de la DSI sont des assets très sensibles.

Ils constituent en fait les portes d’entrées vers de nombreuses ressources d’une organisation et leur récupération par un tiers ou leur perte peut entraîner un arrêt pur et simple de l’activité.

Ainsi, certaines DSI font le choix de privilégier un hébergement en interne, en On-Premise. 
En effet, de par la criticité de certaines infrastructures gérées ou parfois pour des raisons légales, le stockage des mots de passe sur le cloud est tout simplement proscrit.

 

II. Pourquoi vous devez vous en séparer ❌

1. Parce qu’il ne permet pas de gérer les accès au sein d’une équipe.

C’est l’une des faiblesses récurrentes de Keepass : la gestion des accès et le partage des mots de passe.

L’outil permet de chiffrer les mots de passe et limite donc les portes d’entrées au sein de l’organisation mais il omet tout un pan d’une SSI béton, à savoir le cloisonnement des accès.

 

La question du “Qui a accès à quoi ?” étant de plus en plus centrale dans la mise en place de bonnes pratiques et de process SSI, il devient donc indispensable de pouvoir définir de manière granulaire à quel mot de passe peut accéder quelle ressource à quel moment.

 

Nous avions un problème qui était lié à la gestion des accès. Avec KeePass, chaque personne avait accès à l’ensemble des mots de passe disponibles dans la base, ce qui pose problème en termes de sécurité des données sensibles."

Fabien Cunault, Administrateur système de la ville de Créteil.  

 

 

L’alternative ? La création de plusieurs bases Keepass partagées qui viennent s’ajouter aux bases individuelles et permettent d’assurer ce fameux cloisonnement…de manière court-termiste !

On vous en dit plus juste en dessous 👇

 

2. Parce qu’il est décentralisé par nature.

En effet, Keepass ne permet pas de mettre en place une approche centralisée.

Une multiplication des bases Keepass va donc avoir plusieurs effets :  
Perte de contrôle sur la qualité de vos mots de passe : Mots de passe pas à jour.
Pas de vision globale sur les mots de passe partagés pour les profils ADMIN.

Un bon gestionnaire de mots de passe doit permettre à une DSI de (re)prendre le contrôle sur l’ensemble des mots de passe et de mettre en place une politique de mots de passe et de cloisonnement à l’échelle de l’organisation.

 

Autre faiblesse liée à la décentralisation, le manque de traçabilité et de suivi sur les actions effectuées par les équipes (utilisation, création, modification, suppression).

 

 

3. Parce qu’il n’est pas adapté à des profils non techniques

Sécuriser et gérer de manière structurée les mots de passe de la DSI constitue l’une des premières briques d’une protection cyber réussie.

Cependant, la plupart des équipes / directions d’une organisation gère et partage des mots de passe.

Est-ce que Keepass est adaptée à leurs usages ? Ce n’est évidemment pas le cas.

Est-ce que leurs mots de passe sont critiques ? On vous partage quelques exemples :

 

  • Mots de passe d’accès aux impôts, à l’URSSAF ?
  • Mots de passe d’accès aux comptes Linkedin, Twitter, Facebook de l’organisation ?
  • Mots de passe d’accès aux logiciels de Paie ?
  • Mots de passe d’accès aux comptes bancaires de l’organisation ?

    À méditer !

 

4. Parce qu’en cas d’attaque…attention à la douche froide !

En effet, avec Keepass, vos mots de passe sont directement stockés en local, sur votre device.

Posez-vous donc bien la question du niveau de sécurité de votre device vs le niveau de sécurité d’un cloud provider ou de vos serveurs dans le cadre d’un hébergement On-Premises.

 

Même si une approche cloud n’est pas la réponse ultime, la question des back-up doit être centrale dans votre stratégie de protection des mots de passe entreprise.Conseil LockPass - KeePass

Ils ont quitté KeePass pour gérer finement les droits d'accès de leur SI avec LockPass

Ville de Créteil

Politique du moindre accès et accent sur les utilisateurs finaux pour protéger la ville de Créteil


Entretien et retour d’expérience de Fabien Cunault, Administrateur système de la ville de Créteil.

Armatis

Externaliser son gestionnaire de mots de passe, un choix stratégique pour l'entreprise Armatis


Entretien et retour d'expérience avec Vincent Dupont, RSSI / CISO du groupe Armatis, spécialiste de la relation client !

Découvrez LockSelf

Dites adieu à KeePass

Protégez (vraiment) vos mots de passe dès aujourd'hui