Astuces Sécurité Tutoriels

Buttercup : sécurisez vos mots de passe en local

Buttercup est un gestionnaire de mots de passe open source qui stocke vos identifiants dans un cloud, mais avec des archives chiffrées dont le mot de passe est géré localement. Grâce à cette appli, vous allez pouvoir centraliser les identifiants de votre ordinateur (Windows, Linux et Mac) et de votre mobile sous Android et iOS.

Non, passW0rD n’est pas un bon mot de passe. Pour éviter les impairs, il faut utiliser des séquences sans aucun sens (hJ¨}(-à56+9#*Hjsµkl87_-Y par exemple) et différentes pour chacun de vos comptes. Et pour retenir tout ça, rien ne vaut un bon gestionnaire de mots de passe, comme Buttercup. Ses particularités ? Il conserve toute la partie chiffrement en local et fait appel à des méthodes de chiffrement extrêmement difficiles à pirater (voir plus bas).

Un programme prometteur

Le fonctionnement est très simple : vous créez des archives chiffrées, stockées sur un cloud : Dropbox, ownCloud, Nextcloud ou autres fournisseurs supportant le protocole WebDAV, mais cela peut très bien être votre propre serveur (comme un NAS par exemple). En entrant vos identifiants dans ces archives, vous les retrouverez sur vos autres appareils pour vous connecter à vos comptes très facilement. L’interface est soignée, la prise en main intuitive, et le tout marche sans faille. Si vous possédez un autre logiciel de ce type, il est possible d’importer votre base de données pour ne pas tout retaper.

Hashé, salé, (re)hashé et dérivé

Sur Buttercup, votre mot de passe principal, qui sert à déverrouiller tous les autres, est hashé une première fois (comme tous les mots de passe) puis salé et enfin hashé une nouvelle fois avec la fonction de dérivation PBKDF2. Tu m’expliques Jamie ? Bien sûr Fred ! Vous tapez votre mot de passe. Il est hashé pour en faire une suite alphanumérique correspondant à ce mot de passe, mais sans possibilité (ou presque) de faire le chemin inverse. Une suite de caractères aléatoires lui est ajoutée (salage), puis il est une nouvelle fois hashé avec une clé de dérivation. C’est-à-dire que les calculs aboutissant à la clé de chiffrement finale sont répétés de très nombreuses fois, pour complexifier la tâche des pirates. En clair : pour pirater votre mot de passe, il va falloir se lever tôt (et se coucher tard).

buttercup


Gérez vos mots de passe avec Buttercup

#1 – Le choix du stockage

Téléchargez Buttercup, installez, ouvrez l’application mobile et appuyez sur les trois petits cubes en haut à droite. Faites Add puis sélectionnez un type de cloud. Nous avons utilisé un compte Dropbox, mais vous pouvez très bien préférer un stockage en local sur un serveur NAS ou n’importe quelle machine qui gère le protocole WebDAV.

tuto buttercup


#2 – Connexion au cloud

Connectez-vous au compte Dropbox depuis Buttercup et faites Autoriser pour laisser l’appli gérer le compte. Connectez-vous puis nommez l’archive qui contiendra vos sésames. Choisissez le mot de mot de passe maître (attention : si vous l’oubliez, personne ne pourra le récupérer à votre place) et validez.

tuto buttercup


#3 – Stockage de vos identifiants

L’archive chiffrée est créée. Ouvrez-la et depuis le menu aux trois barres horizontales, il faudra créer un groupe ou directement créer une entrée (New Entry). Mettez un titre (le nom du site ou du service) et tapez vos identifiants. Faites Create et poursuivez avec vos autres mots de passe.

tuto buttercup


#4 – Synchronisation sur PC

C’est fastidieux, mais vous pouvez aussi importer une base de données depuis 1Password, KeePass et LastPass. Malheureusement pour cela il faudra utiliser la version Windows, Mac ou Linux puisque c’est pour l’instant impossible depuis un mobile. Car l’avantage de Buttercup c’est qu’une fois que vos mots de passe seront en sécurité dans votre cloud chiffré, vous pourrez en profiter sur tous vos appareils. Une extension Firefox et Chrome permet même de profiter de l’autocomplétion pour ne pas avoir à taper vos sésames à chaque fois.

tuto buttercup