---
categories: ['OpenBSD','Système','Sécurité']
date: 2020-05-23T15:02:22+02:00
description: "Gérer des données privées et confidentielles, sous OpenBSD, grâce à l'outil KeepassXC."
draft: false
include_toc: true
show_comments: false
tags: ['OpenBSD','KeepassXC','confidentialité']
title: "KeepassXC : outil de gestion de données sensibles / OpenBSD"
translationKey: 'openbsd-keepassxc'
---
## Description
**[KeePassXC](https://keepassxc.org)** est un dérivé communautaire de
KeePassX, le port multi-plateforme de KeePass pour Windows. Chaque
fonctionnalité travaille sur ces plateformes et fait l'objet de tests
approfondis afin de fournir aux utilisateurs les mêmes apparences et
sensations sur chacun des systèmes d'exploitation supportés. Cela inclut
la bien-aimée fonctionnalité **Auto-Type**.
Par défaut, la basse de données est toujours chiffrée avec l'algorithme
de chiffrement AES (alias Rijndael) de norme industrielle, utilisant une
clé de 256 bits. KeePassXC utilise un format de basse de données
compatible avec KeePass Password Safe. Votre porte-monnaie fonctionne
hors-ligne et ne requiert pas de connexion Internet.
Les principales fonctionnalités :
* Un enregistrement des mots de passes et autres données confidentielles
avec les chiffrements AES, Twofish ou ChaCha20
* Un format de fichier compatible avec KeePass2, KeePassX, MacPass,
KeeWeb et beaucoup d'autres (KDBX 3.1 et 4.0)
* Intégration de l'agent SSH
* Auto-Type sur toutes les plateformes supportés pour remplir
automatiquement les formulaires de connexions
* La prise en charge de fichier Clé et du challenge de réponse
YubiKey pour une sécurité accrue.
* La génération de TOTP (incluant Steam Guard)
* L'import CVS depuis d'autres gestionnaires de mots de passse (tel que
LastPass)
* Une interface en ligne de commande CLI
* Un générateur de mots de passe ou de passphrase unique
* Une mesure de la force du mot de passe
* La fonctionnalité de fusion de base de données
* Une recharge automatique lorsque la base de données a été changée
WWW: https://keepassxc.org
## Installation
Disponible depuis OpenBSD 6.6 !
Actuellement, il existe 4 versions que vous pouvez
{{< inside2 l="sys/openbsd/pkg" t="installer" a="installer" >}} :
* `keepassxc` : la version de base
* `keepassxc-browser` : la version d'intégration avec les navigateurs internet
* `keepassxc-browser-yubikey` : la version d'intégration pour les navigateurs
et pour fonctionner avec les clés USB de sécurité de type Yubikey
* `keepassxc-yubikey` : la version fonctionnant avec les clés de type Yubikey
{{}}
La fonction communiquant avec une clé Yubikey ne fonctionne qu'à partir
d'OpenBSD 6.7 !
{{}}
## Configuration
{{}}
Ne pas confondre les {{< anchor "paramètres de configuration" "paramètres" >}}
de l'outil KeePassXC et
{{< anchor "ceux de la base de données" "paramètres-de-la-base-de-données" >}}.
{{}}
### Paramètres
La gestion des paramètres, une fois KeePassXC ouvert, se fait par le
biais du menu **Outils > Paramètres**.
#### Intégrations aux navigateurs
Cliquez sur l'icône **Intégration aux navigateurs**, puis dans la partie
droite de la fenêtre cliquez sur la case à cocher
**[ ] Activer l'intégration aux navigateurs**.
Une fois activée, les onglets **Général** et **Avancé** sont accessibles.
⇒ L'onglet **Général** précise qu'il faut télécharger le module
**KeePassXC-Browser** correspondant au client web que vous utilisez.
Une fois téléchargé, il faut activer l'intégration pour le(s) navigateur(s)
en question.
{{}}
Sous OpenBSD, les trois navigateurs web :
- {{< inside2 l="sys/openbsd/firefox" t="Firefox" >}},
- {{< inside2 l="sys/openbsd/chromium" t="Chromium" >}},
- et {{< inside2 l="sys/openbsd/tor-browser" t="Tor-Browser" >}}
… sont disponibles.
{{}}
⇒ L'onglet "Avancé" permet, entres autres, la prise en charge correcte
de la communication entre KeePassXC et le navigateur web. Activez les
cases à cocher suivantes :
* **[ ] Utiliser une application proxy entre KeePassXC et l'extension pour un navigateur web**
* **[ ] Utiliser un proxy personnalisé**, puis
* dans le champ de rechercher [ Parcourir… ], choisissez `/usr/local/bin/keepassxc-proxy`
*Dans les deux contextes, il existe d'autres options que vous pouvez
activer ou non…*
#### Agent SSH
Cliquez sur l'icône "Agent SSH", puis dans la partie droite de la fenêtre,
cliquez sur la case à cocher **[ ] Activer l'agent SSH** *(redémarrage nécessaire)*.
{{}}
Le redémarrage en question est celui de l'application ; fermez-la pour
l'ouvrir à nouveau.
{{}}
#### Intégration au Secret Service
{{}}
Le **Service Secret de Freedesktop** semble être le service de gestion
de confidentialité des données sensibles normé par un des standards de
Freedesktop. Dans les faits, il gére votre porte monnaie de session X,
et bien d'autres éléments de sécurité, dont la communication avec ses
éléments.
{{}}
Cliquez sur l'icône **`Intégration au Secret Service**, puis dans la
partie droite de la fenêtre cliquez sur la case à cocher
**[ ] Activer l'intégration de KeePassXC à Freedsktop.org Secret Service**.
Une fois activée, les onglets **Général** et **Autorisation** sont
accessibles.
⇒ L'onglet **Général**, outre les options diverses, donne un aperçu des
bases de données KP visibles, sous le dénominateur
**Groupes de la base de données visibles :**
Ce groupe contient trois colonnes :
* **File Name** : Nom du fichier de base de données
* **Group** : le groupe dans lequel peut être attribué le fichier de base
de données en question
* **Manage** : pour gérer le fichier de base de données :
* Une icône bleue en forme de fichier pour éditer la base de données
- lorsqu'elle est cliquée, l'application va dans le menu d'édition
des {{< anchor "paramètres de la base de données" "paramètres-de-la-base-de-données" >}}.
* une icône en forme de cadenas ouvert - afin de verrouiller ou non
la base de donnée.
⇒ L'onglet **Autorisation* donne un aperçu des applications qui sont
autorisées de communiquer avec la base de données.
Deux colonnes :
* **Application** : le nom des applications
* **Manage** : permet de gérer les autorisations liées à l'application
### Paramètres de la base de données
Les paramètres de la base de données sont accessibles par le menu
**Base de données > Paramètres de la base de données…**
#### Sécurité
Deux onglets sont accessibles :
* **Clé maître**
* **Paramètres de chiffrement**
⇒ L'onglet **Clé maître** permet de gérer le mot de passe lié à la base
de données en cours.
Un bouton **[ Ajouter une protection supplémentaire… ]**, qui lorsqu'il
est cliqué, donnera accès à la gestion :
* de protection par "Fichier-clé"
* de challenge par question-réponse Yubikey.
⇒ L'onglet **Paramètres de chiffrement** permet le paramétrage d'un
temps de déchiffrement de la base de données avant son possible accès,
ainsi que de choisir le format de celle-ci.
#### Intégration au Secret Service
Le menu **Entrées visibles** permet de rendre visible ou non les données
qui sont dans la base de données.
#### Intégration aux navigateurs
Ce menu permet de gérer les "Paramètres de KeePassXC-Browser" sur la
base de données, ainsi que les "Clés stockées", relatives à la
communication entre KeePassXC et votre client web, par le biais du module
KeePassXC-Browser.
#### Paramètres avancés
En bas, à gauche, de la fenêtre de KeePassXC, dans les paramètres de la
base de données se trouve une case à cocher **[ ] Paramètres avancés**.
La cocher modifie l'apparence du menu **{{< anchor "Sécurité" "sécurité" >}}**
des paramètres de la base de données, et tout particulièrement dans
l'onglet **Paramètres de chiffrement** qui permet ainsi de modifier plus
finement certaines options, tel l'algorithme de chiffrement, la
fonction de dérivation, le cycle de transformation, l'utilisation mémoire,
et le nombre de processus.
{{}}
**Ne touchez à ces paramètres que si vous comprenez, en connaissance de
cause, les implications de tels changements**.
{{}}
## Utilisation
### Générateur de mot de passe
Le générateur de mot de passe ou de passphrase est accessible par le menu
**Outils > Générateur de mot de passe**.
----
## KeePassXC-Browser
Une fois ce module installé, et KeePassXC configuré pour communiquer avec
navigateur web, cliquez sur l'icône du module pour gérer la communication
avec KeePassXC. Celui-ci vous demandera la première fois de créer une
clé de communication qui sera enregistrée dans les paramètres de la base
de données de KeePassXC.
* Le bouton vert [ Paramètres ] permet de
gérer les paramètres du module
* Le bouton jaune [ Choisir des champs d'identification personnalisés pour cette page ]
permet de paramétrer les champs de connexion sur une page web
* alternativement un bouton bleu :
* [ Connecter ] : quand il n'y a jamais
eu d'association de touche, afin de la créer.
* [ Recharger ] permet de recharger la
clé de communication entre KeePassXC et le module KeePassXC-Browser
- ce qui nécessite que KeePassXC soit en fonctionnement.
### Mises en garde
{{}}
Il semble y avoir un souci empêchant le bon fonctionnement de communication
entre le module KeePassXC-Browser et KeePassXC si votre session utilise
`ck-launch`.
Modifiez votre fichier personnel `.xsession` pour redémarrer votre session
sans !
{{}}
### Messages d'erreurs
* **KeePassXC-Browser n'est pas configuré. Appuyez sur le bouton Connecter pour se connecter à KeePassXC.** :
ce message est affiché lors du premier usage du module. Cliquez sur
le bouton [ Connecter ] pour créer une association de touches.
* Échec du chiffrement du message. KeePassXC est-il lancé ? :
Vérifiez que le logiciel KeePassXC soit activé !
* Impossible de se connecter à KeePassXC. Vérifiez que l’intégration au navigateur soit activée dans les paramètres de KeePassXC.
signifie que **le module KeePassXC-Browser ne peut se connecter à la
base de données KeePassXC**.
- Soit vous n'avez pas {{< anchor "paramétré correctement KeePassXC" "integrations-aux-navigateurs" >}}
pour qu'ils puissent communiquer ensemble,
- soit KeePassXC est tout simplement inactif.
* L’échange de clé a échoué. : l'échange
de la clé de communication entre le module KeePassXC-Browser et
KeePassXC n'arrive pas à se faire.
---
## Historique
J'ai écrit historiquement cette documentation de manière collaborative
sur le wiki de la communauté "OpenBSD Pour Tous".
---