Créé par un ingénieur français, ce projet Kickstarter propose une solution particulièrement sécurisée pour gérer ses mots de passe, sans pour autant être compliquée à utiliser.

Gérer ses mots de passe, on le sait, est un calvaire, surtout lorsqu’on a beaucoup de comptes en ligne. Les gestionnaires de mots de passe facilitent cette tâche, mais il y a toujours le risque qu’un petit malin trouve une faille dans le logiciel et vienne aspire la totalité de la base de mots de passe. En juillet dernier, les chercheurs en sécurité de Google Project Zero ont ainsi détecté une faille zero-day dans LastPass, le leader du secteur, permettant de voler tous les mots de passe d’un utilisateur au moyen d’un site web piégé. Cette faille a été colmatée depuis, mais l’histoire n’est pas franchement rassurante.
C’est pourquoi Mathieu Stefan, un ingénieur français féru d’open source et d’open hardware, propose une approche différente. Entouré d’un petit groupe de contributeurs bénévoles, il a créé Mooltipass Mini, un petit appareil dédié à la gestion de mots de passe. Ce dernier est actuellement en prévente sur Kickstarter pour environ 64 euros et cela jusqu’au 7 novembre. Le projet a d’ores et déjà largement dépassé l’objectif de financement défini initialement.
Réduire le risque au minimum

Comment ça marche ? L’appareil, qui se branche en USB sur l'ordinateur, stocke les mots de passe de manière chiffrée suivant l’algorithme AES 256 bits. La clé de chiffrement, quant à elle, est stockée dans une carte à puce que l’on insère dans l’appareil quand on veut l’utiliser. Pour déverrouiller la carte, il faut entrer un code PIN à quatre chiffres. Au bout de trois essais infructueux, la carte est bloquée pour toujours.
Contrairement aux gestionnaires de type LastPass ou KeePass, la base de mots de passe et la clé de chiffrement ne sont donc jamais enregistrées sur le terminal et ne peuvent donc pas être récupérées en cas de piratage de ce dernier. « Les seuls mots de passe qui transitent par le terminal sont ceux que l’utilisateur a accepté de transmettre, sachant que chaque transmission doit être validée physiquement sur le Mooltipass Mini », souligne Mathieu Stefan. L’autre point positif, c’est que le projet est entièrement open source et donc auditable. Les plus paranoïaques pourront même aller jusqu’à créer leur propre Mooltipass Mini, à condition de disposer du savoir-faire. En théorie, le risque est donc réduit au maximum.
Fonctionne avec toutes applications sur tout système

Au quotidien, deux modes d’usage sont envisageables. Si l’utilisateur surfe sur le web, il pourra télécharger une extension qui se chargera de récupérer auprès de l’appareil le bon identifiant et le bon mot de passe à insérer dans les champs. L’extension pour Chrome est d’ores et déjà disponible. Celle pour Firefox est en cours de finalisation. Pour toute application autre que ces navigateurs, l’utilisateur doit sélectionner l’identifiant et le mot de passe directement sur le Mooltipass Mini, grâce à une molette et à un petit écran intégré. Les identifiants sont ensuite insérés dans les champs comme s’ils venaient d’un clavier. Connecté en USB, l’appareil dispose en effet d’une interface clavier qui a l’avantage d’être reconnue par n’importe quel terminal. Pas besoin d’extension, ni de driver.

En d’autres termes, l’appareil permet non seulement d'entrer un mot de passe sur des sites web, mais aussi dans n’importe quelle application sur ordinateur et sur smartphone. On pourra, par exemple, l’utiliser pour entrer son mot de passe de session Windows, ou celui d’une appli bancaire sur Android ou iOS. Dans ce dernier cas, il faudra évidemment un adaptateur Lighting-USB.
Certes, nous direz-vous, mais en cas de perte de sa carte à puce ou de son Mooltipass Mini, ou des deux ? Pas de problème. L’utilisateur peut cloner la carte autant de fois qu’il le souhaite, pour se créer des clés de secours. Il peut par ailleurs exporter la base de mots de passe sous forme chiffrée, pour en faire un backup sur le cloud par exemple. Au final, le seul désavantage du Mooltipass Mini, c’est qu’il faut le brancher sur un appareil pour utiliser ses mots de passe. Mais pour ceux qui sont à la recherche d’une solution vraiment sécurisée, c’est peut-être secondaire.
By Gilbert Kallenborn