Prise en main de Secrets, un coffre-fort aux mots de passe simple et efficace

Mickaël Bazoge |

C'est entendu, la gestion des mots de passe n'est pas une activité particulièrement amusante ou agréable. C'est pourtant un mal nécessaire à l'heure où les vols de données sont légion. Sur macOS comme sur iOS, les coffres-forts logiciels sont nombreux, et la vedette du secteur est bien sûr 1Password.

Mais s'il est bien fichu et très complet, le logiciel d'AgileBits tire de plus en plus vers l'usine à gaz et puis on peut ne pas apprécier que le studio canadien pousse si fort vers l'abonnement. Secrets joue des coudes pour s'imposer sur ce marché de plus en plus concurrentiel : disponible sur nos deux plateformes de prédilection, le logiciel comprend les indispensables fonctions de base du genre dans une interface facile à prendre en main. Prise en main de la version 2.6 qui vient de sortir.

La séquence de configuration de Secrets nécessite la création d'une « phrase secrète » qui fera office de mot de passe principal servant à déverrouiller le coffre-fort du logiciel. Bien sûr, on choisira de préférence un mot de passe fort, l'app présentant une petite jauge qui indique le niveau de sécurité de la phrase secrète.

On peut également générer une clé de récupération qui sera bien utile en cas d'oubli de la phrase secrète. L'application peut aussi se glisser dans Safari via une extension, et un menulet peut apparaitre dans la barre de menus de macOS. Enfin, les données peuvent être synchronisées dans iCloud, ce qui sera bien pratique si on utilise la version iOS de l'app.

Il ne reste plus ensuite qu'à remplir le coffre-fort de mots de passe. Plusieurs types d'éléments peuvent être protégés1 : le numéro d'une carte bancaire, d'un compte, le code d'une licence, on peut aussi garder une note au secret ou tout simplement enregistrer l'identifiant et le mot de passe d'un service web. Secrets sait importer les bases de données .csv exportées par les principaux logiciels du marché, ainsi que les fichiers .1pif de 1Password.

À vous de jouer !

Chaque catégorie a ses propres caractéristiques, mais arrêtons nous un instant sur celle qui permet de créer une « nouvelle identification ». Secrets propose d'emblée un mot de passe composé d'une chaîne de caractères dont on peut régler la longueur ; il est possible d'y intégrer des chiffres, des majuscules et des minuscules, et des caractères spéciaux, le tout à sa convenance. Le logiciel peut aussi générer un mot de passe unique pour les services supportant l'identification deux facteurs.

Pour s'y retrouver dans ses mots de passe, en plus des catégories dans lesquelles on glisse les informations de connexion, Secrets offre un système de mots clé, de favoris, et de filtres. La barre placée sous le moteur de recherche peut être personnalisée.

Certains d'entre eux sont déjà créés, ils proposent par exemple de lister les fiches des cartes de crédit expirées, les identifiants vulnérables, ou encore les mots de passe qui ont plus de six mois. Des filtres vraiment intéressants, car on peut ainsi facilement identifier les mots de passe à renouveler ou à renforcer. Il est aussi possible de créer ses propres filtres selon plusieurs critères.

Le logiciel contient une fonction d'analyse des éléments, qui indique les vulnérabilités potentielles d'un identifiant, explications à la clé.

Au sein du système, Secrets se signale de deux manières. La petite icône du logiciel dans la barre de menus propose d'obtenir les identifiants et mots de passe des services web auxquels on cherche à se connecter.

En cliquant sur un identifiant, on ouvre le logiciel au complet qui propose alors de remplir le formulaire de connexion.

L'extension de Safari est plus fruste mais pas moins efficace. Lorsque la page web présente un formulaire de connexion, il suffit de cliquer sur le bouton pour lancer l'app qui présente alors la fiche correspond au service.

Ce n'est pas aussi intuitif que le système intégré à macOS qui remplit automatiquement les formulaires, ni même 1Password qui sait faire de même en un clic.

Secrets prend aussi en charge la Touch Bar.

Secrets est également disponible sur iOS, les deux apps synchronisant leurs données dans le nuage d'iCloud. Secrets Touch partage les mêmes fonctions que son grand frère sur macOS : consultation des fiches et création de mot de passe forts (avec des fonctions de sécurité identiques d'une app à l'autre), vérification de la solidité des mots de passe…

L'interface de la version iOS est pensée pour être utilisée à une main grâce à un astucieux panneau coulissant qui contient les filtres et les tags (on peut en sélectionner plusieurs grâce à 3D Touch). Les systèmes de reconnaissance biométriques d'iOS, Touch ID et Face ID, peuvent être mis à contribution pour ouvrir l'application.

Secrets est un outil de gestion de mots de passe simple, agréable à utiliser et qui remplit convenablement sa mission. Il s'adresse volontiers à l'utilisateur lambda qui peut être intimidé par les fonctions avancées de 1Password et qui ne veut pas s'embarrasser d'un abonnement supplémentaire (même si le logiciel continue discrètement de vendre une licence perpétuelle).

Les applications Secrets pour macOS et iOS, toutes deux localisées en français, sont gratuites et permettent de stocker jusqu'à 10 identifiants. Pour aller au-delà, il faudra payer un achat intégré unique de 21,99 € pour la version Mac, et 10,99 € pour la mouture iPhone et iPad. À noter que Secrets est aussi disponible dans SetApp, le catalogue d'apps sur abonnement.


  1. Les données enregistrées dans Secrets sont sécurisées au format OpenPGP (chiffrement AES-128), le hachage s'appuie sur un algorithme SHA-256. ↩︎

Tags
avatar bidibout (non vérifié) | 

Est-ce que l'on sait comment sont protégées les infos synchronisées sur iCloud ? (c'est chiffré je suppose ?).

Et est-ce qu'il y a un réglage dans l'app iOS pour régler le vidage du press papier lorsque l'on copie un mot de passe ?

Perso j'utilise Enpass qui me semble vraiment sympa et plus abordable.

avatar Oby1 | 

@bidibout

Pour le chiffrage, je pense que la note de bas de page doit y répondre.
Ceci étant, j’ai pas encore réussi à laisser ce genre d’info, même chiffrée dans le nuage... j’me trompe peut-être...

avatar C1rc3@0rc | 

@bidibout
«Est-ce que l'on sait comment sont protégées les infos synchronisées sur iCloud »

Securité et iCloud...
la seule protection c'est le niveau de chiffrement du fichier par l'application en local. Si l'application garantie qu'elle chiffre systématiquement elle meme le fichier (donc interne et pas qu'a l'export), alors la protection sur icloud revient a la protection en local, mais avec plus de risques d'acces illegitimes.

Apres, mettre ses mots de passe - meme chiffres - sur un cloud... autant les stoker dans un fichier Excel chiffré avec TrueCrypt... au moins "ceci est un fichier rempli d'identifiants et leurs mot de passe" n'est pas marqué sur le fichier (enfin sauf si on est assez bete pour stocker sur un compte email qui sert aussi d'identifiant...)

Comme d'habitude, il faut considérer qu'une donnee mise sur le cloud devient publique et exploitable par n'importe qui.

avatar pocketalex | 

dixit le type qui a inversé son login et son mot de passe ?

avatar C1rc3@0rc | 

@pocketalex
«dixit le type qui a inversé son login et son mot de passe ?»
Excellent, mais que veux tu j'ai toujours eu de l'avance sur Apple: la j'ai plus de 10 ans d'avance sur MacOS 10.13... mieux que l'affichage du mot de passe a la place de l'indice ?

Sinon, sérieusement j'utilise heureusement pas des schémas de mot de passe aussi faibles... je reste sur 1234 ;)

avatar fosterj | 

Correction : effectivement réponses en bas de page

avatar bidibout (non vérifié) | 

Merci, en effet j'avais zappé les dernières lignes je m'étais arrêté à la fin de l'article.

avatar bidibout (non vérifié) | 

J'ai téléchargé l'appli pour tester il y a donc bien le réglage pour le presse-papiers.

avatar blopi4 | 

Mouais.
Je resterais sur Enpass.io ;)
https://www.enpass.io/
Acheté 10€ sur Ios, gratuit sur macos et multiplateforme.

avatar pakal | 

@blopi4
intéressant mais
où sont stockés les mots de passe ? en mode last pass ?

avatar l3aronsansgland | 

@pakal

iCloud (si on est strictement Apple), Dropbox ou d’autres services dont je ne me souviens pas

avatar blopi4 | 

Ils sont stockéd où tu veux :)
Local, cloud de ton choix (icloud, onedrive, etc), en ftp, webdav.

Intégration Ios au top, touchId, etc.

avatar kasimodem | 

Merci pour Enpass, je ne connaissais pas, et enfin, je peux héberger mes pass sur mon Synology chez moi et non plus dans un cloud externe.
1Password va enfin disparaitre de ma vue avec son abonnement, ceci est une révolution :)

avatar Spinaker | 

J’ai une préférence pour Dashlane. Après avoir utilisé LastPass et 1Password.

avatar DahuLArthropode | 

Mouais... pas de version Windows? Ce n’est pas complètement multiplateforme.

Il y a déjà des outils pas chers et vraiment multiplateforme (Mac, Pc, iOS, et peut-être Androïd)
Enpass n’est jamais mis à jour, mais il n’est mal en l’état. Sauf les icônes, attendues depuis des années!
Voir aussi SafeInCloud.
Ces deux applications tournent aussi sur clefs USB. Pas mal pour accéder à ses mots de passe sur le PC de quelqu’un d’autre.
1Password (mon choix final) permet aussi un accès web, comme Dashlane.

avatar Dylno85 | 

Je resterais fidèle à LastPass que j'utilise depuis des années.
Il s'intègre très bien dans Safari.

avatar fosterj | 

je viens de l'essayer, ça à l'air sympa .. notamment de pouvoir importer mes 1300 mdp depuis 1Paswword .. But oh wait .. comment passer de Secrets à 1password si un jour je décide d'y revenir ??? Le xml est-il suffisant ? quelqu'un peut me dire ?

avatar Alberto8 | 

@fosterj

Question intéressante, j’aimerais bien moi aussi avoir la réponse .

avatar Eyquem | 

Je suis passé de 1password à Bitwarden sur un petit serveur perso et j’en suis bien content !

avatar chrisbi | 

Bonjour Eyquen pour Bitwarden, sur quel type de serveur perso l'as-tu installé? Assez simple merci de ton retour

avatar Eyquem | 

@chrisbi

Une petite debian que j’ai mise sur une vm au boulot. Mais un kimsufi ou autre est parfait aussi, car il faut très peu de ressources. Et l’installation se résume littéralement à taper une commande (bitwarden est en fait une image docker).

avatar chrisbi | 

@Eyquem

Merci je vais regarder cela de prêt. ?

Merci

avatar Akeru60 | 

Testé et approuvé depuis 2 semaines ! Très simple d'utilisation et le développeur à l'air d'être motivé à amélioré son logiciel.

avatar Vladimok | 

A votre avis:

Dashlane ou Lastpass pour remplacer 1password ?

Merci

avatar Spinaker | 

@Vladimok

Plutôt Dashlane. Sans hésiter.

avatar pierre_34 | 

@Vladimok

Perso je suis Dashlane depuis longtemps et très satisfait, simple précis, bons conseils et très réactif en intervention .... si nécessaire.
Trois fois en 5 ans.

avatar Vladimok | 

Version gratuite ou payante ?

avatar Enneric2 | 

Pas d'extension pour un autre navigateur que Safari??

avatar Akeru60 | 

Nop, reservé à l'univers Apple pour l'instant..

avatar Enneric2 | 

Ça c’est embêtant !

avatar frederic.penchenat@gmail.com | 

J’en ai repéré un très simple et gratuit : sesame. Il est hyper simple a utiliser et fait le job. J’utilisais jusqu’à maintenant Onesafe qui fonctionne très bien aussi mais finalement trop complexe.

avatar jacques_dh | 

Pauvre Florian! Qu’est-ce qu’il vous a fait?!

avatar andr3 | 

Et concernant Enpass, des avis ?

Il est multi-plateforme.

avatar bidibout (non vérifié) | 

@andr3

Multiplateforme oui et vraiment excellent, simple d'utilisation et possibilité de synchronisation via le cloud ou en local et c'est open source.

avatar Powerdom | 

moi j'ai un mot de passe unique pour tout. ça me va très bien

avatar Al-B | 

Je suis passé de Dashlane (que je trouvais très bien mais un peu cher) à Bitwarden (logiciel libre) il y a quelques mois et je n'en changerai plus. Ce gestionnaire simple et efficace m'est vite devenu indispensable.

avatar Enneric2 | 

Avec Bitwarden y a moyen d'importer les mots de passe de 1Password?

avatar Al-B | 

@Enneric
Oui, voir ici : https://help.bitwarden.com/article/import-data/
J'ai importé depuis Dashlane sans trop de mal. J'en ai 4 ou 5 qui sont mal passés et j'ai gardé les deux versions pendant une semaine pour faire la transition.
Tout est en anglais sur leur site mais le logiciel et les extensions sont bien en français.

avatar Enneric2 | 

Yes ça fonctionne mais c'est le souk, va falloir faire du rangement. En tout cas merci pour l'info je vais tester

avatar Vladimok | 

Pour Bitwarden, faut-il avoir absolument un serveur ?

En version gratuite, où sont stocker les Mots de passe ?

avatar Al-B | 

Les mots de passe sont stockés chiffrés sur un cloud Azure
Plus d'infos ici : https://help.bitwarden.com/security/
Plus d'infos sur le chiffrage : https://help.bitwarden.com/article/what-encryption-is-used/
Le risque 0 n'existe pas mais le fait que ce soit un logiciel libre me rassure. Je n'ai pas encore vu de mise en garde à son sujet

avatar C2c | 

Hello.

Le logiciel sur mac ressemble énormément à Enpass. Il a la force d’être gratuit sur mac et à 10€ sur iPhone (que l’on peut tester gratuitement dans la limite de 20mdp)

J’en parle car je cherchais un soft de ce type à moindre coût, multi plateforme et surtout synchro possible via différent système cloud. En ce qui me concerne, je ne veux pas de cloud « externe » que ce soit iCloud ou Dropbox. Enpass permet le WebDAV facile à mettre en place à la maison (surtout avec un synology)

Fonctionne en offline (si WebDAV indispo).

Avec une telle configuration, j’ai donc un logiciel de mdp à 10€ sur l’iPhone, avec mac et Windows, hébergé à la maison. Plus la sécurité qui va bien ....

avatar Grug | 

Keepass, y'a pas plus multiplateforme !

avatar Wilthek | 

Une question bête ... pourquoi prendre une autre solution que le Trousseau d'Apple ? ça fonctionne plutôt bien d'une iDevice à l'autre et même avec le Mac ? J'ai souvent hésité à prendre une alternative qui - comme cette application - est plus simple que le trousseau en visuel, classement des mdp etc... mais j'ai un gros souci de confiance quant à filer mes mdp à une application tierce ? même si Apple n'est pas à l'abri d'une "attaque", cela n'empêche qu'ils semblent plus costauds ? bref, une inconnue pour ma part ?

avatar yurt | 

@wsalado

Je pense comme toi mais il y a un hic : quand tu utilises aussi Android ou Windows, même occasionnellement...

avatar bidibout (non vérifié) | 

@yurt

Et puis je ne trouve pas pratique de devoir passer par les réglages pour arriver jusque le trousseau.

avatar Al-B | 

@wsalado
Parce qu'une solution indépendante peut permettre (selon le logiciel) d'utiliser ses mots de passe quel que soit le navigateur, l'ordi, le smartphone ou la tablette qu'on utilise...
De plus, on ne "file" pas ses mots de passe puisqu'ils sont chiffrés.

avatar Vladimok | 

Je viens d'essayer DASHLANE et BitWarden, le choix n'est pas évident pour m'affranchir de 1password.

Quel est le plus sécurisé des 2 ?
Peut-on avoir uniquement les MDP stockés en local ?

avatar pocketalex | 

Un truc qui m'aurait franchement fait marrer, c'est dans le screenshot "Identification secrète" de la fiche de Michael, que le mot de passe soit "C1rc3@0rc" ?

avatar DG33 | 

@pocketalex

Et hop il vient de le changer ?

Pages

CONNEXION UTILISATEUR