Vous connaissez le concept de déni plausible appliqué aux mots de passe ? L'idée c'est que si quelqu'un chope votre coffre-fort de passwords et tente de le cracker en brute force, il va obtenir des résultats... mais jamais savoir si ce sont les bons. Niark niark !

Hé bien c'est exactement le principe de Mistikee , un gestionnaire de mots de passe développé par un dev indé français. Le truc qui le différencie de tout ce qu'on connait (Bitwarden, KeePass et compagnie), c'est que le mot de passe maitre n'est JAMAIS stocké. Du coup, peu importe ce que vous tapez comme mot de passe maitre, Mistikee va toujours vous donner une réponse. Sauf que seul le bon mot de passe maitre donnera la bonne réponse... les autres donneront des résultats tout aussi crédibles mais complètement faux.

Mistikee, le gestionnaire de mots de passe à déni plausible

En gros, un attaquant qui tente un brute force va se retrouver avec des milliers de réponses plausibles et aucun moyen de savoir laquelle est la bonne. Bon courage ! Comme si chaque clé ouvrait la serrure, mais donnait accès à une pièce différente (et y'a qu'une seule vraie pièce). Oui, comme dans Peacemaker ^^.

Côté technique, l'app régénère vos mots de passe à la volée à partir du mot de passe maitre via une dérivation cryptographique. Pas de base de données déchiffrable, pas de fichier .kdbx qu'on peut attaquer avec hashcat ou john.

Attention quand même : Faut choisir un mot de passe maitre SOLIDE, hein... parce que si vous mettez "1234", le déni plausible ne va pas faire de miracles. Et si vous oubliez votre vrai mot de passe maitre ? Terminé. Aucune récupération possible (c'est le revers de la médaille, forcément).

Les écrans de Mistikee sur mobile

L'outil est dispo sur Android, iOS, macOS et Windows et tout est stocké en local sur votre appareil avec une synchro chiffrée de bout en bout via le cloud si vous voulez utiliser plusieurs appareils. Par contre, pas d'extension navigateur pour le moment, faudra copier-coller à la main... c'est pas le plus pratique si vous avez 50 comptes sur lesquels vous connecter dans la journée. Et le modèle économique est honnête, c'est gratuit avec une option premium en paiement unique à 4,99 euros (pas d'abonnement, ça nous change des Dashlane et compagnie qui vous ponctionnent +40 balles par an).

Voilà j'ai fait le tour... Alors ça ne remplacera pas forcément votre gestionnaire habituel pour le quotidien, surtout si vous avez 200+ entrées avec des TOTP et tout le bazar. Mais faut voir ça plutôt un coffre-fort complémentaire pour vos secrets les plus sensibles, ceux où vous voulez vraiment cette couche de protection supplémentaire contre le brute force. Par exemple pour un journaliste ou un activiste qui traverse une frontière avec son laptop c'est pas rien.

Vous avez sûrement déjà eu ce moment de solitude où vous devez filer le mot de passe du WiFi, de Netflix ou d'un compte commun à un pote. Et là, comme un mec bourré qui recontacte son ex après une soirée déprimante, vous finissez par l'envoyer par SMS ou l'écrire sur un bout de papier qui finira à la poubelle.

C'est le genre de truc qui rend dingue niveau sécurité, mais bon, dans la vraie vie on le fait tous !

Au début, je cherchais donc juste un moyen simple de faire ça proprement, et je suis tombé sur ShareMyLogin. C'est un petit outil open source très bien pensé qui permet de partager des identifiants (ou n'importe quel secret) via un lien unique, en chiffrant tout directement dans votre navigateur (Chrome, Firefox, peu importe).

Le principe vous le connaissez, c'est du Zero Knowledge. Du coup, comme le chiffrement se fait localement avant l'envoi, le serveur ne reçoit techniquement que des données illisibles. C'est dans l'esprit de ce que proposent des services comme Bitwarden Send ou LockTransfer pour les pros , mais ici sous forme d'un petit outil dédié et gratuit.

Côté technique, on retrouve donc bien de l'AES-256-GCM pour le chiffrement et du PBKDF2 (avec 250 000 itérations) pour la dérivation de clé. Concrètement, vous tapez votre secret, l'outil génère un lien, et hop, vous filez ce lien à votre destinataire.

Ce qui est cool, c'est que le code est disponible sur GitHub . Je vous invite d'ailleurs à aller jeter un oeil à encrypt.ts et decrypt.ts qui montrent bien que la crypto est gérée côté client. Après, si vous utilisez la version hébergée, vous devrez faire confiance à l'administrateur pour qu'il ne modifie pas le code à la volée. Mais si vous hébergez votre propre instance, ce qui est franchement conseillé si vous êtes à cheval sur la sécu, c'est top !

Bien sûr pour le partage de mots de passe critiques au quotidien, je vous recommande d'utiliser les fonctions de partage de votre gestionnaire de mots de passe habituel. Mais pour un dépannage ponctuel, genre filer le code du digicode à un livreur ou un accès temporaire, ShareMyLogin fera très bien le job.

Le projet propose aussi une API si vous voulez intégrer ça dans vos propres moulinettes.

Source

Hier soir, je suis tombé sur ce gestionnaire de mot de passe clairement conçu pour les puristes et je me suis dit que ça pourrait vous intéresser. Parce que si ça vous casse la tête de devoir confier vos identifiants et autres mots de passes à des services dans le cloud qui ont connu quelques déboires de sécurité ces derniers temps (suivez mon regard... Oh Lastpass, comment ça va ?), j'ai exactement ce qu'il vous faut !

Ça s'appelle LocalPass , c'est open source et surtout c'est conçu pour fonctionner 100% en offline. J'ai testé ça ce matin sur mon laptop et c'est assez simple à utiliser.

Mais avant pour ceux qui se demandent quel est l'intérêt d'un gestionnaire de mots de passe local par rapport à un truc comme Bitwarden ou Dashlane , la réponse est simple : la souveraineté. Bah ouais, c'est logique. Avec LocalPass, vos données ne quittent jamais votre machine. Pas de cloud, pas de synchro mystérieuse, pas de télémétrie. C'est vous, votre fichier chiffré, et c'est tout.

Perso, j'ai longtemps utilisé des solutions cloud pour le confort, mais depuis quelques mois, je cherche à revenir sur des trucs plus locaux pour tout ce qui est critique, du coup LocalPass tombe à pic.

Côté technique, c'est du solide (sur le papier en tout cas) puisque l'outil est développé en Python et utilise Argon2id pour la dérivation de clé (ce qui rend les attaques par force brute bien pénibles pour les méchants) ainsi que AES-GCM pour le chiffrement.

L'utilisation ensuite c'est pas compliqué si vous avez déjà touché à une ligne de commande. D'ailleurs, pour l'installer, un petit coup de pip suffit (sauf si vous n'avez pas Python, là faut l'installer avant hein) :

pip install localpass

localpass init moncoffre.lp