Vous avez sûrement déjà eu ce moment de solitude où vous devez filer le mot de passe du WiFi, de Netflix ou d'un compte commun à un pote. Et là, comme un mec bourré qui recontacte son ex après une soirée déprimante, vous finissez par l'envoyer par SMS ou l'écrire sur un bout de papier qui finira à la poubelle.

C'est le genre de truc qui rend dingue niveau sécurité, mais bon, dans la vraie vie on le fait tous !

Au début, je cherchais donc juste un moyen simple de faire ça proprement, et je suis tombé sur ShareMyLogin. C'est un petit outil open source très bien pensé qui permet de partager des identifiants (ou n'importe quel secret) via un lien unique, en chiffrant tout directement dans votre navigateur (Chrome, Firefox, peu importe).

Le principe vous le connaissez, c'est du Zero Knowledge. Du coup, comme le chiffrement se fait localement avant l'envoi, le serveur ne reçoit techniquement que des données illisibles. C'est dans l'esprit de ce que proposent des services comme Bitwarden Send ou LockTransfer pour les pros , mais ici sous forme d'un petit outil dédié et gratuit.

Côté technique, on retrouve donc bien de l'AES-256-GCM pour le chiffrement et du PBKDF2 (avec 250 000 itérations) pour la dérivation de clé. Concrètement, vous tapez votre secret, l'outil génère un lien, et hop, vous filez ce lien à votre destinataire.

Ce qui est cool, c'est que le code est disponible sur GitHub . Je vous invite d'ailleurs à aller jeter un oeil à encrypt.ts et decrypt.ts qui montrent bien que la crypto est gérée côté client. Après, si vous utilisez la version hébergée, vous devrez faire confiance à l'administrateur pour qu'il ne modifie pas le code à la volée. Mais si vous hébergez votre propre instance, ce qui est franchement conseillé si vous êtes à cheval sur la sécu, c'est top !

Bien sûr pour le partage de mots de passe critiques au quotidien, je vous recommande d'utiliser les fonctions de partage de votre gestionnaire de mots de passe habituel. Mais pour un dépannage ponctuel, genre filer le code du digicode à un livreur ou un accès temporaire, ShareMyLogin fera très bien le job.

Le projet propose aussi une API si vous voulez intégrer ça dans vos propres moulinettes.

Source

Hier soir, je suis tombé sur ce gestionnaire de mot de passe clairement conçu pour les puristes et je me suis dit que ça pourrait vous intéresser. Parce que si ça vous casse la tête de devoir confier vos identifiants et autres mots de passes à des services dans le cloud qui ont connu quelques déboires de sécurité ces derniers temps (suivez mon regard... Oh Lastpass, comment ça va ?), j'ai exactement ce qu'il vous faut !

Ça s'appelle LocalPass , c'est open source et surtout c'est conçu pour fonctionner 100% en offline. J'ai testé ça ce matin sur mon laptop et c'est assez simple à utiliser.

Mais avant pour ceux qui se demandent quel est l'intérêt d'un gestionnaire de mots de passe local par rapport à un truc comme Bitwarden ou Dashlane , la réponse est simple : la souveraineté. Bah ouais, c'est logique. Avec LocalPass, vos données ne quittent jamais votre machine. Pas de cloud, pas de synchro mystérieuse, pas de télémétrie. C'est vous, votre fichier chiffré, et c'est tout.

Perso, j'ai longtemps utilisé des solutions cloud pour le confort, mais depuis quelques mois, je cherche à revenir sur des trucs plus locaux pour tout ce qui est critique, du coup LocalPass tombe à pic.

Côté technique, c'est du solide (sur le papier en tout cas) puisque l'outil est développé en Python et utilise Argon2id pour la dérivation de clé (ce qui rend les attaques par force brute bien pénibles pour les méchants) ainsi que AES-GCM pour le chiffrement.

L'utilisation ensuite c'est pas compliqué si vous avez déjà touché à une ligne de commande. D'ailleurs, pour l'installer, un petit coup de pip suffit (sauf si vous n'avez pas Python, là faut l'installer avant hein) :

pip install localpass

localpass init moncoffre.lp