Le Mooltipass Mini est un produit assez unique sur le marché. Il s’agit d’un gestionnaire de mots de passe conçu sur une base à la fois matérielle et logicielle, dans le but d’assurer un maximum de sécurité, sans pour autant faire l’impasse sur la facilité d’usage.
Ce petit boîtier qu’on branche en USB sur l’ordinateur ou le smartphone, est censé être compatible avec toutes les plateformes, fixes ou mobiles. L’appareil a été créé par un ingénieur français, Mathieu Stephan, dans un esprit open source. Il a été lancé sur Kickstarter en octobre dernier pour environ 64 dollars, suscitant l’adhésion de 1.674 contributeurs.
Notre test n’est pas un audit de sécurité du Mooltipass Mini (MM). Nous l’avons volontairement restreint à l’évaluation de sa facilité d’usage qui – après le niveau de sécurité – est le critère de choix le plus important pour un gestionnaire de mots de passe.
Rappelons le principe technique de cet appareil. La base de mots de passe est stockée dans le petit boîtier métallique, ces derniers étant chiffrés en AES 256 bits. Pour les déchiffrer, il faut insérer une carte à puce spécifique (livrée avec le Mooltipass Mini), que l’on déverrouille avec un code PIN à quatre chiffres. Au bout de trois essais infructueux, la carte se bloque à jamais.
Connecté en USB sur le terminal (PC, mobile ou tablette), le MM est reconnu comme un simple clavier. Lorsque l’utilisateur veut s’identifier sur un logiciel ou auprès d’un site web consulté depuis ce terminal, le login et le mot de passe sont envoyés après une validation physique sur l’appareil (une simple pression sur le bouton-molette).
Côté sécurité, l’avantage de ce système est que la base de mots de passe et la clé-maître ne se retrouvent jamais sur l’ordi ou le smartphone. Si l’un ou l’autre est compromis par un pirate, celui-ci ne pourra intercepter les identifiants qu’au compte-goutte. En somme, le MM ne supprime pas le risque de se faire pirater un mot de passe, mais il le réduit considérablement.
Côté matériel, l’appareil est de bonne facture. Son boîtier est entièrement soudé. Une tentative d’extraction physique de la base ne passerait pas inaperçue, car il faudrait détruire l’enveloppe métallique. Si le MM est bien compatible avec toutes les plateformes – nous l’avons testé sur Windows, Mac, Linux et Android – l’usage au quotidien n’est réellement commode que sur les postes fixes.
Le produit est, pour cela, fourni avec un câble de connexion micro USB vers USB. Sur un smartphone, il faudra disposer d’un câble adapté à l’interface du terminal, généralement micro-USB, USB Type C ou Lightning. Pour peu qu’on rajoute un adaptateur au câble fourni, on se retrouve avec une configuration un peu lourde, peu propice à la mobilité.
De plus, lorsque le MM est connecté à un smartphone, il faut veiller à décocher les fonctions de correction automatique du terminal qui sont activées par défaut et qui ajoutent généralement un espace et une majuscule dès qu’elles rencontrent un point. Or, il y a souvent des points dans les identifiants (notamment quant il s’agit d’adresses emails). Conséquence: les identifiants sont dénaturés et l’authentification échoue. D’un autre côté, la correction automatique est une fonction vraiment pratique sur un smartphone dont on n’a pas envie de se passer. Sur un terminal mobile, le MM n’est donc vraiment envisageable que de manière exceptionnelle, pas au quotidien.
Sur un poste fixe, en revanche, tout se passe très bien. L’un des grands avantages du MM est qu’il peut gérer les mots de passe de façon universelle : les applications, les services web et même les écrans de verrouillage des systèmes d’exploitation. Ce qu’un gestionnaire de mots de passe logiciel comme Lastpass ou Keepass ne peut pas faire. Sur le lieu de travail, où l’on verrouille et déverrouille sans arrêt sa machine, c’est très appréciable, car cela permet de réellement utiliser des mots de passe difficiles à casser. Il n’y a rien de plus pénible que de rentrer à la main un code généré de façon aléatoire qui mélange des lettres, des chiffres et des caractères spéciaux.
Compatible avec Chrome, mais pas encore avec Firefox
Une application compagnon basée sur Chrome permet de rentrer les mots de passe un par un, de les importer par lot au travers d’un fichier CSV, de les modifier avec un générateur aléatoire et de les sauvegarder. Elle permet d’effectuer quelques réglages comme le choix du clavier (français, anglais, Mac…) ou le délai de verrouillage. Pour valider l’envoi d’un mot de passe, l’utilisateur peut également activer un mode « knock » : au lieu d’appuyer sur le bouton-molette, il peut gagner du temps en tapant sur la table sur laquelle est posé l’appareil. Mais ce mode ne fonctionne pas à tous les coups (au sens propre et figuré) et ne se révèle donc pas très pratique.
Le MM dispose également d’une extension Chrome qui insère automatiquement les identifiants lorsque l’utilisateur visite un site connu. Et quand on se logue sur un site pour la première fois, l’extension propose d’emblée l’enregistrement des identifiants. De ce point de vue, on retrouve une facilité d’usage similaire à celle de Lastpass ou à celle de OnePassword, à la différence près que chaque action doit être validée par le bouton-molette. On regrette que l’extension ne soit disponible que pour Chrome qui n’est pas forcément le navigateur préféré des férus de sécurité informatique. Toutefois, les développeurs sont en train de migrer l’application et l’extension vers une nouvelle technologie qui permettra d’ajouter le support du navigateur open source Firefox. Et avec un peu chance, il y aura peut-être aussi le support d’autres langues que celle de Shakespeare.
Reste à se poser une dernière question: que se passe-t-il en cas de perte ou de vol du MM? L’utilisateur se retrouve bloqué, puisque les sauvegardes de la base qu’il a effectuées sont chiffrées. Pour retrouver ses mots de passe, il lui reste la carte à puce qui contient la clé de chiffrement, le plus simple étant alors de racheter un MM. Seul bémol, il ne pourra pas accéder à ses mots de passe le temps d’être livré. Précisons que le boîtier est livré avec deux cartes à puce et qu’il est fortement conseillé d’utiliser la seconde comme sauvegarde. Car si l’utilisateur perd le MM et la carte à puce, c’est fichu, il n’a plus qu’à re-générer tous ses mots de passes à la main.
Une alternative consiste à déchiffrer la base en utilisant un lecteur de carte standard et un script codé en Python fourni par les développeurs du MM. C’est plus rapide mais cela nécessite de mettre les mains dans le cambouis, ce qui n’est pas forcément à la portée de tout le monde. « Cependant nous ne recommandons absolument pas de procéder ainsi, étant donné que tout les mots de passes et la clef AES seront en clair sur le PC en question », souligne Mathieu Stephan. L’idée fondatrice du MM est justement d’éviter cela. Si l’on veut absolument respecter ce principe de sécurité, il faut nécessairement se doter d’un nouveau MM. Il y a donc là un certain effet de « vendor lock-in » (client captif d’une solution propriétaire).
Actuellement, les MM sont en phase de production en Chine. Ils devraient être disponibles à l’achat début mars, sur le site themooltipass.com. Le prix devrait être autour de 75 euros.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.