14/11/2024
IT-Connect » Cours - Tutoriels » Cybersécurité » LockPass : le gestionnaire de mots de passe souverain conçu pour les entreprises !

LockPass - Gestionnaire de mots de passe pour entreprise
Cybersécurité

LockPass : le gestionnaire de mots de passe souverain conçu pour les entreprises !

Florian BURNEL 3 commentaires

I. Présentation

Vous recherchez un gestionnaire de mots de passe souverain avec des fonctionnalités adaptées aux entreprises ? Alors cet article devrait vous plaire ! LockPass, édité par la société française LockSelf, est un gestionnaire de mots de passe qui se veut complet et sécurisé, tout en étant simple d'utilisation. Il présente la particularité d'intégrer des fonctions en adéquation avec les besoins des entreprises, tout en proposant les fonctions élémentaires que nous retrouvons dans tous les gestionnaires de mots de passe.

Dans cet article, on vous propose une vue d'ensemble de LockPass et de ses fonctionnalités clés pour que vous puissiez avoir un bon aperçu de cette solution. Sachez que LockPass est le seul gestionnaire de mots de passe certifié par l'ANSSI, l'agence française spécialisée dans la cybersécurité. En dehors de KeePass, évidemment. Malheureusement, KeePass ne s’adapte pas à une utilisation en équipe et n’est vraiment pas ergonomique pour des utilisateurs hors DSI, contrairement à LockPass.

LockPass peut être utilisé dans le Cloud, en tant que solution SaaS, et il peut aussi être déployé sur votre infrastructure on-premise, sur vos propres serveurs. Pour la version Cloud, LockSelf s'appuie sur les hébergeurs Scaleway et Outscale (filliale de Dassault Systèmes), sur des environnements certifiés ISO 27001 et HDS (Hébergeur de Données de Santé). Leur offre d’hébergement avec Outscale permet également de bénéficier de serveurs qualifiés SecNumCloud 3.2, pour une protection maximale.

II. Les fonctionnalités B2B de LockPass

Au même titre que les gestionnaires de mots de passe tels que Bitwarden et LastPass, la solution LockPass intègre des fonctions basiques auxquelles vous êtes déjà habitués. Nous pouvons citer l'auto-complétion des champs de saisie dans votre navigateur préféré, un outil de génération de mots de passe robustes, ou encore la possibilité de créer des dossiers pour stocker et organiser ses mots de passe.

Ce qui différencie LockPass, ce sont ses fonctionnalités pensées pour le monde professionnel et c'est ce qui en fait un gestionnaire de mots de passe B2B. Autrement dit, c'est une solution qui s'intègre au SI et aux outils existants. Pour justifier ces propos, voici des exemples de fonctionnalités :

Par exemple, vous pouvez connecter LockPass à votre Active Directory pour provisionner les comptes utilisateurs et synchroniser les groupes de sécurité pour gérer facilement les permissions dans LockPass.

  • Définir des politiques de mots de passe.

Par exemple, tous les nouveaux mots de passe créés dans une catégorie doivent respecter certains critères de longueur et de complexité. Ceci évite que des mots de passe faibles soient utilisés et enregistrés dans le coffre-fort.

  • Créer un utilisateur avec un accès limité dans le temps.

Par exemple, l'utilisateur X pourra consulter les mots de passe de la catégorie Y jusqu'au 20/12/2024, date à laquelle sera terminée sa prestation effectuée dans le cadre d'un projet. Ceci permet d'appliquer la méthode d'organisation JIT : Just-in-Time. Idéal pour sécuriser la collaboration avec des prestataires externes.

  • Gérer les droits d'accès par rôle et par catégorie

Chaque utilisateur dispose de son propre coffre-fort personnel (sauf si la fonction est désactivée) et vous pouvez créer des catégories correspondantes à des projets, à des clients ou encore aux différents services de votre entreprise. Ensuite, vous pouvez définir des permissions sur chaque catégorie, tout en ayant la possibilité de définir plusieurs niveaux d'accès.

Par exemple, vous pouvez créer une catégorie nommée "Marketing" où tous les utilisateurs du service pourront créer et stocker des mots de passe. Néanmoins, les utilisateurs des autres services n'auront pas accès à cette catégorie. En tant qu'administrateur, vous conservez une visibilité sur l'ensemble des données.

C'est une notion très importante pour permettre la centralisation des mots de passe dans un espace sécurisé segmenté grâce aux permissions.

La solution s’adapte également aux grandes entreprises, permettant de créer des sous-organisations (pour les filiales par exemple).

  • Surveiller l'utilisation des mots de passe

Toutes les actions effectuées dans LockPass sont stockées dans un historique alimenté en temps réel. Ainsi, vous pouvez savoir à quel moment un mot de passe a été créé, modifié ou tout simplement consulté. Vous pouvez aussi recevoir une notification lorsqu'un mot de passe sensible a été consulté, ce qui peut vous permettre de réagir rapidement si c'est anormal. Ceci peut s'avérer très utile pour les comptes sensibles et peu utilisés (compte bris de glace, par exemple).

Si vous souhaitez en savoir encore plus sur LockPass, poursuivez la lecture de cet article puisque nous allons effectuer une prise en main.

III. Prise en main de LockPass : côté utilisateur

A. L'accès à LockPass

Pour cette démonstration de LockPass, nous utilisons la solution dans sa version Cloud. Nous n'évoquerons pas les étapes d'installation sur un serveur, mais c'est envisageable sur Windows Server et Linux. Dans tous les cas, les fonctionnalités sont identiques.

Le premier compte créé dans votre organisation LockPass, c'est un compte administrateur. Il dispose de toutes les permissions nécessaires pour configurer la solution et visualiser les mots de passe de toutes les catégories, sauf le coffre-fort personnel de chaque utilisateur. En plus du mot de passe, chaque compte utilisateur est associé à un code PIN à saisir à chaque connexion : le code PIN est lié à la paire de clés de l'utilisateur et il permet de déchiffrer les données. Il est également possible d'activer et configurer le MFA sur chaque compte (authentification multifacteurs) pour renforcer la sécurité.

Remarque : LockSelf ne connait pas vos codes PIN et ne peut pas accéder aux données stockées dans les coffres-forts. L'administrateur ne peut pas non plus lire les mots de passe stockés dans le coffre-fort personnel de chaque utilisateur.

B. Les extensions et les applications LockPass

Pour accéder à votre coffre-fort de mots de passe LockPass, vous pouvez utiliser le site web depuis votre ordinateur, les extensions pour navigateur (Google Chrome, Microsoft Edge, Firefox, Chromium) et les applications mobiles pour Android et iOS.

Les extensions pour les navigateurs sont essentielles pour qu'il soit facile de s'authentifier sur les services en ligne, notamment grâce à la détection des sites web (à partir de l'URL) et l'auto-complétion. Le coffre-fort de mot de passe est accessible à partir du navigateur et il est également possible de générer des mots de passe.

C. Ajouter un nouveau mot de passe

Par défaut, chaque utilisateur dispose d'un espace personnel dans lequel il peut stocker les identifiants dont il doit être le seul à avoir accès. En complément, il peut avoir accès à une ou plusieurs catégories partagées entre plusieurs utilisateurs. Dans les espaces partagés, il peut avoir le droit d'ajouter un mot de passe, sans pour autant pouvoir modifier ou supprimer un mot de passe.

Dans les deux cas, l'ajout d'un nouveau mot de passe est possible à partir de l'extension ou du site web de LockPass. Il est possible de renseigner différents champs tels qu'un nom pour l'entrée, un identifiant, un mot de passe, et une ou plusieurs URL. Ceci permet à LockPass de vous proposer les bons identifiants en fonction du site que vous visitez.

Il est également possible de stocker des fichiers dans une entrée, ce qui peut s'avérer utile pour ajouter un fichier de configuration VPN, une clé SSH, une documentation technique, etc... En optant pour un hébergement en cloud privé avec OutScale, vous aurez également accès à une fonctionnalité permettant de stocker et lancer des connexions SSH directement depuis le coffre-fort LockPass. Ce petit détail est particulièrement important pour les administrateurs systèmes. Vous pouvez en savoir plus sur cette fonctionnalité via cet article dédié.

Remarque : si une politique de mots de passe a été appliquée par l'administrateur et que le mot de passe ne la respecte pas, il ne sera pas possible de l'enregistrer. Cela va forcer l'utilisateur à utiliser un mot de passe robuste.

D. L'auto-complétion dans les navigateurs

Au quotidien, l'utilisateur peut effectuer des copier-coller des identifiants et des mots de passe à partir de la console LockPass ou de l'extension. La fonction d'auto-complétion est aussi très pratique pour remplir automatiquement les champs de saisie. Voici un exemple :

Si la fonction "Cacher les mots de passe" a été activée par l'administrateur, l'utilisateur ne pourra pas copier le mot de passe ! Cela signifie qu'il peut l'utiliser par l'intermédiaire de l'auto-complétion, mais il ne pourra jamais voir le mot de passe !

IV. Prise en main de LockPass : côté administrateur

Après avoir vu l'utilisation de LockPass en tant qu'utilisateur, nous allons évoquer l'administration de la solution.

A. Créer les utilisateurs et les groupes

L'adoption d'un gestionnaire de mots de passe nécessite la création des comptes utilisateurs correspondants aux personnes qui seront amenées à utiliser la solution. S'il y a moins de 10 personnes, il sera assez rapide de créer les utilisateurs à la main... Mais, s'il y a plusieurs dizaines, centaines ou milliers de comptes à créer, comment peut-on s'y prendre ?

Vous avez deux grandes possibilités pour répondre à cette problématique :

  • Importer un fichier CSV correctement formaté afin de créer les utilisateurs en masse
  • Associer votre LockPass à votre solution de gestion des identités pour synchroniser les comptes utilisateurs (par exemple : Active Directory ou Microsoft Entra ID)

La même problématique se pose pour la création des groupes afin de pouvoir associer les permissions. Les mêmes méthodes de création sont disponibles pour les utilisateurs et les groupes.

B. Organisation des espaces partagés

Les catégories jouent un rôle clé, car elles permettent d'organiser votre coffre-fort d'entreprise et ainsi de déléguer des permissions à un ou plusieurs groupes ou personnes. Vous pouvez créer une ou plusieurs catégories, en fonction de vos besoins. Par exemple, nous pouvons créer deux catégories : "Informatique" et "Marketing".

Après avoir créé une catégorie, l'administrateur doit gérer les permissions d'accès à cette catégorie. Ici, le groupe "Marketing" est ajouté sur la catégorie "Marketing". Tous les utilisateurs de ce groupe pourront lire les mots de passe de cette catégorie, mais pas des autres catégories.

Si l'on se connecte avec un utilisateur membre de ce groupe, on peut voir qu'il a accès à son espace personnel et à l'espace partagé nommé "Marketing". Néanmoins, il ne voit pas les autres espaces partagés.

En tant qu'administrateur, mon compte a bien la visibilité sur l'ensemble des espaces partagés. Cela me donne l'occasion d'attirer votre attention sur l'option "Surveiller l'utilisation". Elle permet de recevoir une notification en cas d'utilisation de l'identifiant sélectionné (si quelqu'un copie le mot de passe, par exemple).

Il y a aussi des options plus globales, au niveau de chaque espace partagé. L'administrateur peut gérer les options suivantes :

  • Surveiller l'utilisation de tous les mots de passe pour être averti lorsqu'un utilisateur accède à l'un des mots de passe de cette catégorie.
  • Cacher les mots de passe pour permettre aux utilisateurs d'utiliser les mots de passe, sans avoir la possibilité de les voir (via la fonction d'auto-complétion de l'extension pour navigateur).
  • Autoriser la modification pour permettre aux utilisateurs de modifier les entrées de cette catégorie.
  • Autoriser la suppression pour permettre aux utilisateurs de supprimer les mots de passe de cette catégorie, tout en sachant qu'il y a une fonction de Corbeille.

D. Créer une politique de mots de passe

Par défaut, LockPass, comme tous les autres gestionnaires de mots de passe, vous laissera enregistrer tous vos mots de passe en indiquant simplement son niveau de robustesse. Pour aller plus loin, il est possible de créer et d'appliquer des politiques de mots de passe.

Sur l'interface de LockPass, la fonctionnalité est décrite de cette façon : "La définition de politiques de mots de passe vous assure que les mots de passe créés par les utilisateurs respectent des critères de robustesse élevés, et garantissent ainsi leur niveau de sécurité.".

Vous pourrez ensuite définir une politique de mots de passe par défaut et/ou une politique de mots de passe pour certaines catégories.

Quand un mot de passe sera ajouté, il devra respecter la politique de mot de passe. Sinon, LockPass refusera le mot de passe : c'est un moyen de vous assurer que tous les mots de passe enregistrés dans LockPass sont en conformité avec la stratégie de mots de passe de votre entreprise.

E. Limiter les accès aux mots de passe

La solution LockPass intègre également des options pour ajuster la durée des sessions, ou encore configurer la protection anti brute-force pour se protéger des attaques.

Il est également envisageable de limiter les connexions à LockPass à partir de certaines adresses IP (celle de votre organisation, par exemple) et d'empêcher les accès au coffre-fort sur certaines plages horaires. Vos utilisateurs ont-ils besoin d'accéder à leurs mots de passe à 02h du matin ? Pas sûr... Les pirates situés à l'étranger, quant à eux, pourraient tenter un accès sur un créneau horaire tel que celui-ci.

F. Traçabilité des accès

Une section baptisée "Logs" permet de voir toutes les actions effectuées par tous les utilisateurs de votre environnement LockPass. Ainsi, vous pouvez savoir quel mot de passe a été utilisé par quel utilisateur, à quel moment et à partir de quelle adresse IP. Cela regroupe toutes les actions, que ce soit les utilisations de mots de passe, les créations, les modifications ou encore les suppressions.

Un système de filtre permet de retrouver facilement une information recherchée. Dans les paramètres de la solution, vous pouvez ajuster la durée de rétention de ces logs.

En complément, vous pouvez générer un rapport d'accès par catégorie (format PDF) pour garder une trace des permissions déployées sur vos différentes catégories partagées.

G. Tableau de bord

Le tableau de bord de la solution LockSelf se découpe en plusieurs sections, dont une section "Mots de passe" correspondante à l'utilisation de LockPass au niveau de votre organisation. Il offre une vue d'ensemble et fournit quelques métriques intéressantes pour réaliser un audit des informations stockées dans LockPass.

Par exemple, il indique le pourcentage de comptes avec un mot de passe faible (en s'appuyant sur les recommandations de l'ANSSI) et quels sont les comptes concernés, afin de pouvoir facilement les identifier et faire le nécessaire. Vous pouvez aussi savoir quels sont les identifiants les plus utilisés ou à l'inverse les moins utilisés.

Le tableau de bord propose aussi un focus sur l'utilisation des catégories, afin de savoir quelles sont les politiques de mots de passe les plus utilisées, mais aussi les catégories accessibles au plus grand nombre d'utilisateurs. Cela peut être l'occasion de réviser les permissions de certaines catégories...

Les informations visibles sur le tableau de bord sont facilement interprétables et elles permettent de suivre l'utilisation de LockPass. La principale valeur ajoutée étant le reporting sur les mots de passe faibles.

V. Conclusion

LockSelf, avec sa solution LockPass, ne se satisfait pas d'être une solution française et certifiée par l'ANSSI : ce gestionnaire de mots de passe a une réelle valeur ajoutée sur l'aspect fonctionnel. Comme vous avez pu le constater tout au long de cet article, tout est pensé pour répondre aux besoins des entreprises.

Nous avons des fonctions indisponibles chez certains gestionnaires de mots de passe plutôt orientés « grand public ». KeePass, très utilisé par les entreprises, est également loin d'être au niveau de LockPass, rien que sur l'aspect collaboratif, il y a un monde entre les deux solutions. Néanmoins, KeePass présente l'avantage d'être gratuit, là où LockPass propose un tarif à partir de 3,10 € HT par mois et par utilisateur.

Si vous le souhaitez, vous pouvez tester LockPass gratuitement pendant 14 jours. Enfin, la solution LockPass intègre des outils d'importation pour vous faciliter la tâche en cas de migration d'une base de mots de passe existante provenant d'un autre outil. Vous pouvez importer les mots de passe depuis les navigateurs (Chrome, Firefox, Edge) et d'autres solutions (Dashlane, Keepass, Keepass XC, KDBX, LastPass, Bitwarden).

Seriez-vous intéressé par une démonstration sur l'intégration de LockPass avec l'Active Directory ?

Cet article contient une communication commerciale.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Guides de durcissement et de sécurisation des OS GNU/Linux

Mickael Dorigny 1

Bloquer les attaques sur son serveur Web (Apache + PHP) avec CrowdSec

Florian BURNEL 12
tuto LaZagne sur Windows collecter identifiants mémorisés

Comment collecter les identifiants mémorisés sur Windows avec LaZagne ?

Florian BURNEL 2

3 commentaires sur “LockPass : le gestionnaire de mots de passe souverain conçu pour les entreprises !

  • Bonjour,
    Super article encore !
    Mais attention il y a pas mal de bugs !
    C’est dommage car niveau entreprise c’est plutôt bien pensé.
    Il faudrait juste que l’auto-complétion fonctionne un peu plus.

    Autre point, l’application smartphone :
    Elle bugue vraiment beaucoup (fermeture inopinées, grosses lenteurs, etc..)
    et certaines options ne sont pas disponibles alors que sur la version web si.
    Exemple : Pas d’accès aux codes TOTP via l’application.
    Pas pratique quand on doit se loguer sur smartphone rapidement.

    A titre professionnel, nous avions écris à l’éditeur pour lui remonter les bugs mais nous n’avons pas eu de retours et cela remonte à 6 mois…
    Le support et le développement semble être moyen.

    C’est vraiment dommage car on a un produit cocorico qui pourrait être top si fonctionnel.

    Répondre

    • Je viens de tester la solution par curiosité.
      Je pensais trouver un gestionnaire performant mais comparé à Proton Pass, je suis fortement déçu.
      Il y a énormément de bugs.
      L’auto-complétion n’est vraiment pas rapide du tout sur les sites.
      La saisie du code otp depuis l’extension ne semble pas fonctionner correctement.

      Ce produit est intéressant mais manque cruellement de fiabilité pour être utilisé tous les jours en entreprise.

      Répondre

  • Curieux de comparer LockPass à PassBolt

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.