Skip to content
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

LessPass – Le gestionnaire de mot de passe qui ne stocke rien

Quand je parle de gestionnaire de mots de passe, j’ai toujours ce genre de commentaire :

« Oui, mais si tu stockes un mot de passe dans un gestionnaire de mots de passe et que tu chopes un malware, ça ne sert à rien ».

Bon… Oui, mais non, car si tu as la double authentification, ce n’est pas si grave non plus. Mais quand même.

Et ces gens rajoutent : « Le mieux pour ses mots de passe, c’est de les retenir dans son cerveau« .

Mouiiii. Mais ça a ses limites, car quand tu as plus de 300 comptes en ligne sur des services divers et variés, BON COURAGE. Et même le plus Rain Man d’entre-nous finirait par lâcher l’affaire et mettre le même mot de passe partout.

Alors que faire ? Et bien j’ai peut-être une solution pour réconcilier tout le monde et cette solution, c’est LessPass. Il s’agit d’une extension pour Chrome / Firefox, d’une application pour Android et même d’un client en ligne de commande qui vous permet de générer des mots de passe uniques pour chacun de vos sites préférés.

À la différence que ces mots de passe uniques ne sont pas stockés comme cela peut l’être avec Bitwarden ou encore le gestionnaire Keepass, mais simplement « retrouvables » au travers de LessPass grâce à une fonction dérivant un mot de passe en utilisant une combinaison de plusieurs paramètres comme l’URL du site, le nom d’utilisateur, un mot de passe maître que vous devez retenir (et qui pour le coup peut-être toujours lel même).

Alors évidemment, sur le papier c’est séduisant. Ça permet de se passer de gestionnaire de mot de passe, tout en ayant des mots de passe sécurisés et qu’on n’a pas besoin de retenir. Il suffit de « juste » de retenir le mot de passe maître.

Je mets le mot « juste » entre guillemets, car il faut aussi retenir la longueur que vous lui avez donnée, les options (majuscules, minuscules, chiffres, caractères spéciaux) et le n° de counter attribué. Si vous modifiez l’un de ces 3 paramètres, vous obtiendrez un mot de passe différent.

Le « counter », c’est tout simplement pour avoir un nouveau mot de passe pour le même site. Si vous avez besoin d’en changer, vous incrémentez simplement de 1.

LessPass utilise une fonction pure qui a comme caractéristique d’avoir une valeur de retour qui est toujours la même si on spécifie les mêmes arguments. Pour craquer votre mot de passe, il faudrait brute forcer votre mot de passe maitre, mais également, retrouver les paramètres d’entrée comme la longueur du mot de passe ou son n° de compteur. Pour générer le mot de passe, LessPass utilise l’algo PBKDF2 avec 100 000 itérations et la fonction de hash sha-256.

Toutefois, le développeur Guillaume Vincent y a pensé et propose une partie serveur que vous pouvez héberger vous-même et qui stockera uniquement les profils des sites que vous visitez. Les profils contenant uniquement les informations suivantes et aucun mot de passe :

{
    "login": "VOTRE LOGIN",
    "site": "URL DU SITE",
    "lowercase": true,
    "uppercase": true,
    "symbols": true,
    "numbers": true,
    "counter": 1,
    "length": 16
}

Si vous avez la flemme de déployer ça à partir du code source dispo sur Github, il y a une image Docker toute faite du backend de stockage ici.

Tutoriel Lesspass


D’autres gestionnaires de mots de passe open source :

A la recherche d’un DNS qui vous protège et respecte votre vie privée ?

Vie privée, contrôle parental, exceptions de filtrage…

NextDNS offre une grosse couche de sécurité qui vous permet de bloquer automatiquement la résolution de certains noms de domaine en fonction de listes fournies par différents acteurs. Vous pouvez par exemple bloquer les sites remontés par Google comme les sites fournissant des malwares ou proposant des pages de phishing. Tout ce qui est cryptojacking, c’est-à-dire les sites utilisant votre navigateur pour miner de la cryptomonnaie à votre insu, peut être également bloqué.

Le typosquatting vous connaissez ? Il s’agit de prendre un nom de domaine qui ressemble vraiment à un nom de domaine officiel et tromper les gens qui feraient des fautes de frappe ou en utilisant des caractères ASCII graphiquement proche de véritables lettres de l’alphabet. Et bien ici, même chose, NextDNS vous protège.

En Savoir + sur NextDNS

Vos cartes PlayStation Network en promo avec Eneba et Korben

— Article en partenariat avec Eneba —

Si vous possédez une PlayStation, voilà un bon plan qui pourrait vous plaire. Grâce à Eneba, vous allez pouvoir faire quelques économies. Histoire de bien commencer l’année avec la nouvelle PS5 que vous avez reçue lors des fêtes de fin d’année dernière (sinon ça marche aussi avec les PS3 et PS4). Eneba vous propose, notamment, des cartes PlayStation Network avec jusqu’à 16% de réduction par défaut (valeur 50€, mais certains vendeurs la propose dés 41.89€ soit 44.54€ avec les frais). A quoi vous pouvez ajouter le code KORBEN vous bénéficiez en de 3% supplémentaire donc 43.21€ TTC au final (à entrer lors de la validation de votre achat).

Il est tout beau ce code non ?

Eneba c’est quoi ?

Pour ceux qui ne connaissent pas encore, Eneba c’est une place de marché en ligne qui propose un tas de produits numériques liés en grande partie au jeu vidéo, le plus souvent avec des promotions assez intéressantes. Le site est rapide, assez complet, sécurisé et moins cher, pourquoi se priver ?

La boutique propose beaucoup de contenu pour les plateformes de jeux parmi les plus connues (Steam, GOG, Uplay, Origin, Epic Games, Nintendo Switch, Xbox & co), de nombreuses cartes cadeaux (Amazon, Blizzard, Google Play, Nintendo eShop, Netflix, Spotify & co) mais aussi des abonnements, des points de jeu ou encore des logiciels. Bref il y en a pour tous les profils.

Promotions sur les meilleurs jeux avec eneba.com !

Que faire avec ma Carte PlayStation Network (PSN50) ?

Le crédit d’achat des différentes cartes PSN (de 5€ et jusqu’à 100€) vous permettra d’accéder à tous les produits du PlayStation Network :

  • les jeux récents : NBA2K21, FIFA21, Spider-Man : Miles Morales , les nouveaux bundles Fortnite, etc.
  • les jeux en précommandes
  • les DLC
  • des films et séries (si vous avez déjà un abo PS+)

Et pour le cas ou vous vous poseriez la question, il n’y a pas d’anguille sous roche, oui les produits sont bien activés sur la plateforme officielle PSN. Eneba a d’ailleurs comme partenaires des boites solides comme Konami, Ci Games ou Team17 (Worms, Project-X …). La boutique en ligne vérifie de manière approfondie la fiabilité de chaque vendeur sur sa place de marché (état des stocks, légalité …) pas de risques d’arnaques. Ils sont de plus très bien notés sur Trustpilot.

Attention tout de même, pour bénéficier de l’offre votre compte devra être enregistré en France. Par contre le crédit sur la carte n’a pas de date d’expiration, vous en disposerez jusqu’à épuisement.

À qui s’adresse la carte cadeau PSN ?

À n’importe qui désirant faire quelques économies. Un petit pourcentage ici et là ça finit par compter, surtout chez les gros joueurs qui ont besoin parfois d’une ou plusieurs cartes chaque mois.

Mais c’est aussi un cadeau idéal à offrir si vous connaissez un joueur sur PlayStation, mais que vous ne savez pas ce qu’il aime ou ce qu’il possède déjà. Où dont l’anniversaire est dans plusieurs mois (vous achetez moins cher aujourd’hui tant que l’offre promo existe et vous gardez la carte jusqu’à la date)

A la recherche d’un DNS qui vous protège et respecte votre vie privée ?

Vie privée, contrôle parental, exceptions de filtrage…

NextDNS offre une grosse couche de sécurité qui vous permet de bloquer automatiquement la résolution de certains noms de domaine en fonction de listes fournies par différents acteurs. Vous pouvez par exemple bloquer les sites remontés par Google comme les sites fournissant des malwares ou proposant des pages de phishing. Tout ce qui est cryptojacking, c’est-à-dire les sites utilisant votre navigateur pour miner de la cryptomonnaie à votre insu, peut être également bloqué.

Le typosquatting vous connaissez ? Il s’agit de prendre un nom de domaine qui ressemble vraiment à un nom de domaine officiel et tromper les gens qui feraient des fautes de frappe ou en utilisant des caractères ASCII graphiquement proche de véritables lettres de l’alphabet. Et bien ici, même chose, NextDNS vous protège.

En Savoir + sur NextDNS

Les articles du moment