Avec le mini boîtier Mooltipass (MM), vos mots de passe sont stockés dans un petit boîtier métallique que l'on connecte à l'ordinateur ou au mobile. Un concept original pour ceux qui n'ont pas bon mémoire et/ou confiance dans les solutions logicielles existantes.
Le Mooltipass Mini est un produit assez unique sur le marché. Il s'agit d'un gestionnaire de mots de passe conçu sur une base à la fois matérielle et logicielle, dans le but d’assurer un maximum de sécurité, sans pour autant faire l'impasse sur la facilité d’usage.
Ce petit boîtier qu'on branche en USB sur l’ordinateur ou le smartphone, est censé être compatible avec toutes les plateformes, fixes ou mobiles. L’appareil a été créé par un ingénieur français, Mathieu Stephan, dans un esprit open source. Il a été lancé sur Kickstarter en octobre dernier pour environ 64 dollars, suscitant l’adhésion de 1.674 contributeurs.
Notre test n’est pas un audit de sécurité du Mooltipass Mini (MM). Nous l'avons volontairement restreint à l’évaluation de sa facilité d’usage qui – après le niveau de sécurité – est le critère de choix le plus important pour un gestionnaire de mots de passe.
Rappelons le principe technique de cet appareil. La base de mots de passe est stockée dans le petit boîtier métallique, ces derniers étant chiffrés en AES 256 bits. Pour les déchiffrer, il faut insérer une carte à puce spécifique (livrée avec le Mooltipass Mini), que l’on déverrouille avec un code PIN à quatre chiffres. Au bout de trois essais infructueux, la carte se bloque à jamais.
La clé de chiffrement est stockée sur une carte à puce que l'on insère dans l'appareil
Connecté en USB sur le terminal (PC, mobile ou tablette), le MM est reconnu comme un simple clavier. Lorsque l’utilisateur veut s’identifier sur un logiciel ou auprès d’un site web consulté depuis ce terminal, le login et le mot de passe sont envoyés après une validation physique sur l’appareil (une simple pression sur le bouton-molette).
Côté sécurité, l’avantage de ce système est que la base de mots de passe et la clé-maître ne se retrouvent jamais sur l'ordi ou le smartphone. Si l'un ou l'autre est compromis par un pirate, celui-ci ne pourra intercepter les identifiants qu'au compte-goutte. En somme, le MM ne supprime pas le risque de se faire pirater un mot de passe, mais il le réduit considérablement.
Chaque lecture/écriture doit être validée par une pression sur le bouton-molette
Côté matériel, l'appareil est de bonne facture. Son boîtier est entièrement soudé. Une tentative d'extraction physique de la base ne passerait pas inaperçue, car il faudrait détruire l'enveloppe métallique. Si le MM est bien compatible avec toutes les plateformes – nous l’avons testé sur Windows, Mac, Linux et Android – l’usage au quotidien n’est réellement commode que sur les postes fixes.
Le produit est, pour cela, fourni avec un câble de connexion micro USB vers USB. Sur un smartphone, il faudra disposer d’un câble adapté à l’interface du terminal, généralement micro-USB, USB Type C ou Lightning. Pour peu qu’on rajoute un adaptateur au câble fourni, on se retrouve avec une configuration un peu lourde, peu propice à la mobilité.
De plus, lorsque le MM est connecté à un smartphone, il faut veiller à décocher les fonctions de correction automatique du terminal qui sont activées par défaut et qui ajoutent généralement un espace et une majuscule dès qu’elles rencontrent un point. Or, il y a souvent des points dans les identifiants (notamment quant il s'agit d'adresses emails). Conséquence: les identifiants sont dénaturés et l’authentification échoue. D'un autre côté, la correction automatique est une fonction vraiment pratique sur un smartphone dont on n'a pas envie de se passer. Sur un terminal mobile, le MM n’est donc vraiment envisageable que de manière exceptionnelle, pas au quotidien.
Sur un poste fixe, en revanche, tout se passe très bien. L’un des grands avantages du MM est qu’il peut gérer les mots de passe de façon universelle : les applications, les services web et même les écrans de verrouillage des systèmes d’exploitation. Ce qu’un gestionnaire de mots de passe logiciel comme Lastpass ou Keepass ne peut pas faire. Sur le lieu de travail, où l’on verrouille et déverrouille sans arrêt sa machine, c’est très appréciable, car cela permet de réellement utiliser des mots de passe difficiles à casser. Il n’y a rien de plus pénible que de rentrer à la main un code généré de façon aléatoire qui mélange des lettres, des chiffres et des caractères spéciaux.
Compatible avec Chrome, mais pas encore avec Firefox
Une application compagnon basée sur Chrome permet de rentrer les mots de passe un par un, de les importer par lot au travers d'un fichier CSV, de les modifier avec un générateur aléatoire et de les sauvegarder. Elle permet d’effectuer quelques réglages comme le choix du clavier (français, anglais, Mac…) ou le délai de verrouillage. Pour valider l’envoi d’un mot de passe, l’utilisateur peut également activer un mode « knock » : au lieu d’appuyer sur le bouton-molette, il peut gagner du temps en tapant sur la table sur laquelle est posé l’appareil. Mais ce mode ne fonctionne pas à tous les coups (au sens propre et figuré) et ne se révèle donc pas très pratique.