Le gestionnaire de mots de passe Passpack, un outil de sécurité indispensable

Posted by:Gestion-Ressources
18 January 2010   34

Comme plusieurs entreprises offrant des services de soutien technique, Gestion-Ressources a été confronté à la gestion des multiples mots de passe utilisés chez nos clients. Conscient de la nature confidentielle et sensible de cette information, divers moyens étaient utilisés pour préserver cette confidentialité mais avec son lot d'inconvénients : partage difficile entre les ressources internes, accès restreints lorsque sur la route, etc.
Bien que très impliqué dans l'utilisation et la promotion des logiciels Libres, aucun des produits que nous avons essayés ne répondaient adéquatement aux critères de base suivants :

  • Une encryption de 256bits (AES-256);
  • Accessible via Windows/Linux/Mac;
  • Libre;
  • Pouvoir partager l'information de façon sécuritaire avec les confrères de travail
  • Accessible à l'aide d'un fureteur.

Après avoir évalué les solutions propriétaires, nous avons porté notre choix sur le produit "PassPack" (http://www.passpack.com). Ce produit, basé sur la solution Libre "Host-Proof Hosting" répondait à nos critères de base (du moins en partie en ce qui concerne l'Open-Source) en plus d'offrir plusieurs fonctionnalités intéressantes.
Une des principales caractéristiques que nous recherchions était le partage des mots de passe. Afin de tirer profit de cette caractéristique, nous avons utiliser la méthode suivante: Un compte de type « Group » a été ouvert (41$/an) afin d'en faire le « super-compte » et chaque employé s'est créé un compte gratuit, personnel, où il peut mettre ses propres mots de passe jusqu'à une concurrence de 100. Le gestionnaire du « super-compte » établi un partage avec les autres utilisateurs (chacune des parties doit l'autoriser) puis, pour chaque mot de passe, identifie quel utilisateur y a accès en lecture ou en lecture-écriture. Par la suite, le gestionnaire peut facilement retirer l'accès à un ou plusieurs mots de passe à l'utilisateur, ou à tous les mots de passe si celui-ci quitte l'entreprise. À noter que l'utilisateur ayant créé le compte personnellement, a toujours accès à ses propres mots de passe. Lorsqu'un utilisateur crée un mot de passe qui doit être partagé, il le fait dans son compte puis en donne le « ownership » au « super-compte », une fois accepté par celui-ci, il peut être partagé avec les autres membre de l'équipe.
Après quelques mois d'utilisation du produit, nous avons constaté qu'il correspondait à nos attentes et nous sommes impatients d'utiliser les fonctionnalités en cours de développement : une version « desktop », présentement disponible en essai, une version « mobile » à venir et plusieurs autres.