La Boîte à Xecrets

Publié le 31 janvier 2008 par Carlseleborg

La multiplication des PIN

Au commencement, il y avait la Terre, les hommes, le ciel, la lumière, l'air, l'eau et mon ordinateur, doté d'un mot de passe. C'était un temps heureux, où mon cerveau était libre de penser à ce qui lui plaisait.
Puis, Wanadoo arriva au village, et proposa l'accès à Internet, avec identifiant et mot de passe pour la connexion, et adresse e-mail et mot de passe pour la boîte mail. Rien d'insurmontable pour ma mémoire qui, à l'époque, semblait n'avoir aucune limite.
Puis soudain, je créai une autre adresse mail, chez iFrance. Identifiant plus mot de passe.
Puis peu après, voilà qu'IBM me demande de me choisir un nouvel identifiant et un encore un mot de passe. Puis c'est au tour de Sun. Puis Yahoo. Puis feu Be. Puis Yahoo!. Puis... ah! je ne me souviens plus. Login et mot de passe. Username and password.
Puis mes ordinateurs se multiplièrent: chez moi, en stage, à la fac (deux comptes!), chez mon père. Login, login, login. Mot de passe.
Puis à 18 ans je lus "Applied Cryptography" de Bruce Schneier (le livre que la NSA aurait préféré ne pas voir publier...), et décidai que la crypto et la sécurité, c'était trop grave vital, et augmentai la qualité de mes mots de passe. La seule pensée de réutiliser le même mot de passe pour Blogonautes (qui stocke les mots de passe en clair!) et mon compte RueDuCommerce, où j'ai des informations de carte bancaire, devenait insoutenable.
Les octets commencèrent à tourbillonner dans ma tête. Je me mélangeais les pinceaux: sur Amazon.fr, c'était "lk259mIcS" ou "!bh92ls"? Ni l'un, ni l'autre: c'était Ikea.se et la Fnac.com, respectivement.
La situation devenait intenable. Je commençais à noter toutes mes infos d'accès dans des fichiers texte que je stockais sur des partitions cryptées. Encore des mots de passe! Puis en passant sous Linux (hop! deux comptes!), je dus changer d'outil de crypto, et tout recommencer. Et rebellotte en revenant sous Windows. Argh!!!

La boîte de Pandore

En Novembre dernier, ma vie reprit soudain le chemin de la lumière: mon frère, Svante Seleborg, créateur d'AxCrypt et en visite à Berlin, m'annonça qu'il venait de lancer un service Internet: Xecrets.
Xecrets, c'est une boîte à secrets virtuelle. Une adresse mail et un solide mot de passe (sic!) plus tard, j'avais un endroit où noter toutes mes informations de comptes sur tous les stupides services en ligne de la planète. Je peux y accéder partout où j'ai accès à Internet, ce qui est plus souvent garanti qu'avec n'importe quelle autre solution que j'utilisais avant.
Vous me direz, des services comme cela, il en existe déjà. Oui! Mais l'avantage de celui-là, outre le fait que c'est le service de mon frère, que j'ai pu en discuter avec lui, que je suis l'un des premiers utilisateurs (grisant!) et qu'il a lui-même fait ses preuves en matière de sécurité avec l'excellent AxCrypt... outre cela, donc: j'ai eu le droit à une visite guidée du code source!
Je sais exactement comment le système fonctionne! Toutes les données sont stockées sous forme cryptée. Il est impossible à quelqu'un qui s'introduit dans le serveur d'Axantum d'y lire mes secrets, qui sont protégés par une clef de session générée à chaque fois, continuellement resalée avec une nouvelle valeur, et cryptée avec mon mot de passe. Toute la communication avec mon Renard-qui-prend-feu passe par SSL. La session reste ouverte une heure, no questions asked, et pas question de "se souvenir de moi sur cette machine".
L'utilisation est simplissime. La page d'accueil ressemble un peu à Google: une champ de recherche, trois boutons, puis la liste des mes entrées et en voiture Simone! Pour chaque entrée, je peux inscrire un titre, ainsi que les infos importantes, comme l'adresse Internet du service, mon nom d'utilisateur, etc: c'est un champ libre, j'y mets donc ce que je veux.
Le mot de passe, lui, bénéficie d'un champ spécial, la précieuse info n'apparaissant que lorsqu'on clique dedans, le temps de le copier dans le presse-papier pour le coller sur la page d'accueil de GMail. Même si quelqu'un regarde par-dessus mon épaule, il lui est impossible de mémoriser le mot de passe, d'autant plus que je m'en donne à cœur joie pour en trouver des bétons. 42djf0w3j#2S(D)A3k2lj5d_9s. Na!
Xecrets est en phase beta. Je fais du lobbying intense pour un générateur de mots de passe. C'est plus facile de faire du lobbying quand on a le numéro de téléphone du développeur en chef!
Mais dans l'ensemble, tout fonctionne, et je ne m'en passe plus. Et s'il y a un web-service indispensable en ces temps frénétiques où même EasyJet me somme de créer un compte, c'est bien Xecrets...