Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Mots de passe : KeePassXC 2.7.11 disponible, la version 2.7.9 certifiée par l’ANSSI

Le 24 novembre à 09h12

Le gestionnaire de mots de passe KeePassXC est une version open source et multiplateforme de l’application KeePass Password Safe pour Windows. Les moutures se sont faites plus rares, mais elles comportent toujours autant de nouveautés.

La nouvelle version 2.7.11 déroule ainsi une longue liste d’apports. On y trouve la génération automatique de mot de passe quand on crée une nouvelle entrée, une boite de dialogue pour demander confirmation avant la fusion de deux bases de données, le support de la synchronisation de groupe dans KeeShare, une confirmation quand on sort de la base de données avec Échap, le support des horodatages et de l’historique dans l’import depuis BitWarden, ou encore des recherches prédéfinies pour les entrées TOTP.

On note également la prise en charge d’un plus grand nombre de types de fichiers dans le visualiseur de pièces jointes en ligne, dont les images, le HTML et le Markdown. On peut aussi éditer les fichiers texte en pièce jointe. Sur macOS, l’icône et plusieurs menus ont été passés à la moulinette Liquid Glass.

KeePassXC 2.7.11 corrige en outre toute une série de bugs, dont un qui pouvait empêcher la fenêtre d’être restaurée dans sa géométrie précédente. Les notes de version complètes et les téléchargements sont disponibles depuis le site officiel.

Pour les personnes qui préfèrent une version éprouvée, KeePassXC 2.7.9 a reçu le 17 novembre une certification CSPN-2025/16 de l'ANSSI, obtenue pour trois ans. La petite application a même été mise en avant dans une publication du 21 novembre sur la sécurité des mots de passe.

Le 24 novembre à 09h12

Commentaires (24)

votre avatar
dont un qui pouvait empêcher la fenêtre d’être restaurée dans sa géométrie précédente
Ah, enfin 👍
votre avatar
Bon, bah fausse joie, ça ne fonctionne toujours pas… 😕
votre avatar
:love:
votre avatar
Très bonne nouvelle
votre avatar
impossible de l'utiliser pour moi.
en effet la seule manière de déverrouiller la base facilement sans se retaper la passphrase, c'est d'utiliser windows hello, or je n'ai ni capteur d'empreinte, ni webcam (enfin si mais je vais pas la réactiver à chaque déverrouillage).
du coup ben keepass tout court, avec le plugin QuickUnlock.

c'est dommage ça a l'air chouette KeepassXC.
votre avatar
dans windows hello, tu peux créer un code Pin, qui te permet de déverrouiller ta base sans utiliser ni lecteur empreinte ni caméra, une fois que tu as mis ta passphrase.
Par contre, ce code pin étant moins complexe que ton éventuel mot de passe windows, cela peut jouer sur la sécurité globale de ta machine.
votre avatar
OK merci je regarderai.
votre avatar
Tu peux aussi utiliser les Nitrokey/ YubiKey / OnlyKey avec ou sans la passphrase.
Ca fonctionne sous Linux.
votre avatar
Attention, l'évaluation de l'ANSSI a été faite pour :
La configuration évaluée testé est la suivante :
Version de KEEPASSXC compilée AMD64 pour Windows 10
Microsoft Windows 10
SSH version is OpenSSH_for_Windows_9.5p1
LibreSSL 3.8.2
C'est quand même étrange de certifier un logiciel pour un OS obsolète pour lequel il faut maintenant payer pour avoir les mises à jour de sécurité !
votre avatar
Et pas sur une distro linux assez répandue comme ubuntu, Mint ou Debian ...
votre avatar
C'est quand même étrange de certifier un logiciel pour un OS obsolète pour lequel il faut maintenant payer pour avoir les mises à jour de sécurité !
S'pas leur faute, le PC de test pouvait pas migrer Windows 11 :dd:
votre avatar
C'est quand même étrange de certifier un logiciel pour un OS obsolète pour lequel il faut maintenant payer pour avoir les mises à jour de sécurité !
Ben non. L'OS n'évoluant plus, pas de risque de ce côté là \o/

Plus sérieusement, c'est juste que ce genre de procédure est très long. La version certifiée a déjà plus d'un an. On peut sans doute déplorer un manque d'anticipation (surtout que cela faisait belle lurette que la date de fin de vie de Windows 10 était connue).

Et ce qui a été certifié (sauf erreur d'interprétation de ma part), c'est bien le logiciel KeepassXC en version 2.7.9.

La configuration utilisée pour les tests n'est présente que pour donner les conditions du test.
votre avatar
J'ai cité le rapport de certfication qui précise :
Ce certificat porte sur le produit spécifié au chapitre 1.2 du présent rapport de certification.
Et ce que j'ai cité plus haut est dans ce chapitre.

Oui, je sais que ce genre de procédure est long mais on est d'accord sur le fait que la date de fin de Windows 10 était connue. Pourquoi ne pas avoir fait la certification pour Windows 11 ? Ça la fout mal pour une certification de sécurité.

Je ne pense pas que la certification puisse être étendue à d'autres environnements même s'il y a eu aussi une revue de tout le code source et que l'essentiel du code doit être commun à toutes les plateformes.
votre avatar
Je me suis basé sur la conclusion (le 3.1) qui précise :
Ce certificat atteste que le produit « KEEPASSXC, version 2.7.9 » soumis à l’évaluation répond aux caractéristiques de sécurité spécifiées dans sa cible de sécurité [CDS] pour le niveau d’évaluation attendu lors d’une certification de sécurité de premier niveau.
Du coup, la question de savoir si l'environnement fait ou non partie de la certification n'est pas claire. Ca me parait tellement restrictif de figer l'OS et les dépendances que la certification en elle-même est quasiment inexploitable, surtout qu'on ne sait pas quelle est la version exacte de Windows 10 testée (version + édition).

C'est pour ça, qu'à mon sens, la certification porte bien sur cette version du logiciel KeepassXC en lui-même, et pas sur son environnement entier. Mais je suis entièrement d'accord pour dire que ce n'est pas claire et que l'autre position est tout à fait défendable.
Pourquoi ne pas avoir fait la certification pour Windows 11 ? Ça la fout mal pour une certification de sécurité.
Ah ça, entièrement d'accord. Il y a peut être des raisons, mais dans ce cas, il faudrait qu'elles aient été mentionnées.
votre avatar
Peut être parce qu’une grande majorité des français utilisent encore Windows 10 ?
votre avatar
Tu crois vraiment que ceux qui utilisent encore Windows 10 se préoccupent d'un certificat de sécurité pour ce logiciel ?
votre avatar
Je n'en ai pas la moindre idée ^^ je me suis dit que eux, ils peuvent le voir comme ça

(edit en me relisant je réalise que ma question peut être lu sous un sens provoquant, c'était une legit question, rien d'agressif envers toi fred)
votre avatar
Tu crois vraiment que ceux qui utilisent encore Windows 10 se préoccupent d'un certificat de sécurité pour ce logiciel ?
Fixed :p
votre avatar
KeePassXC est tellement mieux visuellement pour les end-users en entreprise que KeePass. Et pourtant, on ne peut pas forcer les paramètres dans un fichier de config comme ce dernier (comme la taille mini du mot de passe maitre) et ça, c'est vraiment rédhibitoire.
votre avatar
Un avis ou un retour d'expérience entre KeePass et KeePassXC ? 🙏
votre avatar
J'ai pas utilisé le Keepass "traditionnel" depuis longtemps, mais côté XC il est bardé de pas mal de fonctionnalités pratiques en ce qui me concerne avec l'intégration via les extensions navigateur, il gère bien la synchro de la base sur un stockage cloud, il sait s'interfacer avec SSH Agent sur Linux pour utiliser des clés privées, le TOTP embarqué est pratique pour faire un MFA rapide (mauvaise pratique, je sais, je le fais quand la criticité est acceptable), et il marche sur 3 OS différents sans soucis.

Côté mobile, j'utilise KeepassDX qui gère bien la base. Par sécurité je préfère lui laisser l'ouvrir en read only vu que je n'ai pas confiance dans les smartphones, Le magic keyboard pour la saisie des secrets et l'usage du pattern de déverrouillage du portable pour la base sont pratiques.
votre avatar
De mon côté, je reste sur Keepass, même si le XC est sympa. Pour une raison simple : Il manque la synchro en WebDav. C'est également pour ça que je ne peut pas utiliser le DX sur android. Techniquement, il le supporte indirectement, mais en réalité, ça marche quand il veut bien.
votre avatar
Faut aussi signaler que c'est la première version à accepter le code généré par LLM, ce qui risque de devenir un important problème de sécurité à l'avenir (exemple)
votre avatar
ce qui risque de devenir un important problème de sécurité à l'avenir (exemple)
Parce que ?

Si le code est revu par un humain, en quoi est-ce un problème ?

L'équipe de dev s'était fendue d'un article de blog très intéressant à ce sujet, d'ailleurs. Surtout la conclusion.

Mots de passe : KeePassXC 2.7.11 disponible, la version 2.7.9 certifiée par l’ANSSI

Fermer