KeePassXC : installation, configuration et bonnes pratiques

[nam1962]

KeePassXC est un gestionnaire de mots de passe libre, sérieux et multiplateforme.
Il stocke vos identifiants dans un fichier chiffré que vous gardez chez vous, où vous voulez.
Sur votre disque, dans Nextcloud, avec Syncthing, sur une clef USB, peu importe.

Donc pas d’abonnement qui peut sauter, pas de cloud imposé, pas de dépendance à un service qui décide à votre place et vous demande de le croire sur parole quand il prétend ne pas regarder ce qu’il héberge.
Pas une énorme cible pour les hackeurs non plus, juste un petit fichier discret planqué dans un coin.
Et surtout, pas une dette technique, voire une rançon technique, parce qu’ici on n’est pas dans une boîte noire.

En clair, on a un vrai coffre-fort, dans un format standard, avec une appli propre, moderne, et qui fonctionne très bien au quotidien.

Si vous avez aujourd’hui des mots de passe répartis entre le navigateur, un carnet, deux fichiers texte, trois variantes du même mot de passe « temporaire » et quelques oublis, c’est typiquement le genre d’outil qui remet de l’ordre sans vous compliquer la vie.

---

Pourquoi KeePassXC ?

Je le conseille souvent pour une raison simple : ça fait le travail, proprement, sans vous enfermer.

• Format standard : le format .kdbx est reconnu par beaucoup d’applications
• Chiffrement solide : on n’est pas sur un gadget, c’est du sérieux
• Multiplateforme : Linux, macOS, Windows, Android, iPhone, iPad
• Bonne intégration navigateur : avec l’extension, le remplissage devient très confortable
• Déverrouillage pratique : biométrie possible selon les appareils
• Pas de cloud imposé : vos données restent sous votre contrôle

Et surtout, si un jour vous changez d’application, vous n’êtes pas coincé dans un format propriétaire exotique. Ça compte.

---

Deux scénarios

Scénario A : un seul appareil

Vous voulez juste un coffre-fort sur votre ordinateur, sans synchronisation. C’est le plus simple, et pour beaucoup de gens ça suffit largement. Vous installez KeePassXC, vous créez votre base, terminé.

Scénario B : plusieurs appareils

Vous voulez retrouver vos mots de passe sur plusieurs machines, par exemple ordinateur fixe, portable, téléphone, éventuellement un autre utilisateur dans la famille. Là, il faut un moyen de synchroniser le fichier : Nextcloud, Syncthing, ou autre solution du même genre.

Le principe reste le même : tout le monde pointe vers le même fichier chiffré.

---

Installation de KeePassXC

Linux

Sur Linux, c’est souvent dans les dépôts. Le plus simple est donc de passer par le gestionnaire de paquets de la distribution.

# Debian / Ubuntu
sudo apt install keepassxc

# Arch / EndeavourOS
sudo pacman -S keepassxc

# Fedora
sudo dnf install keepassxc

Sinon, vous pouvez aussi récupérer l’AppImage sur le site officiel.

---

macOS

1. Téléchargez le fichier d’installation sur le site officiel de KeePassXC
2. Prenez la version adaptée à votre machine :
   • Apple Silicon si vous êtes sur un Mac M1, M2, M3, M4
   • Intel si vous êtes sur un ancien Mac Intel
3. Installez normalement

Ensuite, si votre Mac le permet, KeePassXC peut proposer un déverrouillage pratique via Touch ID ou parfois via Apple Watch. Très confortable au quotidien, mais on commence toujours par un vrai déverrouillage complet avec le mot de passe maître.

---

Windows

1. Téléchargez l’installateur sur le site officiel
2. Installez normalement

Sur Windows, KeePassXC peut utiliser Windows Hello pour le déverrouillage pratique si la machine est compatible. C’est un confort, pas un remplacement du mot de passe maître.

---

Android

Il n’existe pas d’application mobile officielle KeePassXC. Sur Android, les deux noms qu’on voit souvent revenir sont KeePassDX et KeePass2Android.

Ici, on part sur KeePassDX, que je trouve très bien dans cet usage.

1. Installez KeePassDX depuis F-Droid, de préférence, ou depuis le Play Store
2. Pour l’instant, contentez-vous d’installer l’appli. On reliera le fichier après.

Remplissage automatique : dans les réglages Android, cherchez le service de remplissage automatique et choisissez KeePassDX.

Biométrie : activez le déverrouillage biométrique dans les paramètres de l’application si vous le souhaitez.

KeePassDX intègre aussi son propre clavier sécurisé. Pour certains usages, c’est pratique.

---

iPhone / iPad

Sur iPhone et iPad, les applications qu’on voit le plus souvent utilisées avec ce format sont :

• KeePassium
• Strongbox

1. Installez l’une des deux depuis l’App Store
2. Dans les réglages iOS, activez le remplissage automatique avec l’application choisie

Ensuite, dans l’application elle-même, vous pouvez généralement activer Face ID ou Touch ID.

---

Création d’une base de données

1. Lancez KeePassXC
2. Allez dans Base de données → Nouvelle base de données
3. Donnez un nom à la base

Ce nom sert surtout une fois la base ouverte. Ce n’est pas là-dessus qu’il faut philosopher trois jours.

Réglages de chiffrement

Le plus simple est de laisser les réglages par défaut de KeePassXC. Ils sont solides. Inutile de jouer au petit chimiste si vous ne savez pas exactement ce que vous faites.

Le point utile à ajuster, c’est surtout le délai de déverrouillage. L’idée est de viser quelque chose comme une seconde sur votre machine. C’est un bon compromis entre sécurité et confort.

Mot de passe maître

C’est lui le nerf de la guerre.

Pas besoin d’inventer une usine à gaz illisible que vous oublierez dans quinze jours. Une bonne passphrase longue, claire pour vous, unique, et pas recyclée ailleurs, fait très bien le travail.

Exemple de logique : plusieurs mots, un peu de longueur, quelque chose que vous retenez sans l’écrire sur un post-it collé à l’écran.

Où enregistrer le fichier ?

Si vous êtes en usage solo, mettez-le où vous voulez, par exemple dans Documents.

Si vous êtes en multi-appareils, enregistrez-le directement dans le dossier synchronisé par Nextcloud, Syncthing, ou autre.

---

Synchronisation multi-appareils avec Nextcloud

Si vous avez un serveur Nextcloud, auto-hébergé ou chez un prestataire, c’est un très bon compagnon pour une base KeePassXC. On garde le contrôle du fichier, on le retrouve partout, et on ne dépend pas d’un service spécialisé mots de passe.

Linux

1. Installez le client Nextcloud :

# Debian / Ubuntu
sudo apt install nextcloud-desktop

# Arch / EndeavourOS
sudo pacman -S nextcloud-client

# Fedora
sudo dnf install nextcloud-client

2. Lancez Nextcloud
3. Entrez l’URL de votre serveur
4. Connectez-vous
5. Choisissez le dossier local de synchronisation, souvent ~/Nextcloud
6. Validez

Votre fichier .kdbx doit se trouver dans ce dossier synchronisé.

---

macOS

1. Téléchargez le client Nextcloud
2. Installez-le
3. Lancez l’application
4. Entrez l’URL du serveur
5. Connectez-vous
6. Choisissez le dossier local, souvent ~/Nextcloud

Rien de sorcier. Là encore, votre base KeePassXC doit être dedans.

---

Windows

1. Téléchargez le client Nextcloud
2. Installez-le
3. Lancez-le
4. Entrez l’URL du serveur
5. Connectez-vous
6. Choisissez le dossier local, souvent C:\Users\VotreNom\Nextcloud

---

Android

1. Installez Nextcloud depuis F-Droid ou le Play Store
2. Lancez l’application
3. Entrez l’URL du serveur
4. Connectez-vous

Sur Android, on n’est pas dans la même logique que sur ordinateur. L’appli Nextcloud donne surtout accès aux fichiers, souvent à la demande.

Dans KeePassDX, ouvrez une base et passez par le sélecteur de fichiers Android pour choisir votre fichier .kdbx dans Nextcloud.

---

iPhone / iPad

1. Installez Nextcloud depuis l’App Store
2. Lancez l’application
3. Entrez l’URL du serveur
4. Connectez-vous

Ensuite, depuis KeePassium ou Strongbox, ajoutez une base via l’app Fichiers et allez chercher votre .kdbx dans Nextcloud.

---

Nommage discret du fichier, si vous voulez éviter le gros panneau lumineux

Appeler son fichier mes-mots-de-passe.kdbx ou coffre-famille.kdbx, ce n’est pas dramatique, mais ce n’est pas non plus l’idée du siècle.

Inutile pour autant de jouer au roman d’espionnage. Le but n’est pas de faire « ultra secret », juste de faire « truc technique sans intérêt immédiat ».

Le plus propre, surtout si vous utilisez plusieurs systèmes, c’est :

• de garder l’extension .kdbx
• de choisir un dossier banal
• de donner au fichier un nom terne, technique, un peu moche

Exemples de dossiers :

Documents/Archives_techniques
Documents/Import_legacy
Documents/client_orphaned_tmp
Documents/Compat_cache

Exemples de noms de fichiers :

client_index_n5m.rebuild.corrupt.kdbx
client_index_8j2.v3.old.kdbx
session_store_a13.legacy.kdbx
index_cache_92f.rebuild.tmp.kdbx

Adaptez les noms à votre contexte. Le principe est simple : quelque chose de plausible, de terne, et pas trop malin non plus. Au bout de six mois, il faut encore que vous sachiez vous-même ce que vous avez rangé où.

Évitez les noms commençant par un point si le fichier doit aussi être ouvert sur macOS. En pratique, ça peut compliquer inutilement la sélection du fichier dans certaines situations.

Évitez aussi les fausses extensions exotiques du style .pyc, .bak, etc. Oui, certaines applications savent parfois ouvrir le contenu quand même, mais pour un usage multi-appareils tranquille, le plus sain reste de garder .kdbx.

---

Extension Firefox

Une fois qu’on a goûté à l’extension navigateur bien réglée, on a du mal à revenir en arrière.

Installation

1. Installez l’extension KeePassXC-Browser dans Firefox

Configuration dans KeePassXC

1. Allez dans Outils → Paramètres → Intégration aux navigateurs
2. Cochez Activer l’intégration aux navigateurs
3. Cochez Firefox, et éventuellement les autres navigateurs que vous utilisez
4. Validez

Connexion

1. Dans Firefox, cliquez sur l’icône de l’extension
2. Cliquez sur Connecter
3. KeePassXC affiche une fenêtre de confirmation
4. Donnez un nom à la connexion, par exemple portable-firefox
5. Enregistrez et autorisez l’accès

Ensuite, quand vous visitez un site, l’extension peut proposer les identifiants correspondants. Très pratique, surtout si vous avez enfin arrêté les mots de passe recyclés un peu partout.

Petit point Linux : selon les distributions, l’intégration navigateur peut être plus capricieuse avec certains navigateurs empaquetés en Flatpak ou Snap. Si ça coince, pensez à vérifier ce point avant de chercher midi à quatorze heures.

Note à part : si vous utilisez Tor Browser pour de l’anonymat, n’y branchez pas vos identités habituelles n’importe comment. Ce serait un peu contradictoire.

---

Réglages recommandés

Rien d’exotique ici. Juste quelques options qui rendent l’usage plus confortable et évitent des oublis bêtes.

Général

• ☑ Mémoriser les bases utilisées précédemment
• ☑ Charger les bases ouvertes au démarrage
• ☑ Recharger automatiquement quand modifiée de l’extérieur
• ☑ Enregistrer automatiquement après chaque changement

Le rechargement automatique est particulièrement utile si la base est synchronisée entre plusieurs appareils ou plusieurs utilisateurs.

Sécurité

• Verrouillage après inactivité : ajustez selon votre usage réel
• Effacer le presse-papier après : 10 à 30 secondes, c’est bien

Comme toujours, il faut trouver le bon équilibre. Un réglage trop raide finit souvent par pousser à prendre de mauvaises habitudes. Un réglage trop souple enlève l’intérêt de l’outil.

---

Partage de mots de passe

Le fichier partagé, version simple

Le plus simple, c’est que plusieurs personnes utilisent le même fichier via Nextcloud. Ça fonctionne, et KeePassXC sait détecter qu’un fichier a changé à l’extérieur.

Dans la vraie vie, ça marche bien si on n’est pas dix à écrire dedans au même moment comme des bourrins. Pour une famille, un petit duo, ou un usage raisonnable, c’est souvent très bien.

KeeShare, version plus fine

Si vous voulez partager seulement une partie de votre base, par exemple un groupe dédié, KeeShare devient intéressant.

1. Créez un groupe dédié au partage dans votre base
2. Allez dans les paramètres liés à KeeShare
3. Exportez ce groupe vers un fichier séparé

L’autre personne ne reçoit alors que ce fichier-là, avec son propre accès. C’est plus propre si vous voulez séparer ce qui est personnel de ce qui doit circuler.

---

Agent SSH, pour ceux que ça intéresse

KeePassXC sait aussi gérer les clés SSH. Ce n’est pas obligatoire, mais quand on administre quelques machines ou qu’on se connecte souvent à des serveurs, c’est franchement appréciable.

1. Créez une entrée liée au serveur ou au service concerné
2. Dans l’onglet avancé, associez votre clé privée
3. Activez l’agent SSH dans les paramètres de KeePassXC

Résultat : votre base déverrouillée peut fournir la clé quand il faut, sans que vous ayez à tout retaper en boucle. Confort, ordre, et moins de bricolage.

---

Résumé

Appareil	Application principale	Synchronisation
Linux	KeePassXC	Client Nextcloud
macOS	KeePassXC	Client Nextcloud
Windows	KeePassXC	Client Nextcloud
Android	KeePassDX	App Nextcloud ou sélecteur de fichiers
iPhone / iPad	KeePassium ou Strongbox	App Fichiers avec Nextcloud

En usage solo, c’est très simple : un fichier local, un mot de passe maître, terminé.

En usage multi-appareils, on ajoute juste une couche de synchronisation propre, et tout le monde pointe vers la même base.

Dans les deux cas, on gagne en ordre, en sécurité, en confort, et on évite enfin le grand cirque des mots de passe dispersés partout.

---

Liens utiles

• KeePassXC officiel
• Documentation KeePassXC
• KeePassDX sur F-Droid
• KeePassium
• Clients Nextcloud

---

Dernier conseil de bon sens : ne vous contentez pas d’installer l’outil. Ouvrez-le, créez la base, ajoutez déjà quelques entrées importantes, testez l’extension navigateur, testez l’ouverture sur votre téléphone, et vérifiez que tout roule. Dix minutes de vérification au début vous évitent beaucoup de flou ensuite.

Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc

[Auteur]

Articles