KeePassXC

KeePassXC est une application multi-plateforme libre¹⁾ qui centralise la gestion de vos mots de passe personnels. Il est utile pour gérer les sécurités relatives à des informations personnelles (nom, mot de passe, URL, commentaires, TOTP, etc.). Il est la suite (fork) du projet abandonné KeePassX.

Contrairement à un fichier texte dans lequel on noterait simplement ses mots de passe (méthode dangereuse à éviter à tout prix), KeePassXC chiffre l'ensemble de ce que vous notez, qu'il s'agisse de mots de passe, de clés, ou autres secrets (vous pouvez aussi joindre des fichiers externes à une base KeePass). Tout est donc sécurisé et disponible seulement derrière un mot de passe principal, qui sera donc le dernier (et le seul) dont vous aurez besoin de vous souvenir ! Profitez-en pour en choisir un bon !

L'avantage majeur de ce logiciel est qu'il utilise un format de base de données KeePass / KDB / KDBX utilisé par de nombreuses applications. Il est donc possible de retrouver ses mots de passe depuis la plupart des systèmes d'exploitation (notamment une application développée en Java, des applications mobiles, et une application web).

KeePassXC a la particularité de proposer un grand nombre de fonctionnalités avancées et une interface élégante basée sur la librairie GTK, qui l'intègre parfaitement à l'environnement de bureau GNOME, et ses dérivés (Budgie, XFCE, MATE, Cinnamon…).

Les bases de données KDBX sont chiffrées avec les protocoles AES, Twofish ou ChaCha20 (cf. § Choix du chiffrement). Le logiciel a été audité par de nombreux organismes dont la commission européenne, son niveau de sécurité est reconnu et il est largement recommandé.

Il existe plusieurs méthodes au choix pour installer KeePassXC :

• Il est disponible dans les dépôts officiels APT d'Ubuntu.
• Il est aussi distribué par ses développeurs dans des versions plus récentes sur tous les systèmes Linux en Flatpak,
• ainsi qu'en snap,
• et en Appimage.
• Il existe aussi un PPA historique, mais cette méthode est aujourd'hui plutôt déconseillée.

KeePassXC est disponible dans les dépôts officiels APT d'Ubuntu.

Cependant depuis Ubuntu Plucky 25.04, le paquet keepassxc fournit une version amputée de toutes les fonctionnalités avancées (en particulier toutes les fonctionnalités réseau et de partage – son intérêt par rapport, par exemple, à GNOME Secrets devient tout relatif).²⁾
Pour les versions récentes d'Ubuntu il vaut donc mieux installer le paquet keepassxc-full, qui fournit la version complète de l'application, si celui-ci est proposé.

Sur Ubuntu Noble 24.04 et les versions précédentes, il suffit d'installer le paquet keepassxc.

Pour l'intégrer à votre navigateur, vous pouvez aussi installer une extension adaptée, à partir de son magasin d'extension.

Le dernière version de KeePassXC est proposée par ses développeurs en Flatpak sur le dépôt Flathub.

On peut donc l'obtenir en installant Flatpak avec le dépôt Flathub si ce n'est pas déjà fait, puis en installant KeePassXC depuis GNOME Logiciels, ou en installant le paquet org.keepassxc.KeePassXC en ligne de commande :

flatpak install org.keepassxc.KeePassXC

KeePassXC est disponible en snap depuis Snapcraft.

On peut simplement installer l'application KeePassXC depuis le centre d'applications (Snap Store), ou installer le paquet keepassxc en ligne de commande :

snap install keepassxc

Pour installer une Appimage référez-vous avant tout au chapitre dédié au sujet.

En résumé téléchargez le fichier correspondant à votre version d'Ubuntu sur le site officiel ou GitHub, puis rendez-le exécutable (clic droit sur le fichier → Propriétés → Permissions → Autoriser l’exécution). Finalement lancez-le en double-cliquant dessus.
Vous pouvez utiliser un service tel que appimaged pour créer automatiquement un lanceur.

Ce dépôt, maintenu par les développeurs KeePassXC, permet d'obtenir une version stable généralement plus récente que celle des dépôts Ubuntu.

• Ajoutez le PPA ppa:phoerious/keepassxc³⁾ dans vos sources de logiciels.
• Rechargez la liste des paquets.
• Installez le paquet keepassxc.

Lancez l'application comme indiqué ici ou via le terminal (toutes versions ou variantes d'Ubuntu) avec la commande suivante (hors snap, Flatpak, et Appimage) :

keepassxc

• Dans un premier temps, il faut créer une nouvelle base de données, c'est le fichier .kdbx qui contiendra, chiffrés, les secrets, clés, et mots de passe : cliquez sur Base de données → Nouvelle base de données… (raccourci clavier : Ctrl+Maj+N).
• Un premier écran demander nommer la base de donnée ; renseignez par exemple Mots de passes de Bibi puis cliquez sur le bouton Continuer.
• L'écran suivant vous invite à paramétrer le chiffrement : conservez les valeurs par défaut (KDBX 4) puis cliquez sur Continuer.
• Une dernière fenêtre vous demande de créer un mot de passe ; puisque c'est le dernier mot de passe dont vous aurez besoin de vous souvenir, n'hésitez-pas à en profiter pour consulter le chapitre Choisir de bons mots de passe qui propose entre autre des astuces mnémotechniques ; renseignez deux fois le mot de passe de votre choix puis cliquez sur le bouton Terminer.
• À présent, vous pouvez ajouter des nouvelles entrées en sélectionnant un groupe ou l'autre (dans la colonne des Groupes à gauche), puis en faisant un clic droit dans la zone principale → Nouvelle entrée….
• N'oubliez pas d'enregistrer votre base de données : Base de données → Enregistrer la base de données (raccourci clavier : Ctrl+S).

Lorsque vous avez une longue liste de gestion d'identification, de surcroît classée dans des groupes différents, et que vous ne savez plus où trouver, KeePassXC intègre un champs de recherche en haut à droite de la fenêtre. Elle prend le focus par défaut à l'ouverture de l'application, vous pouvez donc directement taper un terme à rechercher. Vous pouvez aussi à tout moment utiliser le raccourci clavier Ctrl+F.

Les résultats s'affichent juste en dessous dans la zone principale en temps réel (à chaque caractère entré).

KeePassXC permet en plus :

• de pré-remplir automatiquement les formulaires des sites Internet et services web au moyen d'une extension du navigateur.
• de sauvegarder en pièce jointe (attachment) des fichiers sensibles tels que ses clés SSH.
• de les utiliser le plus simplement du monde avec l'agent SSH, ce qui rend inutile leur protection par phrase de passe.
• de partager des dossiers (on parle de groupes) avec d'autres utilisateurs. Ça peut être très pratique pour gérer en toute sécurité les mots de passe de ses proches les moins versés sur l'informatique : ils ont leur base de données synchronisée avec la nôtre, qu'on manipule simplement comme n'importe quel groupe, et modifiable dans les deux sens.
• de remplacer GNOME-Keyring et Seahorse afin de n'avoir qu'un mot de passe à entrer pour tout ce qui concerne sa sécurité, que ce soit en ligne ou hors ligne.
• de configurer et générer des mots de passe unique TOTP pour se connecter en double authentifaction (2FA).
• les utilisateurs de KDE Plasma, peuvent aussi n'avoir qu'un seul mot de passe à entrer pour tout ce qui concerne la sécurité en utilisant Kwallet pour déverrouiller la base KDBX.
• etc.

Voir par ex. cette vidéo pour les anglophones.

Par défaut la saisie automatique va remplir le premier champ, celui de l'identifiant avec {USERNAME}, puis faire une tabulation {TAB}, puis saisir le mot de passe {PASSWORD} et enfin l'équivalent de la touche Entrée ↵, {ENTER}. Lors de l'édition d'une entrée, l'onglet Saisie automatique permet de personnaliser cette séquence :

• pour impots.gouv.fr :

  {USERNAME}{ENTER}{DELAY 1000}{PASSWORD}{ENTER}

• pour Gmail qui nécessite de saisir d'abord l'adresse mail, puis Entrée ↵, puis le mot de passe, puis à nouveau Entrée ↵, voici la bonne séquence (attention, si le délai est trop court, les premiers caractères du mot de passe peuvent être perdus) :

  {USERNAME}{ENTER}{DELAY 2000}{PASSWORD}{ENTER}

• pour GitLab avec 2FA :

  {USERNAME}{TAB}{PASSWORD}{ENTER}{DELAY 2000}{TOTP}{ENTER}

Pour se simplifier la vie on peut déverrouiller KeePassXC avec la session en enregistrant le mot de passe de sa base KDBX dans l'utilitaire secret service - GNOME Keyring ou KDE Wallet (c'est une méthode).

Mais on peut aussi l'utiliser avec secret service pour remplacer GNOME Keyring ou KDE Wallet, et on peut ainsi éventuellement synchroniser ses mots de passe entre différentes sessions Linux, GNOME, KDE ou autre, sur différentes machines (pourquoi pas) et surtout en conservant absolument toutes ses clés et mots de passe souverainement au même endroit.

On peut réaliser de nombreuses actions depuis la ligne de commande grâce à la commande keepassxc-cli. Voir ses différentes commandes.

Vous pouvez modifier les préférences d'usage de l'application.

• Cliquez sur Outils → Paramètres (ou directement l'icône engrenage ⚙). Ceci vous permet de modifier le comportement de l'application.
• L'interaction avec le bureau graphique et les choix concernant l'apparence se trouvent dans le menu Affichage.

Vous pouvez choisir de chiffrer la base de données de KeePassXC selon les algorithmes AES:256 bits, TowFish ou ChaCha20. Pour cela, cliquez sur
Base de données → Sécurité de la base de données → Paramètres de chiffrement.

Cette écran vous permettra de choisir l'un ou l'autre de ces trois algorithmes (onglet Avancé), et de choisir le Temps de déchiffrement (onglet Général) que vous préférez appliquer. Reste à cliquer sur le bouton OK une fois votre paramétrage terminé.

Il existe des extensions de navigateurs permettant d'utiliser KeePassXC pour pré-remplir les formulaires des sites Internet et services web.

KeePassXC-Browser en particulier est disponible pour les navigateurs basés sur Firefox et Chrome.

On trouve quelques tutoriels en lignes pour aider à la mise en place d'une telle configuration.⁴⁾

Pour supprimer cette application, il suffit de supprimer son paquet. Les bases de données .kdbx contenant les mots de passe sont toujours conservés.

• Pour la version des dépôts Ubuntu, vous pouvez passer par le centre d'applications, ou en ligne de commande :

  sudo apt remove keepassxc keepassxc-full

• Pour la version Flatpak, vous pouvez passer par GNOME Logiciels (si vous avez le plugin Flatpak), ou en ligne de commande :

  flatpak uninstall keepassxc

• Pour la version snap, vous pouvez passer par le centre d'applications, ou en ligne de commande :

  snap remove keepassxc

• Pour la version Appimage, vous devez simplement supprimer le fichier KeePassXC.AppImage.
• Pour le dépôt PPA, utilisez l'outil PPA-Purge.

• Site officiel
• GitHub
• Autres gestionnaires de mots de passe
• Présentation générale de KeePass, avec une liste des autres logiciels compatibles : KeePassX, KeePassXC, KeePass2, GNOME Secrets, KeeWeb etc.
• Sur le forum, une discussion assez complète au sujet de KeePassXC et de son intérêt par rapport à d'autres solutions
• Ouverture automatique de KeepassXC avec Kwallet sur le forum

Contributeurs : ste, Wullfk, bcag2, krodelabestiole.