Le trousseau : votre allié pour plus de sécurité

Introduction | Trousseau, d'où viens-tu ? | Trousseau, à quoi sers-tu ? | Trousseau et Mac OS 9

Encore plus de trucs avec le trousseau | Trousseau et Mac OS X | Trucs, astuces et dépannage

S'il est un des outils les plus sous-estimés du Mac, c'est bien celui-ci ! Le trousseau, peu de personnes comprennent à quoi il sert, en quoi il peut être pratique, et aussi d'où il vient. Ça tombe bien, parce que ça fait partie des outils de Mac OS que j'adore, qui me fait gagner un temps fou et m'évite de me prendre le chou lorsque je suis en réseau. Plongeon dans l'eau au départ glacée mais ensuite bien revigorante de cet outil trop négligé. Et vous avez vu ma dernière phrase, ça c'est une allégorie qui en jete.

Trousseau, d'où viens-tu ?

D'abord, un peu d'histoire, avec Papy GG qui va vous raconter les aventures compliquées d'un trousseau trop en avance sur son temps.

Il était une fois, dans les années 90 et avec l'arrivée du Système 7.1, une Pomme qui avait des envies de réseau. De communication. Elle se décidait à créer un ensemble de fonctionnalités intégrées à son système appelé PowerTalk et sensé apporter un environnement de travail collaboratif à ses utilisateurs. Avec un serveur PowerShare, on pouvait s'envoyer des messages via un logiciel et un serveur de mail made in Apple, on pouvait accéder à des carnets d'adresses centralisés (LDAP, m'entends-tu…), crypter des informations sensibles… Bref, que du pur fun. Mais parmi toutes ces fonctionnalités dont peu de monde à part Apple elle-même¹ avait grand chose à faire (d'autant plus qu'il fallait une bécane costaud pour l'utiliser), il y en avait une qui sortait son épingle du jeu : le trousseau d'accès (keychain en anglais). Et c'est pour cela, et dans cette époque où la sécurité de l'information numérique devient un véritable enjeu économique, que le trousseau a fait son retour triomphal dans Mac OS 9, puis dans Mac OS X.

Trousseau, à quoi sers-tu ?

Le but du trousseau d'accès est de stocker les mots de passe couramment utilisés pour ne pas avoir à les retaper. Et attention : je dis bien "pour ne pas avoir à les retaper", pas "pour ne plus avoir à s'en souvenir !". La différence est plus qu'importante, elle est fondamentale. Car le trousseau est virtuellement inviolable ! Cela signifie que si vous perdez le mot de passe du trousseau, vous perdez accès à tous les mots de passe qui sont conservés dedans et que vous auriez pu oublier !

Les principes du trousseau sont les suivants :

Lorsqu'une application a besoin d'un mot de passe et qu'elle est compatible avec le trousseau, elle le demande au trousseau ;
Si ce dernier est ouvert (c'est à dire, si son mot de passe a été renseigné au préalable), il renvoie le mot de passe stocké vers l'application ;
S'il est fermé, Mac OS demande le mot de passe du trousseau, et s'il est correct, on retourne à l'étape précédente ;
S'il est incorrect, on demande le mot de passe nécessaire pour l'application, suivant la procédure classique. Et là, selon que le mot de passe de l'application est correct ou non, ben on accède ou pas à l'élément demandé.

Si vous n'avez rien compris, ce dont je ne doute pas, observez précisément le diagramme suivant (fait avec mes doigts et l'excellent OmniGraffle des non moins excellents membres d'OmniGroup) :

Si vous regardez bien, le chemin le plus court est celui situé à votre droite : le trousseau est ouvert, et hop, l'application qui avait besoin du document a accès au mot de passe stocké à l'intérieur, et donc a un accès direct à l'élément demandé. Au contraire, lorsque le trousseau est verrouillé, ça prend plus de temps puisqu'il faut rentrer son mot de passe, mais on n'a pas besoin de se souvenir du mot de passe pour l'élément désiré, seulement du mot de passe du trousseau. En clair, et en archi-simplifié : quand mon trousseau est ouvert à l'aide de son mot de passe, toutes les clefs disponibles sont accessibles sans condition supplémentaire.

Et comment ça se passe, concrètement ?

Lorsqu'une application est compatible avec le trousseau et que vous tapez un mot de passe pour un service quelconque, elle vous propose une case à cocher marquée d'un libellé comme Enregistrer dans le trousseau. Ce mot de passe est ensuite conservé dans un fichier de trousseau, conservé sur votre disque dur. Ce fichier est crypté, ce qui signifie que l'on ne peut PAS décoder les informations qui sont contenues à l'intérieur.

Je tiens à insister sur ce point : inutile d'espérer retrouver votre mot de passe de trousseau si vous l'avez perdu, et n'espérez pas plus décoder le mot de passe via la force brute. Pour info, le trousseau d'accès code aujourd'hui sur 128 bits, alors que le projet RC5-64 (qui consistait à casser une clé via la force brute et en utilisant la puissance de calcul distribué via Internet) consistait à trouver une clé sur 64 bits… La clé a été cassée le 14 juillet dernier, mais il a fallu… 1757 jours et la participation de plus de 330 000 personnes pour réussir à la casser !

Le fichier du trousseau possède le nom de l'utilisateur et se trouve dans le dossier suivant :

- Sous Mac OS 9 : dans le dossier Trousseau d'accès du dossier Préférences du Dossier Système ;

- Sous Mac OS X : dans le dossier ~/Library/Keychains/ . C'est le dossier Library (Bibliothèque) situé dans le dossier de départ de l'utilisateur.

Par ici la suite… avec Mac OS 9 (Mac OS X c'est après)

1. PowerTalk ne vous sera probablement d'aucune utilité si vous ne travaillez pas à la NASA, ajoutait l'impertinent mais toujours excellent David Pogue, auteur des innénarables "Mac pour les Nuls" et autres merveilles. Qu'il soit remercié ici pour l'occasion, tiens.