Tous les Youtubeurs à la mode nous font la promotion du gestionnaire de mots de passe NordPass après nous avoir bien vendu NordVPN auparavant. On ne tire pas sur une vache à lait. J’imagine qu’ils ne l’ont pas essayé avant de nous dire que c’est « super-génial ».
Voici un florilège de ce que j’ai pu constater en 2 jours d’utilisation.
Les authentifications de type HTTP Basic Authentication ne sont pas prises en charge. Elles ne sont pas détectées par le plugins NordPass. Alors si comme moi, vous aimez mettre ceinture et bretelles, vous serez bien déçus. Cela vous empêchera aussi de capturer des mots de passe de FTP via votre navigateur.
Si vous synchronisez les plugins de différents navigateurs Chrome, le plugins s’arrêtera de fonctionner sur l’ensemble de vos postes, il vous faudra redémarrer complètement les différentes bécanes pour que cela refonctionne. Youpi !
Les bugs d’affichage et d’interface vous rendront fou. Pour l’exemple, vous n’aurez pas accès au menu contextuel du dernier item de votre liste, sauf à redimensionner la fenêtre de NordPass vers le bas lorsque le menu est déjà ouvert. Faites des petites fenêtres vers le haut de votre écran !
Vous pouvez vous dire qu’il serait possible de contourner simplement le problème en utilisant les actions par groupe, mais non, car vous n’avez pas accès à toutes les fonctions des menus contextuels. 3 fonctions sont tout simplement indisponibles.
Si jamais vous vous dites avec courage, qu’à cela ne tienne, je vais trier mes mots de passe par nom de dossier, ainsi celui tout en bas sans catégorie arrivera bien tout en haut et j’aurais tout le menu. Encore perdu ! Les items sans dossier se retrouvent toujours en bas. Quel que soit l’ordre de tri. Encore youpi !
Vous n’avez qu’un seul niveau hiérarchique de dossiers, bonne chance pour vous y retrouver si vous avez beaucoup de mots de passe.
Toujours à propos des dossiers, si vous créez un dossier sur l’un de vos ordinateurs simplement pour vous organiser, et que vous laissez vide, celui-ci ne sera jamais synchronisé.
Vous n’avez pas la possibilité de changer les icônes, ni pour les dossiers, ni pour les mots de passes stockés. C’est le seul gestionnaire de mots de passe ne possédant pas cette fonctionnalité à ma connaissance.
Si pendant l’édition d’une note sécurisée, vous utilisez CTRL+HOME pour revenir au début de celle-ci, vous ne serez pas sur la première ligne, mais la seconde. Seule solution, cliquer sur la deuxième ligne puis remonter avec la flèche haute. Dans l’exemple, AAA n’apparaît pas. Si vous êtes sur la deuxième ligne en ayant fait CTRL+HOME, alors vous écrirez à la fin de la première ligne, sans pouvoir visualiser ce que vous tapez. Logique !
Vous n’aurez pas la possibilité d’utiliser le bouton droit de la souris pour copier une partie de note, et si vous utilisez le bouton « Copier » en ayant sélectionné une partie de la note, vous aurez la totalité de la note dans le presse papier. Ils ne souhaitent vraiment pas que l’on stocke autre chose que des mots de passe web ou des cartes bleues.
C’est bien dommage, car en réalité, même ce qui est mots de passe web fonctionne beaucoup moins bien qu’attendu. Allez sur le site des impôts et vous verrez que celui-ci stocke vraiment n’importe quoi comme Login/Password. Pourtant, le gestionnaire intégré de Google Chrome y parvient parfaitement. J’ai eu le problème avec plein de sites.
Pour les sites qui utilisent un encodage un peu exotique, comme un pavé numérique aléatoire, vous pourrez exclure le site complet de NordPass afin qu’il ne vous propose pas de changer le mot de passe à chaque fois que vous vous connectez. Mais attention, c’est le site tout entier qui sera exclu, pas seulement la page ou vous vous trouvez.
Dans un autre registre, si vous avez des mots de passe sur du matériel de votre réseau local sans nom de domaine, par exemple : https://mon-nas/, à nouveau, cela ne sera pas détecté par le plugins. Mieux, si toujours plein de courage vous le rentrez à la main, vous n’aurez pas le bouton pour y accéder.
Il est impossible d’ouvrir autre chose qu’un navigateur web via ce gestionnaire de mots de passe. Pas de SSH, pas de FTP, rien. Après, il est déjà difficile de stocker des mots de passe web…
Lorsque NordPass détecte une entrée de mot de passe, il ouvre une popup. Lorsque vous la fermez, il ne vous remet pas sur votre navigateur mais sur une fenêtre ouverte au hasard.
La synchronisation entre vos différents matériels peut prendre jusqu’à 1/4 d’heure. buvez un café avant de passer de votre poste fixe à votre portable.
Côté sécurité, on touche le fond. Tout d’abord, le client NordPass dialogue pour stocker vos mots de passe avec… LEUR SERVER WEB !
Ensuite il utilise du TLS1.2 en place de TLS1.3, que l’on pourrait espérer d’une société qui à fait sa notoriété en vendant des VPN. Cela utilise une clef Diffie Hellman de 256 bits, alors que la recommandation actuelle est d’utiliser des clefs de 2048 bits ou plus.
Un test via Qualys SSL Labs vous donnera un aperçu du manque de sérieux, avec par exemple, le support de TLS1.1 et de TLS1.0, oui, nous sommes bien en 2021, et tout un tas de ciphers bien dégueulasses.
Voilà ce que Mozilla appelle un chiffrement moderne :
Alors pour finir, j’ai trouvé ceci tellement nul, que j’ai essayé de couper la route de leur serveur, en réalité un node d’une grappe de deux, pour déterminer si la fonction « Password Health » envoyait directement mes mots de passe à https://haveibeenpwned.com/ via REST, mais non, cela a bien empêché le test. Sauf que là, j’ai pu me rendre compte que leur redondance ne fonctionnait absolument pas.
Pour finir la désinstallation est à la hauteur du reste. Sur un PC j’ai ce résultat :
Sur l’autre, il a bien voulu se désinstaller mais en laissant la moitié de ses fichiers et un bordel sans nom dans la base de registre.