KeePassXC

KeePassXC est une application multi-plateforme libre¹⁾ qui centralise la gestion de vos mots de passe personnels. Il est utile pour gérer les sécurités relatives à des informations personnelles (nom, mot de passe, URL, commentaires, TOTP etc.). Il est la suite (fork) du projet abandonné KeePassX.

L'avantage majeur de ce logiciel est qu'il utilise un format de base de données KeePass / KDB / KBDX utilisé par de nombreuses applications. Il est donc possible de retrouver ses mots de passe depuis la plupart des systèmes d'exploitation (notamment une application développée en Java, des applications mobiles, et une application web).

KeePassXC a la particularité de proposer un grand nombre de fonctionnalités avancées et une interface élégante basée sur la librairie GTK, qui l'intègre parfaitement à l'environnement de bureau GNOME, et ses dérivés (Budgie, XFCE, MATE, Cinnamon…).

Les bases de données KBDX sont chiffrées avec les protocoles AES, Twofish ou ChaCha20 (cf. § Choix du chiffrement). Le logiciel a été audité par de nombreux organismes dont la commission européenne, son niveau de sécurité est reconnu et il est largement recommandé.

Il existe plusieurs méthodes au choix pour installer KeePassXC :

• Il est disponible dans les dépôts officiels APT d'Ubuntu.
• Il est aussi distribué par ses développeurs dans des versions plus récentes sur tous les systèmes Linux en Flatpak,
• …ainsi qu'en snap,
• en Appimage.
• Il existe aussi un PPA historique, mais cette méthode est aujourd'hui plutôt déconseillée.

Il est disponible dans les dépôts officiels APT d'Ubuntu.

Cependant depuis Ubuntu Plucky 25.04, le paquet keepassxc fournit une version amputée de toutes les fonctionnalités avancées (l'intérêt de par rapport, par exemple, à GNOME Secrets devient tout relatif).
Pour les versions récente d'Ubuntu il vaut donc mieux installer le paquet keepassxc-full, qui fournit la version complète de l'application.

Sur Ubuntu Noble 24.04 et les versions précédentes, il suffit d'installer le paquet keepassxc.

Pour l'intégrer à votre navigateur, vous pouvez aussi installer une extension adaptée, à partir de son magasin d'extension.

Le dernière version de KeePassXC est proposée par ses développeurs en Flatpak sur le dépôt Flathub.

On peut donc l'obtenir en installant Flatpak avec le dépôt Flathub si ce n'est pas déjà fait, puis en installant KeePassXC depuis GNOME Logiciels, ou en installant le paquet org.keepassxc.KeePassXC en ligne de commande :

flatpak install org.keepassxc.KeePassXC

KeePassXC est disponible en snap depuis Snapcraft.

On peut simplement installer l'application KeePassXC depuis le centre d'applications (Snap Store), ou installer le paquet keepassxc en ligne de commande :

snap install keepassxc

Pour installer une Appimage référez-vous avant tout au chapitre dédié au sujet.

En résumé téléchargez le fichier correspondant à votre version d'Ubuntu sur le site officiel ou GitHub, puis rendez-le exécutable (clic droit sur le fichier → Propriétés → Permissions → Autoriser l’exécution). Finalement lancez-le en double-cliquant dessus.
Vous pouvez utiliser un service tel que appimaged pour créer automatiquement un lanceur.

Ce dépôt, maintenu par les développeurs KeePassXC, permet d'obtenir une version stable généralement plus récente que celle des dépôts Ubuntu.

• Ajoutez le PPA ppa:phoerious/keepassxc²⁾ dans vos sources de logiciels.
• Rechargez la liste des paquets.
• Installez le paquet keepassxc.

Lancez l'application comme indiqué ici ou via le terminal (toutes versions ou variantes d'Ubuntu) avec la commande suivante (hors snap, Flatpak, et Appimage) :

keepassxc

• Dans un premier temps, il faut créer une nouvelle base de données : cliquez sur Fichier → Nouvelle Base de données (raccourci clavier : Ctrl+N).
• Une nouvelle fenêtre va vous demander de créer un mot de passe ; faites-le puis cliquez sur le bouton « OK ».
• À présent, vous pouvez ajouter des nouvelles entrées en spécifiant un groupe ou l'autre (dans la colonne Groupes), puis en faisant un clic droit dans la colonne « Titre » avec votre souris.
• N'oubliez pas d'enregistrer votre base de données : Fichier → Enregistrer la BD (raccourci clavier : Ctrl+S).

Lorsque vous avez une longue liste de gestion d'identification, de surcroît classée dans des groupes différents, et que vous ne savez plus où trouver, KeepassXC intègre un outil de recherche disponible par une zone de saisie en haut à droite de la fenêtre. Le focus y est par défaut à l'ouverture. Vous pouvez donc directement taper le terme à rechercher. Vous pouvez aussi utiliser le raccourci clavier : Ctrl+F

Le résultat s'affichera dessous dans le "groupe" « Résultats de la recherche ».

KeePassXC permet en plus :

• de pré-remplir automatiquement les formulaires des sites Internet et services web au moyen d'une extension du navigateur.
• de sauvegarder en pièce jointe (attachment) des fichiers sensibles tels que ses clés SSH.
• de les utiliser le plus simplement du monde avec l'agent SSH, ce qui rend inutile leur protection par phrase de passe.
• de partager des dossiers (on parle de groupes) avec d'autres utilisateurs. Ça peut être très pratique pour gérer en toute sécurité les mots de passe de ses proches les moins versés sur l'informatique : ils ont leur base de données synchronisée avec la nôtre, qu'on manipule simplement comme n'importe quel groupe, et modifiable dans les deux sens.
• de remplacer GNOME-Keyring et Seahorse afin de n'avoir qu'un mot de passe à entrer pour tout ce qui concerne sa sécurité, que ce soit en ligne ou hors ligne.
• de configurer et générer des mots de passe unique TOTP pour se connecter en double authentifaction (2FA)
• les utilisateurs de KDE Plasma, peuvent aussi n'avoir qu'un seul mot de passe à entrer pour tout ce qui concerne la sécurité en utilisant Kwallet pour déverrouiller la base keepassxc.
• etc.

Voir par ex. cette vidéo pour les anglophones.

Par défaut la saisie automatique va remplir le premier champ, celui de l'identifiant avec {USERNAME}, puis faire une tabulation {TAB}, puis saisir le mot de passe {PASSWORD} et enfin l'équivalent de la touche Entrée {ENTER}. En allant dans l'onglet Saisie automatique d'une entrée de keepassxc, vous pouvez l'adapter :

• pour impots.gouv.fr, {USERNAME}{ENTER}{DELAY 1000}{PASSWORD}{ENTER}
• pour Gmail qui nécessite de saisir d'abord l'adresse email, puis entrée, puis le mot de passe, puis à nouveau entrée, voici la bonne séquence (attention, si le délai est trop court, les premiers caractères du mot de passe peuvent être perdus) : {USERNAME}{ENTER}{DELAY 2000}{PASSWORD}{ENTER}
• pour gitlab avec 2FA : {USERNAME}{TAB}{PASSWORD}{ENTER}{DELAY 2000}{TOTP}{ENTER}

Pour se simplifier la vie on peut déverrouiller KeePassXC avec la session en enregistrant le mot de passe de sa base KDBX dans l'utilitaire secret service - GNOME Keyring ou KDE Wallet (c'est une méthode).

Mais on peut aussi l'utiliser avec secret service pour remplacer GNOME Keyring ou KDE Wallet, et on peut ainsi éventuellement synchroniser ses mots de passe entre différentes sessions Linux, GNOME, KDE ou autre, sur différentes machines (pourquoi pas) et surtout en conservant absolument toutes ses clés et mots de passe souverainement au même endroit.

On peut réaliser de nombreuses actions depuis la ligne de commande grâce à la commande keepassxc-cli. Voir ses différentes commandes.

Vous pouvez modifier les préférences d'usage de l'application. Cliquez sur Extras → Préférences. Cela vous permet de modifier l'interaction avec le bureau graphique sur différents paramètres.

Vous pouvez choisir de chiffrer la base de données de KeePassXC selon les algorithmes AES:256 bits, TowFish ou ChaCha20. Pour cela, cliquez sur
Base de données → Paramètres de la BD….

La fenêtre « Chiffrement » vous permettra de choisir entre l'un ou l'autre de ces trois algorithmes, et de choisir le nombre de passes (tours de transformation) que vous préférez appliquer. Reste à cliquer sur le bouton « OK » une fois votre paramétrage terminé.

Il existe des extensions de navigateurs permettant d'utiliser KeePassXC pour pré-remplir les formulaires des sites Internet et services web.

KeePassXC-Browser en particulier est disponible pour les navigateurs basés sur Firefox et Chrome.

On trouve quelques tutoriels en lignes pour aider à la mise en place d'une telle configuration.³⁾

Pour supprimer cette application, il suffit de supprimer son paquet. Selon la méthode choisie, la configuration globale de l'application est conservée ou supprimée. Les journaux du système, et les fichiers de préférence des utilisateurs dans leurs dossiers personnels sont toujours conservés.

• Pour la version des dépôts Ubuntu, vous pouvez passer par le centre d'applications, ou en ligne de commande :

  sudo apt remove keepassxc keepassxc-full

• Pour la version Flatpak, vous pouvez passer par GNOME Logiciels (si vous avez le plugin Flatpak), ou en ligne de commande :

  flatpak uninstall keepassxc

• Pour la version snap, vous pouvez passer par le centre d'applications, ou en ligne de commande :

  snap remove keepassxc

• Pour la version Appimage, vous devez simplement supprimer le fichier KeePassXC.AppImage.
• Pour le dépôt PPA, utilisez l'outil PPA-Purge.

• Site officiel
• KeePassXC sur Github
• Présentation générale de KeePass, avec une liste des autres logiciels compatibles : KeePassX, KeePassXC, KeePass2, GNOME Secrets, KeeWeb etc.
• Sur le forum, une discussion assez complète au sujet de KeePassXC et de son intérêt par rapport à d'autres solutions
• Ouverture automatique de KeepassXC avec Kwallet sur Forum Ubuntu-fr

Contributeurs : ste, Wullfk, bcag2, krodelabestiole.