Mac 13 min de lecture

KeePass : qu’est-ce que c’est et comment ça marche ?

Tu as entendu parler de KeePass sans vraiment savoir ce que c’est ? En deux mots : c’est un gestionnaire de mots de passe gratuit et open source qui range tous tes identifiants dans un seul fichier chiffré, stocké chez toi. Pas d’abonnement, pas de cloud imposé, pas d’entreprise qui détient ta liste de mots de passe sur ses serveurs. Dans ce guide, on t’explique calmement ce qu’est KeePass, comment fonctionne sa base chiffrée, à quoi servent le mot de passe maître et les fameux fichiers de clés, et comment stocker et synchroniser tout ça entre tes appareils sans te tirer une balle dans le pied.

L’essentiel

KeePass est un gestionnaire de mots de passe gratuit et open source. Tous tes identifiants vivent dans un seul fichier chiffré, le .kdbx, qui reste sur tes appareils (pas sur le serveur d’une entreprise). Tu l’ouvres avec un mot de passe maître, que tu peux renforcer avec un fichier de clés (key file) gardé à part. Pour l’avoir sur tous tes appareils, tu poses le .kdbx dans iCloud, Google Drive, Dropbox, un NAS ou en SFTP : le fichier reste chiffré, le service ne fait que le transporter. En échange d’un contrôle total sur tes données, KeePass demande un peu plus de bricolage qu’une solution clé en main comme 1Password.

KeePass, c’est quoi exactement ?

KeePass est un gestionnaire de mots de passe : un coffre-fort numérique dans lequel tu ranges tous tes identifiants (sites web, applis, codes Wi-Fi, numéros de carte, notes sensibles). Au lieu de réutiliser le même mot de passe partout ou de les noter dans un fichier texte, tu n’as plus qu’une seule chose à retenir : le mot de passe qui ouvre le coffre.

Trois caractéristiques le distinguent des solutions commerciales :

  • Gratuit : aucune licence, aucun abonnement mensuel.
  • Open source : le code est public et auditable. N’importe qui peut vérifier qu’il n’y a pas de porte dérobée. La branche moderne la plus populaire, KeePassXC, est publiée sous licence GNU GPL et son code vit sur GitHub.
  • Local par défaut : ta base de mots de passe reste un fichier sur tes appareils. Aucune entreprise ne l’héberge à ta place, sauf si tu décides toi-même de la poser dans un cloud.

Petit point de vocabulaire qui sème souvent la confusion. « KeePass » désigne à la fois le projet historique (KeePass, l’application Windows d’origine) et tout un écosystème de logiciels compatibles. Le plus utilisé aujourd’hui sur Mac, Windows et Linux est KeePassXC, une version communautaire moderne et multiplateforme (dernière version : 2.7.12, sortie en mars 2026). Tous ces logiciels lisent le même format de fichier, donc tu n’es jamais enfermé dans un seul programme. On compare les différents logiciels dans un article dédié : ici, on se concentre sur le concept et le fonctionnement.

Le fichier de base : le .kdbx

Tout KeePass tient dans un seul fichier, avec l’extension .kdbx. C’est ta base de données : à l’intérieur, tous tes identifiants, organisés en dossiers, avec leurs notes et leurs pièces jointes éventuelles.

Ce fichier est entièrement chiffré. Si quelqu’un met la main dessus sans connaître ton mot de passe maître, il ne voit qu’un bloc de données illisible. Le format actuel, KDBX 4, utilise un chiffrement fort (AES-256 ou ChaCha20) et des fonctions de dérivation de clé robustes comme Argon2, conçues pour rendre les attaques par force brute extrêmement lentes. L’ancien format KDBX 3.1 reste lu pour la compatibilité, mais pour une nouvelle base, tu seras en KDBX 4.

Le point clé à comprendre : le déchiffrement se fait toujours en local, sur ton appareil. Le logiciel ouvre le .kdbx en mémoire le temps de ta session, et le referme ensuite. À aucun moment tes mots de passe en clair ne quittent ta machine. C’est ce qui te permet de poser ce fichier à peu près n’importe où sans paniquer, on y revient plus bas.

Le mot de passe maître

Le mot de passe maître est la clé unique qui ouvre ta base. C’est le seul mot de passe que tu auras à mémoriser, et c’est aussi le maillon le plus important de toute la chaîne : s’il est faible, tout le reste s’effondre ; s’il est solide, ta base est une forteresse.

Quelques règles simples :

  • Long avant tout : vise une phrase de passe de plusieurs mots plutôt qu’un mot court bourré de symboles. « cheval-bleu-tabouret-galaxie-42 » est plus solide et plus facile à retenir que « P@ss!2z ».
  • Unique : ne réutilise jamais ce mot de passe ailleurs.
  • Mémorisable mais pas devinable : évite ta date de naissance, le prénom du chat ou une citation trop connue.

Attention : si tu oublies ton mot de passe maître, personne ne pourra récupérer ta base, pas même les développeurs de KeePass. Il n’y a pas de bouton « mot de passe oublié », et c’est précisément le but. C’est la contrepartie d’un système qui ne fait confiance à personne d’autre que toi.

Les fichiers de clés (key file) : la double serrure

Voici la fonctionnalité que beaucoup de gens ignorent et qui fait pourtant toute la force de KeePass. En plus (ou à la place) du mot de passe maître, tu peux exiger un fichier de clés, en anglais key file.

Un fichier de clés, c’est tout simplement un fichier (souvent rempli de données aléatoires) qui sert de second élément pour déverrouiller la base. KeePass combine alors le mot de passe maître et le fichier de clés en une seule « clé maîtresse composite » : pour ouvrir le .kdbx, il faut les deux à la fois.

Pourquoi combiner mot de passe + fichier de clés ?

Parce que ça transforme ta protection en une véritable authentification à deux facteurs maison : « quelque chose que tu connais » (le mot de passe) et « quelque chose que tu possèdes » (le fichier de clés). Un attaquant qui récupère ton .kdbx dans le cloud et qui devine ton mot de passe reste bloqué : il lui manque le fichier de clés. Et un attaquant qui vole ta clé USB avec le fichier de clés reste bloqué aussi : il lui manque le mot de passe.

La règle d’or, c’est de garder le fichier de clés séparé de la base. Concrètement :

  • Le .kdbx peut aller dans le cloud (il est chiffré, c’est son rôle d’être synchronisé).
  • Le fichier de clés, lui, ne doit jamais voyager par le même canal. Tu le distribues à tes appareils par un autre moyen : une clé USB, un transfert direct, un canal séparé. C’est d’ailleurs la recommandation officielle de KeePass.
  • Ne modifie jamais ton fichier de clés une fois choisi : la moindre altération t’empêcherait d’ouvrir ta base.

Le fichier de clés n’est pas obligatoire. Pour un usage grand public, un très bon mot de passe maître suffit déjà largement. Mais si tu veux pousser la sécurité d’un cran, surtout si ta base traîne dans un cloud, c’est l’option la plus efficace.

Stocker et synchroniser ta base entre tes appareils

Une fois ta base créée, la grande question, c’est : comment l’avoir sur ton Mac, ton PC et ton téléphone en même temps, toujours à jour ? La réponse tient en une phrase : tu poses le fichier .kdbx dans un espace synchronisé, et chaque appareil l’ouvre avec ton mot de passe maître.

Comme le .kdbx est déjà chiffré, le service de stockage ne voit jamais tes mots de passe : il ne fait que transporter un fichier illisible d’un appareil à l’autre. Le déchiffrement, lui, n’a lieu que chez toi. Voici les principales options et leurs compromis.

iCloud Drive

Idéal si tu es 100 % Apple (Mac + iPhone + iPad). Tu déposes le .kdbx dans iCloud Drive et tu l’ouvres depuis une appli compatible sur chaque appareil. Avantage : zéro configuration, c’est transparent et intégré. Limite : peu utile si tu mélanges Apple et Android/Windows, et l’historique des versions est plus limité que chez la concurrence.

Google Drive

Avantage : la meilleure couverture multiplateforme (macOS, Windows, Linux, Android, iOS, web) et 15 Go gratuits. C’est le choix par défaut si tu jongles entre des univers différents (un PC au boulot, un iPhone perso, par exemple). Limite : tu confies le transport de ton fichier à Google, ce qui peut gêner si tu veux limiter ta dépendance à ce géant (même si le fichier reste chiffré).

Dropbox

Avantage : historiquement la synchro la plus rapide et le meilleur historique de versions (de 30 à 180 jours selon le forfait), ce qui sauve la mise si une base se corrompt ou si tu effaces une entrée par erreur. Limite : l’offre gratuite est chiche en espace et en nombre d’appareils.

NAS personnel

Un NAS (Synology, QNAP…) te permet d’héberger ta base chez toi, sans passer par un cloud tiers. Avantage : contrôle maximal, tes données ne quittent pas ton domicile. Limite : la synchro hors du domicile demande un peu de configuration (accès distant, VPN ou app du fabricant), et c’est à toi d’assurer les sauvegardes du NAS.

SFTP / SSH (ton propre serveur)

L’option des utilisateurs avancés : déposer le .kdbx sur un serveur que tu contrôles, via une connexion chiffrée SFTP/SSH. Avantage : indépendance totale vis-à-vis des géants du cloud et transport déjà chiffré de bout en bout. Limite : il faut un serveur, savoir le gérer, et toutes les applis mobiles ne gèrent pas le SFTP nativement. Réservé à ceux que la ligne de commande ne fait pas fuir.

Quel que soit ton choix, deux réflexes valent de l’or : active l’historique des versions de ton service (pour revenir en arrière en cas de pépin) et garde une copie de sauvegarde sur un support différent de ta base principale (un disque local ou une clé USB). La règle simple : ta sauvegarde ne doit pas vivre au même endroit que ta base de travail.

Sur quelles plateformes utiliser KeePass ?

C’est l’un des grands atouts de KeePass : il fonctionne à peu près partout. Sur ordinateur, tu trouves des clients pour Windows, macOS et Linux (KeePassXC est le plus pratique en multiplateforme). Mais le point que beaucoup ignorent, c’est que KeePass s’utilise aussi très bien sur mobile : il existe d’excellentes applications sur iOS (iPhone, iPad) comme sur Android, qui ouvrent exactement le même fichier .kdbx. Tu peux donc consulter et remplir tes mots de passe depuis ton téléphone, en synchronisant ta base via iCloud, Google Drive ou Dropbox.

Chaque plateforme a ses meilleures applications, et elles ne se valent pas. On prépare un article dédié aux meilleures applications KeePass sur mobile (iOS et Android) ; en attendant, notre comparatif des clients KeePass pour Mac et Windows couvre le volet ordinateur.

Avantages et inconvénients de KeePass

Atouts

  • Contrôle total de tes données : ta base reste chez toi, tu choisis où elle vit.
  • 100 % gratuit, sans abonnement ni limite d’entrées.
  • Open source et auditable : pas de boîte noire, pas de confiance aveugle.
  • Aucun cloud imposé : tu synchronises comme tu veux, ou pas du tout.
  • Format ouvert et pérenne : le .kdbx se lit dans de nombreux logiciels, tu n’es jamais prisonnier.
  • Sécurité poussée possible avec le fichier de clés.

Limites

  • Moins clé en main qu’une solution comme 1Password : la synchro, c’est à toi de la mettre en place.
  • Le confort dépend du logiciel choisi (qualité variable selon les plateformes).
  • Aucune récupération possible si tu oublies le mot de passe maître.
  • Le remplissage automatique dans le navigateur demande parfois une extension à installer.
  • La courbe d’apprentissage initiale est un peu plus raide pour un débutant.

En clair : KeePass, c’est le choix de la liberté et de la maîtrise. Tu acceptes un peu plus de bricolage au départ (choisir un logiciel, configurer la synchro) en échange d’un système gratuit, transparent et qui ne dépend de personne. Si tu préfères que tout soit automatique et invisible, une solution commerciale type 1Password sera plus confortable, mais payante et fermée.

Foire aux questions

KeePass est-il vraiment gratuit ?

Oui, totalement. KeePass et sa variante moderne KeePassXC sont des logiciels libres et gratuits, sans abonnement ni limite. Tu peux gérer un nombre illimité de mots de passe sans jamais sortir la carte bancaire.

Que se passe-t-il si j’oublie mon mot de passe maître ?

Tu perds l’accès à ta base, définitivement. Il n’existe aucune procédure de récupération, pas même pour les développeurs. C’est le prix d’un système où toi seul détiens la clé. D’où l’intérêt de choisir une phrase de passe à la fois solide et mémorisable.

Le fichier de clés est-il obligatoire ?

Non. Un bon mot de passe maître suffit pour un usage courant. Le fichier de clés est une couche de sécurité supplémentaire, particulièrement recommandée si tu stockes ta base dans un cloud. Si tu l’utilises, garde-le séparé de la base et ne le perds jamais.

Est-ce risqué de mettre ma base dans le cloud ?

Non, à condition d’avoir un bon mot de passe maître. Le fichier .kdbx est chiffré localement avant de partir : le service de cloud ne voit qu’un fichier illisible. Pour plus de sécurité, ajoute un fichier de clés que tu distribues par un autre canal que le cloud.

KeePass ou KeePassXC, quelle différence ?

KeePass est le projet d’origine (sous Windows). KeePassXC est une version communautaire moderne et multiplateforme (Mac, Windows, Linux). Les deux lisent le même format .kdbx. On détaille les différents logiciels dans notre article dédié aux clients KeePass.

Peut-on utiliser KeePass sur iPhone et Android ?

Oui, tout à fait. KeePass n’est pas réservé à l’ordinateur : des applications dédiées existent sur iOS et sur Android, et elles ouvrent le même fichier .kdbx que sur Mac ou Windows. Il te suffit de synchroniser ta base (iCloud, Google Drive, Dropbox) pour la retrouver sur ton téléphone. On détaille les meilleures apps mobiles dans un article à venir.

KeePass fonctionne-t-il aussi bien sur Mac que sur Windows ?

Oui, sur les deux, ainsi que sur Linux. KeePassXC est la version moderne multiplateforme la plus pratique. Tous ces clients partagent le format .kdbx, donc tu passes d’un Mac à un PC sans rien convertir.