Des applications de bureau pour Bitwarden, le 1Password open source

Stéphane Moussie |

Le projet Bitwarden vient de franchir une étape importante. Ce gestionnaire de mots de passe dispose désormais d’applications de bureau, en bêta pour le moment.

Ces logiciels Mac, Linux et Windows s’ajoutent à la web app, aux applications mobiles et aux extensions navigateurs déjà disponibles (Safari a gagné la sienne depuis notre précédent article). L’écosystème Bitwarden est donc dès à présent complet.

Ce gestionnaire de mots de passe se démarque des 1Password, Dashlane et autres LastPass par son caractère open source qui permet d’examiner son code pour vérifier son intégrité — ça compte pour un logiciel à qui l’on confie des données sensibles. Par rapport à KeePass qui est lui aussi libre, Bitwarden peut faire valoir une meilleure intégration aux systèmes et une utilisation plus facile sur plusieurs terminaux.

Il intègre en effet une fonction de synchronisation. On a le choix entre héberger les données (chiffrées de bout en bout en AES 256 bits) chez 8bit Solutions, les créateurs de Bitwarden, ou les héberger sur le serveur de son choix, en installant manuellement le module serveur. Dans le premier cas, l’utilisation est gratuite jusqu’à deux utilisateurs et deux collections (des groupes de mots de passe). Des offres payantes à partir de 1 $/mois qui comprennent plus d’utilisateurs et plus de stockage sont proposées.

avatar Saussau083 | 

En quoi ces gestionnaires de mot de passe sont plus intéressant que le trousseau iCloud ? Je me suis jamais réellement attardé dessus ?

avatar ecatomb (non vérifié) | 

@Saussau083

Tu peux y mettre beaucoup plus d’info qu’un simple mot de passe. Sinon, effectivement le cloud est suffisant ?

avatar LoossSS | 

Le trousseau iCloud n'a de sens que pour les appareils Apple. Les autres gestionnaires de mots de passe (dont bitwarden) sont multiplateforme. Tu peux donc les utiliser sur ton PC, ton smartphone Android, ton iPhone/iPad, ton mac etc...

avatar EBLIS | 

Ce qui est bien aussi c'est qu'on peut définir un "héritier digital" qui pourra avoir accès au trousseau en cas de décès, on peut partager des mots de passe, tous les changer d'un coup aléatoirement, avoir une carte des mots de passe à risques... Je notais tout dans un carnet avec un genre de "cryptage" perso mais ça devenait lourd. J'ai testé les gestionnaires il y a un une dizaine de mois et c'est juste un "bonheur".

avatar dexter | 

@Saussau083

Un autre intérêt est le fait que la solution soit ouverte et auto-hébergeable, ce qui est appréciable pour les réfractaires au cloud.

avatar Geolem | 

@dexter

Auto-hébergeable certes mais j’ai des difficultés avec le fait que ça soit Docker en fond et le modèle économique dont tu es, en quelque sorte dépendant aussi si tu veux toutes les fonctionnalités (création d’OTP/qrcode = abonnement premium par utilisateurs ; les « hubikey »,...). Au final cela revient au même coût annuel que 1Password, la gestion d’un mini serveur en plus :(

Par contre, il est claire que le côté open source vaut à lui seul, un argument de taille.

avatar C1rc3@0rc | 

@Geolem

@Geolem

Docker fonctionne sur tout ce qui fait tourner Linux. Tu peux avoir ton serveur (même un vieux PC) chez toi, dans ton entreprise, chez un tiers de confiance...
Je vois pas ou est le problème.

Le fait que ce soit open source n'est pas une garantie de sécurité, cela garanti que le système peut être audité... et qu'on peut le "forker" donc que les données ne seront pas perdue si la société éditrice disparait...

Un mot de passe ne devrait jamais être héberger sur un serveur qu’on ne contrôle pas et surtout on de devrait jamais constituer des collections de mots de passe qui peuvent servir a constituer des dictionnaires…
Par définition les sites qui hébergent des mots de passe, hébergent des mot de passe utilisés et valides… C’est comme mettre un stock de pot de miel a disposition d’un ours en lui fléchant le parcours…

avatar Geolem | 

@C1rc3@0rc

Ah mais je suis d’accord avec toi.
Mais c’est just Docker qui me pose problème. Est-ce qu’il est obligatoire en faite ? Car j’ai testé la solution avec le compte gratuit et attiré par le fait du self hosted (Synology ?) mais avec mon petit DS214Play (pas compatible Docker), je suis limité... ou alors peut-être un VPS chez OVH... mais encore une fois le coût... :-/

J’aurais mieux vu un système du style un script d’install (comme PI-Hole si tu connais) sans toute la solution de Docker.
Maintenant je n’ai pas poussé plus loin de tester sur mon PI3 sans Docker... ça fonctionne peut-être ;0)

Bref cela a un coût. Un vieux PC coûte de l’argent en électricité.
Maintenant bon, même si ce que je vais dire prête sûrement à sourire... est-ce qu’il y a encore un endroit où les mots de passes sont sûr (hors de la tête). Avec un peu de honte, j’ai 187 passwords dans 1Password (juste à titre privé) et au boulot, on a implémenté TeamPass (open source et gratuit mais clairement pas tout les avantages de Bitwarden ?).

avatar C1rc3@0rc | 

Je comprends ton interrogation en effet.
Docker est un goinfre qui s'il assure une vraie securité semble totalement disproportionné pour ce seul usage. Bon on arrive a le faire tourner sur Raspberry http://www.instructables.com/id/Using-Docker-on-the-Raspberry-Pi/

«est-ce qu’il y a encore un endroit où les mots de passes sont sûr »

Sur une clef USB chiffrée et les mots de passe dans un fichier texte chiffré avec OpenPGP, c'est deja pas mal. Une cle avec toi et une autre dans ton coffre...

Un carnet de notes avec ton propre systeme de code c'est pas mal non plus...
Un bob système mnemotechnique c'est aussi imbattable du moment que Patrick Jane ou Adrian Monk sont pas dans les parages

Sa memoire c'est pas mal non plus, a condition d'avoir un la aussi une liste dans son coffre fort... meme les hypermnesiques sont susceptibles d'accidents...

Apres utiliser sa memoire c'est pas un truc technologique qui coute et ça demande de ne pas etre en "disponibilité cerebrale"... pas bon pour le commerce donc.

avatar leolelego (non vérifié) | 

Et on peut stocker le fichier en local comme 1password ? personnellement j'ai pas envie de stocker sur un service que je gère pas un minimum, donc 1password avec Dropbox ou iCloud me va bien mais je sens qu'un jour 1password ne va plus permettre ça ...

avatar balooforever | 

C'est bien plus fort que ça, tu peux héberger totalement le service du ton propre serveur, donc pas de recopie vers un tier.

avatar C1rc3@0rc | 

@leolelego

«Et on peut stocker le fichier en local comme 1password ? personnellement j'ai pas envie de stocker sur un service que je gère pas un minimum, donc 1password avec Dropbox ou iCloud me va bien mais je sens qu'un jour 1password ne va plus permettre ça ...»

Heu tu as conscience que Dropbox ou iCloud ce sont des services cloud, pas du tout locaux donc, totalement exposés aux hackers (dont le MiM) et contraint legalement de donner acces en clair aux données qu'ils heberge sur demandes administrative... donc pour ce qui est du chiffrement ?

iCloud a deja ete hacke, Dropbox on en parle meme pas... bref.

Je dirais que la premiere question a se poser c'est de savoir si on a un vrai besoin d'aller stocker ses données et mots de passe a fortiori sur un serveur et surtout un serveur d'une entreprise qui vit au moins en partie du profilage de ses utilisateurs...

Après, oui, tu peux installer ton serveur personnel chez toi. Docker demande un vieux PC juste muni d'un dualcore de 4Go de RAM et d'un disque de 10Go et ça permet d'avoir d'autres services bien a toi et totalement sous controle... faut encore savoir securiser son serveur et lui installer un service VPN quand tu veux y acceder depuis l'exterieur...

avatar ideclik | 

Ces solutions trouvent rapidement leurs limites et sont même synonymes de calvaire dès que le schéma économique change.
Client depuis toujours chez 1Password, je ne souhaite pas passer par leur système d’abonnement.
Que se passe t’il si demain 1Password impose les abonnements pour tous les clients ?
Je dois avoir plus de 1000 mots de passe enregistrés sur 1Password et je suis donc devenu dépendant de cette solution.

avatar Filou53 | 

1Password te permet d'exporter ses données.
Tu peux alors les recharger dans un autre logiciel.

Je l'ai testé par exemple avec Enpass.
Cela a globalement très bien fonctionné...

avatar byte_order | 

Le serveur est :
- open source
- auto-hébergeable.

Le jour hypothétique ou Bitwarden impose les abonnements, au mieux des serveurs tiers prendront le relais pour proposer une offre gratuite, au pire c'est de l'open source, client comme serveur, et donc l'autohébergement restera possible.

avatar josselinrsa | 

@ideclik

Exactement le problème que je redoute.... Je sens que ce moment fatidique se rapproche et qu'un jour je vais me réveiller sans accès à tous mes pwd. Je m'en vais tester Bitwarden. Certains sont satisfaits de leur app iOS?

avatar austinforest | 

Encore une application Electron... ça pullule et pas des moindres (Skype, Deezer - désormais -, Spotify...). À relier au récent article de blog de John Gruber: https://daringfireball.net/2018/02/non_native_apps_threat_to_mac

avatar DG33 | 

L’auto hébergement est très tentant. J’ai un NAS QNAP. Ça fonctionnerait dessus ?
Et en cas d’incendie, vol, panne majeure ou panne locale ou majeure du FAI ?
Est-il possible de synchroniser ce service sur un second NAS que je déposerais chez mon frère par exemple (distant, autre FAI) ?

avatar Albatros86 | 

Hello

Petite question pour ceux qui s’y connaissent mieux que moi.

J’ai testé bitwarden depuis l’application iOS. Après la création de mon mot de passe maître, je me suis rendu compte que je pouvais également accéder à mes mots de passe depuis le site valut.bitwarden.com en utilisant mon mot de passe maître.

Ne suis je pas censé être le seul à connaître Mon mot de passe maître ? Je comprends pas pourquoi je peux l’utiliser à travers une session sur leur site du coup....

Est-ce que l’un de vous pourrait m’expliquer ?

CONNEXION UTILISATEUR