Bitwarden : un gestionnaire de mots de passe auto-hébergé et open source

Stéphane Moussie |

Aussi pratiques soient-ils, les 1Password.com, Dashlane et autres LastPass soulèvent des craintes légitimes : en n’étant pas open source, on ne peut pas examiner leur code pour vérifier leur intégrité, et en hébergeant les données sur les serveurs de leur éditeur, on confie ses données à un tiers.

Bitwarden est un gestionnaire de mots de passe en ligne qui répond à ces deux préoccupations : il est open source et vous pouvez l’héberger sur le serveur de votre choix. Déployer Bitwarden à l’aide de Docker n’est pas aussi simple que créer un compte 1Password.com, mais vous aurez entièrement la main sur les données et le fonctionnement… et c’est gratuit (hors frais habituels d’hébergeur). Les données sont chiffrées de bout en bout en AES 256 bits.

Si vous cherchez plutôt une solution clé en main, Bitwarden propose plusieurs offres. L’utilisation est gratuite jusqu’à deux utilisateurs et deux collections (des groupes de mots de passe). Une option premium à 10 $/an ajoute 1 Go de stockage, l’authentification à deux facteurs avec les clés USB, la prise en charge du second code de validation dans les applications et l’assistance prioritaire.

En payant 1 $/mois, vous bénéficiez de l’offre familiale qui comprend cinq utilisateurs, un nombre illimité de collections, 1 Go de stockage et l’auto-hébergement en option. Il y aussi une offre pour les équipes jusqu’à 5 personnes à 5 $/mois et une autre pour les entreprises à 3 $ par utilisateur et par mois avec des fonctions avancées supplémentaires.

Bitwarden a des extensions pour tous les navigateurs, à l'exception de Safari, des applications pour iOS et Android, et une web app. Pas d’application native pour Mac ou PC, en revanche, mais cela va venir. Le développeur Joshua Stein, qui documente son passage à Bitwarden, a créé un outil pour migrer les données de 1Password vers ce service.

avatar dvsn | 

C'est plutôt pas mal pour le service rendu, et en plus le coût est bien inférieur à Dashlane par exemple pour celles & ceux qui veulent une offre clé en main.

J'ai un serveur dédié chez Online et là pour le coup, ça me tenterait bien de tester pour m'affranchir de Dashlane, j'utilise également Keepass 2 en local, ce serait faire d'une pierre 2 coup.

L'app iOS est entièrement traduite en français, la version web est pour le moment uniquement dispo en anglais.

C'est très intéressant, j'vais tâcher de trouver le temps de tester ce soft prometteur.

avatar julienlavergne (non vérifié) | 

@dvsn

Keepass 2 quelle horreur ce soft ! L’interface des années 90 !

avatar C1rc3@0rc | 

@Julienlavergne

«Keepass 2 quelle horreur ce soft ! L’interface des années 90 !»

Keepass a été développé pour Windows sur .NET en C#… le support de MacOS et Linux passe par Mono. L’interface est celle de cet environnement :(

Mais ici le premier élément a considérer c’est la sécurité et l’efficacité. L’apparence c’est secondaire.

1password a une jolie interface mais il s’agit d’un soft totalement opaque et les mot de passe sont hébergés sur des serveurs privés… Aucun audit possible!

Ce problème est celui de tous les concurrents de 1stpassword.

On confie ses mots de passe a un tiers, une société privée, qui n’offre aucune garanties de confidentialité, de sécurité ou même d’intégrité. Ces sociétés sont soumises aux obligations légales et doivent fournir - sur demande administratives - les mots de passe dont elles disposent…

Au-dela du danger de l’exploitation directe des mots de passe par l’entreprise, se pose le problème de leurs piratage.

On peut espérer que les mots de passe sont chiffrés et dissociés de leurs propriétaires sur les serveurs, mais il n’y a aucune garantie de cela.

Autre risque: si un service fait bien son travail, il ne stocke pas le mot de passe mais sa signature (généralement SHA256 ou similaire).
Donc en cas de piratage des ordinateurs du service le pirate ne peut récupérer que des signatures mais pas les mots de passe. Et les signatures ne permettent pas de « calculer » le mot de passe.
Sauf qu’une signature est unique pour un mot de passe. Si on dispose d’une liste de mot de passe on peut générer facilement les signatures et après on en fait un « annuaire inversé ». Il est alors très facile de trouver le mot de passe relié a une signature.

Les sociétés hébergeant les mot de passe sont sont des « mines » a fortes valeurs pour les pirates et cybercriminels…. En récupérant les mot de passe, même non lié a leur propriétaire, ils peuvent constituer des « dictionnaires inversés » …

avatar Madalvée | 

J'ai un certain nombre de mots de passe, mais de là à ce qu'ils occupent 1 Go…

avatar deltiox | 

@Madalvée

Il y a peut être des gens qui enregistrent leurs mots de passe en faisant des vidéos ?

Ok je sors

avatar jb18v | 

ce genre de soft/service incite aussi à y placer des documents scannés ou des pdf, ce qui peut nécessiter quelques Mo. Bon avec 1Go ils sont larges du coup :)

avatar C1rc3@0rc | 

On peut lier les mots de passe a des documents permettant de renforcer le mot de passe.
Par exemple on peut definir un mot de passe et une image pour valider un acces.
Pour valider une authentification, il faut donner le mot de passe et l'image...

avatar victoireviclaux | 

@Madalvée

Éventuellement des images... ?
Après en entreprise, dans des grands groupes, ça peut toujours servir.

avatar jerome74 | 

Dans le lien pour l'installer avec Docker: "adjust Docker so that it has at least 4 GB of RAM available". Heu, on parle bien d'un truc pour stocker quelques dizaines de mots de passe?

Moi j'ai mon petit algorthme mental pour générer un mot de passe unique sur chaque site / compte; impossible d'oublier mon mot de passe, de me faire voler mon coffre fort, de pas avoir le bon plugin sur chaque appareil / logiciel. Et c'est gratuit.

avatar kinou_ | 

@jerome74
L'image docker fait tourner du .Net et Sql server...

avatar jerome74 | 

Ah bon, ça me rassure… Mais faut pas oublier de virtualiser Docker, enfin non, autant émuler la machine virtuelle en javascript!

avatar Ali Baba | 

@jerome74

XD
.

avatar julienlavergne (non vérifié) | 

@jerome74

Arrête la boisson ça nous changera ...

avatar YuYu | 

« Bitwarden a des extensions pour tous les navigateur »
Le site semble indiquer qu’il n’existe pas de version Safari...
Vraiment très intéressant comme soft en tout cas, je vais tester aussi !

avatar Stéphane Moussie | 
@YuYu : ah oui. Je suis allé un peu vite en besogne. C'est corrigé, merci.
avatar sbouquet | 

Je viens d’essayer ce soft. Ca marche tres bien et la version gratuite est largement suffisante.
Du coup, je vais abandonner keepass et utiliser celui-ci.

Question pour igeneration: quand prevoyez vous son integration dans l’appli igeneration sur ios ??
( pour le moment vous avez uniquement intégré 1 password)

avatar Pato49 | 

@sbouquet

iGen utilise l’icône de 1Password, mais il peut utiliser n’importe quel gestionnaire de mots de passe.

avatar miketee | 

Sinon, il a Enpass.
Version MacOS et Windows gratuite
Version iOS 10€ sans abonnement
Bon candidat pour remplacer 1password

avatar bidibout (non vérifié) | 

@miketee

C’est ce que j’ai fais et je ne regrette pas et si on souhaite synchroniser iCloud (et d’autres bien sûr) est pris en charge. L’application iOS est top (prise en charge Touch ID) et vaut largement son prix (d’autant qu’il n’y a pas d’abonnement à payer) on peut même l’utiliser gratuitement (dans la limite de 20 mots de passe si je me souviens bien).

avatar EBLIS | 

Je cherche justement à savoir si enpass vaut le coup car je dois renouveler Dashlane que je trouve très pratique mais hésite face à 1password depuis l'article sur la sécurité que MacG à fait.

avatar lapinzed | 

@EBLIS

Fonce sans hésiter!

avatar lapinzed | 

@miketee

Bien d’accord, Enpass et le meilleur gestionnaire de mdp que j’ai eu pour le moment. Synchronisation avec mon Nas en WebDAV, pas d’histoire d’abonnement ni rien, application Mac Pc iOS, que demander de plus?

avatar pat3 | 

@lapinzed

Et la migration de 1Password à Enpass, c’est comment?

avatar Jef-67 | 

Franchement j'ai des gros doutes sur l'outil ...
Nous avons regardé le produit :
Développé en C# donc avec du Microsoft, pas simple à modifier
S'appuyant sur du MS/SQL ... euh ...

avatar julien74 | 

@Jef-67

Ben moi j’ai mis en Doxker sur un server dédié et ça marche très bien ... pour l’instant utilisé en parallèle de Dashlane car je sens voir venir que Dashlane va un jour supprimer les comptes des early adopters comme moi qui ont du premium gratuit.
Un jour je sens le mail: tu passes à la caisse ou compte fermé, à prendre ou à laisser. Et je laisserai.

CONNEXION UTILISATEUR