1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    806
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 806
    Points : 19 368
    Points
    19 368

    Par défaut Le gestionnaire de mots de passe Bitwarden est disponible en version bêta pour les ordinateurs de bureau

    Le gestionnaire de mots de passe Bitwarden est disponible nativement en version bêta pour les ordinateurs de bureau
    pourra-t-il faire de l’ombre à LastPass ?

    En 2015, après que LogMeIn a racheté LastPass, le gestionnaire de mots de passe en ligne, Kyle Spearrin, un architecte logiciel s’est lancé dans la recherche d’un gestionnaire de mots de passe open source et gratuit. N’étant pas satisfait par les applications qui étaient disponibles sur la toile, ou plutôt, ne trouvant que des offres propriétaires et payantes viables, l’architecte a pris son courage à deux mains et s’est mis à concevoir de toute pièce un gestionnaire de mots de passe. Après un an de dur labeur, Spearrin a annoncé en 2016 la sortie de la première version stable de Bitwarden, un nouveau gestionnaire de mots de passe en ligne.

    Pour attirer les utilisateurs, Spearrin explique que Bitwarden se base sur le chiffrement AES 256, un salage et la norme PBKDF2 pour assurer la sécurité des données. Selon Spearrin, cela permet aux serveurs backend de ne disposer que des informations chiffrées. Ainsi, les serveurs abritant les mots de passe (coffre-fort Bitwarden) venaient à être piratés, en dépit des dispositifs de sécurité mis en place pour éviter un tel scénario, les pirates ne pourraient pas lire les informations volées.

    En plus de ces mesures de sécurité, l’auteur de cet outil souligne que Bitwarden fournit des fonctions d’exportation afin d’exporter vos mots de passe pour les utiliser sur d’autres systèmes dès que vous le souhaitez. Cette mesure facilite la migration des données vers d’autres systèmes afin de ne pas être pris en otage par Bitwarden, au cas où ses serveurs seraient inaccessibles. Par ailleurs, vous pouvez également importer vos mots de passe à partir de certaines applications de gestion des mots de passe afin de les utiliser avec Bitwarden. Dès sa sortie, Bitwarden fut disponible sur Google Play et l’App Store. Et du côté des navigateurs, seule l’extension pour Google Chrome était disponible.

    Mais après plus d’une année d’exploitation, Bitwarden a gagné en maturité et en fonctionnalités. Il est désormais compatible avec les navigateurs Mozilla Firefox, Opera, Microsoft Edge, Safari, Vivaldi, Brave et même Tor, en plus de Chrome et du coffre-fort en ligne offert. Bien que Bitwarden ne manque pas d’atouts pour satisfaire ses utilisateurs, Spearrin vient d’annoncer la disponibilité de la version bêta de l’application Bitwarden pour les ordinateurs de bureau. Cette application qui est compatible avec Windows, Linux et macOS a été écrite avec Electron et Angular.

    Nom : Bitwarden Desktop App.png
Affichages : 2323
Taille : 105,4 Ko

    Pour l’utiliser, il va falloir installer Node.js, télécharger les fichiers requis sur GitHub et, pour les utilisateurs Windows, utiliser l’ensemble des outils Visual C++ de Visual Studio pour compiler les modules node utilisés dans l’application. En outre, il va falloir renommer le chemin qui cible l’API de l’extension pour le diriger vers les ressources locales.

    Enfin, il faut préciser qu’à sa sortie, Bitwarden était disponible gratuitement. Mais pour assurer la survie du projet, des abonnements sont disponibles avec des fonctionnalités étendues. Pour ce qui concerne la version gratuite, Bitwarden intègre les fonctionnalités suivantes :

    • l’accès à toutes les applications bitwarden ;
    • la synchronisation avec tous vos appareils, sans limites !
    • le stockage des objets illimités dans votre coffre-fort ;
    • le remplissage automatique des éléments de votre coffre-fort ;
    • le stockage des éléments de connexions, notes sécurisées, cartes de crédit et identités ;
    • l’authentification à deux facteurs (2FA).

    Bien que Bitwarden soit actuellement 100 % open source selon les déclarations de son auteur, pourra-t-il avoir du succès en se basant sur le modèle économique freemium ? Pourra-t-il attirer un grand nombre d'utilisateurs et supplanter les autres gestionnaires de mots passe disponibles et notamment LastPass avec les fonctionnalités proposées ?


    Source : GitHub

    Et vous ?

    Avez-vous testé Bitwarden ?

    Selon vous, est-il meilleur que les autres gestionnaires de mots de passe et notamment LastPass ?

    Voir aussi

    Bitwarden, le nouveau gestionnaire de mots de passe est disponible en version 1.0 afin d'offrir une alternative open source pour gérer les MdP
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nouveau Candidat au Club
    Profil pro
    Inscrit en
    décembre 2010
    Messages
    1
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2010
    Messages : 1
    Points : 0
    Points
    0

    Par défaut

    Donc je résume :
    Un architecte logiciel ne trouvait pas de logiciel open source et gratuit, donc il a créé une usine à gaz où il faut tout compiler soi-même, avec un système d'abonnements.
    En plus il s'est dit que mettre l'auto-hébergement dans un abonnement payant serait plus intéressant.

    D'autre part son argument principal est qu'il stocke les mots de passes de façon cryptée.... comme tous les autres gestionnaires en fait.

    C'est cela ?

  3. #3
    Expert confirmé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2009
    Messages
    1 028
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 028
    Points : 4 061
    Points
    4 061

    Par défaut

    L'intérêt c'est justement d'avoir la même chose en Open Source. Tout ce qui est boîtes noires est plus susceptible de contenir des backdoors. Et puis, le fait que ce soit plus dur à utiliser fait que ce sera moins prisé, dans moins dans le viseur de certaines personnes qui n'aiment pas le droit à la vie privée.

    Autre avantage. On peut héberger ses mots de passe sur un serveur à sois.

  4. #4
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2011
    Messages
    6 918
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 6 918
    Points : 18 401
    Points
    18 401

    Par défaut

    Citation Envoyé par LSMetag Voir le message
    L'intérêt c'est justement d'avoir la même chose en Open Source.
    KeePass ne convenait pas ?

    Bon, je n'ai pas vu de fonctionnalité de synchronisation... mais c'est un bête fichier, un petit serveur Seafile ou OwnCloud, et c'est joué.
    Au pire du pire, sur Dropbox si le mot de passe maître est très fort.

    Et si cela ne convient toujours pas, il doit bien exister quelque part un plugin qui fait cela, ou tout simplement en écrire un.
    On dit "chiffrer" pas "crypter" !

    On dit "bibliothèque" pas "librairie" !

    Ma page DVP : http://neckara.developpez.com/

  5. #5
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 521
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 521
    Points : 6 762
    Points
    6 762

    Par défaut

    de ce que je lis sur le site :

    • il y a une version gratuite, sans abonnement
    • les releases sont dispos il n'y a pas besoin de compiler ou quoi
    • ça ne tourne pour l'instant que dans les navigateurs sous forme d'extensions Firefox/Chrome/etc. il n'y a pas d'application bureau native comme c'est le cas pour KeePass
    • il y a des fonctionnalités de synchronisation, sans restriction
    • l'auto-hébergement n'est dispo qu'à partir d'un abonnement minimum
    • un des arguments principaux est simplement de dire qu'avoir un code ouvert et transparent pour ce genre d'appli est une quasi-obligation, ça a du sens.


    donc on le compare plutôt à LastPass (le fameux qui s'est fait pirater dans tous les coins) qu'à KeePass, c'est justifié, perso je préfère 100x KeePass.
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  6. #6
    Expert confirmé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2009
    Messages
    1 028
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 028
    Points : 4 061
    Points
    4 061

    Par défaut

    Je crois que je vais passer à Keepass. Je viens de l'essayer et c'est vraiment sympa, même si un peu moins pratique que LastPass (pas de saisie totalement automatique). J'ai pu importer mes données de Lastpass.

    La question, c'est comment être sûr qu'un keylogger ne peut pas te piquer ta master key ?

  7. #7
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2011
    Messages
    6 918
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 6 918
    Points : 18 401
    Points
    18 401

    Par défaut

    Citation Envoyé par LSMetag Voir le message
    même si un peu moins pratique que LastPass (pas de saisie totalement automatique)
    Pour moi, une saisie automatique constitue une faille de sécurité.

    Sinon avec KeePass, tu as la possibilité de renseigner un raccourcit de touche pour entrer ton identifiant/mot de passe en fonction de la page Web que tu visites.
    On dit "chiffrer" pas "crypter" !

    On dit "bibliothèque" pas "librairie" !

    Ma page DVP : http://neckara.developpez.com/

  8. #8
    Membre chevronné
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    925
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 925
    Points : 2 004
    Points
    2 004

    Par défaut

    je trouva ca dangereux d'utiliser un gestionnaire de mot de passe connu. vaut mieux coder le sien, c'est franchement pas compliqué a faire. plus c'est utilisé et plus il y a de chance de tombé ne a ne avec un malware le hackant.

  9. #9
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2011
    Messages
    6 918
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 6 918
    Points : 18 401
    Points
    18 401

    Par défaut

    Citation Envoyé par Aiekick Voir le message
    je trouva ca dangereux d'utiliser un gestionnaire de mot de passe connu. vaut mieux coder le sien, c'est franchement pas compliqué a faire. plus c'est utilisé et plus il y a de chance de tombé ne a ne avec un malware le hackant.
    Heu... non, non, non, et non !

    Les gestionnaires de mots de passes connus sont audités, il y a un savoir faire de plusieurs années. Si vous codez le vôtre, il sera, sans vouloir être méchant, bourré de failles, donc sans vraiment une grande sécurité.

    Ne serait-ce que la protection des mots de passes dans la mémoire vive, les canaux cachés, etc. Coder un gestionnaire de mot de passe sécurisé est compliqué.

    De plus, et c'est d'autant plus vrai avec l'Open Source, s'il y a une faille connue, cette faille sera l'objet d'un correctif très rapide.
    On dit "chiffrer" pas "crypter" !

    On dit "bibliothèque" pas "librairie" !

    Ma page DVP : http://neckara.developpez.com/

  10. #10
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 528
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 528
    Points : 7 129
    Points
    7 129

    Par défaut

    @Aiekick > Si votre métier c'est la sécurité depuis 20ans pourquoi pas. Mais si ce n'est pas le cas passez votre chemin comme l'explique Neckara.
    Vous remplaceriez sans formation un grand chef étoilé en cuisine pour faire aussi bien ?
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  11. #11
    Membre régulier Avatar de pascaldm
    Profil pro
    Expert sécurité informatique
    Inscrit en
    février 2013
    Messages
    25
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2013
    Messages : 25
    Points : 109
    Points
    109

    Par défaut

    Entièrement d'accord avec Neckara. D'ailleurs proposer un gestionnaire de mots de passe centralisé est plutôt une hérésie en matière de sécurité. Il vaut mieux préférer utiliser KeePass qui est recommandé par l'ANSSI et qui est basé sur un modèle décentralisé car l'impact n'est pas global en cas de compromission.

    Une base de donnée centralisée reposant uniquement sur une protection logicielle ne peut offrir un niveau de sécurité acceptable. Sans support matériel pour la gestion des opérations cryptographiques sensibles (par exemple avec un HSM ou tout autre crypto-engine) la protection est vaine et une base centralisée est une cible intéressante du point de vue de l'attaquant (c'est le Graal). Au vu des choix techniques en matière d'architecture logicielle, les vecteurs d’attaques sont larges allant de l'API hooking aux attaques en mémoire telles que les side channels sur les caches mémoire pour extraire les clefs cryptographiques. De surcroît, la base centrale n'est pas le seul point de compromission, les protocoles et les systèmes clients sont aussi des proies. Chaque client se connectant au serveur centralisé accroît ainsi l'espace de compromission.

    Le site de Bitwarden ne mentionne aucun audit réalisé mais insiste sur l'aspect open source pour garantir la robustesse car chacun peut l'auditer (sic). L'histoire est parsemée de projets open source majeurs ayant rencontrés des problèmes critiques (ex: openssl). Bitwarden ne propose aucun guide de durcissement, ni guide de bonnes pratiques pour aider à mettre en place une instance à l'état de l'art. Enfin, où sont sauvegardés les données dans le Cloud ? Est-ce compatibles avec les nouvelles exigences réglementaires (LPM, NIS et RGPD) ? Quelle confiance peut-on accorder au prestataire pour un hébergement dans un Cloud externe ? Les données d'authentification sont particulièrement sensibles, je considère donc comme particulièrement risqué de s'appuyer sur de telles solutions, que ce soit en mode SaaS ou en interne.

Discussions similaires

  1. Réponses: 11
    Dernier message: 13/01/2018, 00h17
  2. Réponses: 7
    Dernier message: 24/10/2016, 14h21
  3. Réponses: 20
    Dernier message: 30/09/2016, 20h10
  4. Ruby on Rails 5.0.0 est disponible en version bêta 1
    Par Michael Guilloux dans le forum Ruby on Rails
    Réponses: 1
    Dernier message: 02/07/2016, 09h27
  5. Python Tools pour Visual Studio est disponible en version Bêta 2.1
    Par Francis Walter dans le forum Visual Studio
    Réponses: 0
    Dernier message: 15/04/2014, 16h37

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo