Discussion :

[Olivier Famien]

Le gestionnaire de mots de passe Bitwarden est disponible nativement en version bêta pour les ordinateurs de bureau
pourra-t-il faire de l’ombre à LastPass ?

En 2015, après que LogMeIn a racheté LastPass, le gestionnaire de mots de passe en ligne, Kyle Spearrin, un architecte logiciel s’est lancé dans la recherche d’un gestionnaire de mots de passe open source et gratuit. N’étant pas satisfait par les applications qui étaient disponibles sur la toile, ou plutôt, ne trouvant que des offres propriétaires et payantes viables, l’architecte a pris son courage à deux mains et s’est mis à concevoir de toute pièce un gestionnaire de mots de passe. Après un an de dur labeur, Spearrin a annoncé en 2016 la sortie de la première version stable de Bitwarden, un nouveau gestionnaire de mots de passe en ligne.

Pour attirer les utilisateurs, Spearrin explique que Bitwarden se base sur le chiffrement AES 256, un salage et la norme PBKDF2 pour assurer la sécurité des données. Selon Spearrin, cela permet aux serveurs backend de ne disposer que des informations chiffrées. Ainsi, les serveurs abritant les mots de passe (coffre-fort Bitwarden) venaient à être piratés, en dépit des dispositifs de sécurité mis en place pour éviter un tel scénario, les pirates ne pourraient pas lire les informations volées.

En plus de ces mesures de sécurité, l’auteur de cet outil souligne que Bitwarden fournit des fonctions d’exportation afin d’exporter vos mots de passe pour les utiliser sur d’autres systèmes dès que vous le souhaitez. Cette mesure facilite la migration des données vers d’autres systèmes afin de ne pas être pris en otage par Bitwarden, au cas où ses serveurs seraient inaccessibles. Par ailleurs, vous pouvez également importer vos mots de passe à partir de certaines applications de gestion des mots de passe afin de les utiliser avec Bitwarden. Dès sa sortie, Bitwarden fut disponible sur Google Play et l’App Store. Et du côté des navigateurs, seule l’extension pour Google Chrome était disponible.

Mais après plus d’une année d’exploitation, Bitwarden a gagné en maturité et en fonctionnalités. Il est désormais compatible avec les navigateurs Mozilla Firefox, Opera, Microsoft Edge, Safari, Vivaldi, Brave et même Tor, en plus de Chrome et du coffre-fort en ligne offert. Bien que Bitwarden ne manque pas d’atouts pour satisfaire ses utilisateurs, Spearrin vient d’annoncer la disponibilité de la version bêta de l’application Bitwarden pour les ordinateurs de bureau. Cette application qui est compatible avec Windows, Linux et macOS a été écrite avec Electron et Angular.

Pour l’utiliser, il va falloir installer Node.js, télécharger les fichiers requis sur GitHub et, pour les utilisateurs Windows, utiliser l’ensemble des outils Visual C++ de Visual Studio pour compiler les modules node utilisés dans l’application. En outre, il va falloir renommer le chemin qui cible l’API de l’extension pour le diriger vers les ressources locales.

Enfin, il faut préciser qu’à sa sortie, Bitwarden était disponible gratuitement. Mais pour assurer la survie du projet, des abonnements sont disponibles avec des fonctionnalités étendues. Pour ce qui concerne la version gratuite, Bitwarden intègre les fonctionnalités suivantes :

• l’accès à toutes les applications bitwarden ;
• la synchronisation avec tous vos appareils, sans limites !
• le stockage des objets illimités dans votre coffre-fort ;
• le remplissage automatique des éléments de votre coffre-fort ;
• le stockage des éléments de connexions, notes sécurisées, cartes de crédit et identités ;
• l’authentification à deux facteurs (2FA).

Bien que Bitwarden soit actuellement 100 % open source selon les déclarations de son auteur, pourra-t-il avoir du succès en se basant sur le modèle économique freemium ? Pourra-t-il attirer un grand nombre d'utilisateurs et supplanter les autres gestionnaires de mots passe disponibles et notamment LastPass avec les fonctionnalités proposées ?


Source : GitHub

Et vous ?

Avez-vous testé Bitwarden ?

Selon vous, est-il meilleur que les autres gestionnaires de mots de passe et notamment LastPass ?

Voir aussi

Bitwarden, le nouveau gestionnaire de mots de passe est disponible en version 1.0 afin d'offrir une alternative open source pour gérer les MdP

[hollaamic]

Donc je résume :
Un architecte logiciel ne trouvait pas de logiciel open source et gratuit, donc il a créé une usine à gaz où il faut tout compiler soi-même, avec un système d'abonnements.
En plus il s'est dit que mettre l'auto-hébergement dans un abonnement payant serait plus intéressant.

D'autre part son argument principal est qu'il stocke les mots de passes de façon cryptée.... comme tous les autres gestionnaires en fait.

C'est cela ?

[LSMetag]

L'intérêt c'est justement d'avoir la même chose en Open Source. Tout ce qui est boîtes noires est plus susceptible de contenir des backdoors. Et puis, le fait que ce soit plus dur à utiliser fait que ce sera moins prisé, dans moins dans le viseur de certaines personnes qui n'aiment pas le droit à la vie privée.

Autre avantage. On peut héberger ses mots de passe sur un serveur à sois.

[Neckara]

L'intérêt c'est justement d'avoir la même chose en Open Source.

KeePass ne convenait pas ?

Bon, je n'ai pas vu de fonctionnalité de synchronisation... mais c'est un bête fichier, un petit serveur Seafile ou OwnCloud, et c'est joué.
Au pire du pire, sur Dropbox si le mot de passe maître est très fort.

Et si cela ne convient toujours pas, il doit bien exister quelque part un plugin qui fait cela, ou tout simplement en écrire un.

[BufferBob]

de ce que je lis sur le site :

• il y a une version gratuite, sans abonnement
• les releases sont dispos il n'y a pas besoin de compiler ou quoi
• ça ne tourne pour l'instant que dans les navigateurs sous forme d'extensions Firefox/Chrome/etc. il n'y a pas d'application bureau native comme c'est le cas pour KeePass
• il y a des fonctionnalités de synchronisation, sans restriction
• l'auto-hébergement n'est dispo qu'à partir d'un abonnement minimum
• un des arguments principaux est simplement de dire qu'avoir un code ouvert et transparent pour ce genre d'appli est une quasi-obligation, ça a du sens.

donc on le compare plutôt à LastPass (le fameux qui s'est fait pirater dans tous les coins) qu'à KeePass, c'est justifié, perso je préfère 100x KeePass.

[LSMetag]

Je crois que je vais passer à Keepass. Je viens de l'essayer et c'est vraiment sympa, même si un peu moins pratique que LastPass (pas de saisie totalement automatique). J'ai pu importer mes données de Lastpass.

La question, c'est comment être sûr qu'un keylogger ne peut pas te piquer ta master key ?

[Neckara]

même si un peu moins pratique que LastPass (pas de saisie totalement automatique)

Pour moi, une saisie automatique constitue une faille de sécurité.

Sinon avec KeePass, tu as la possibilité de renseigner un raccourcit de touche pour entrer ton identifiant/mot de passe en fonction de la page Web que tu visites.

[Aiekick]

je trouva ca dangereux d'utiliser un gestionnaire de mot de passe connu. vaut mieux coder le sien, c'est franchement pas compliqué a faire. plus c'est utilisé et plus il y a de chance de tombé ne a ne avec un malware le hackant.

[Neckara]

je trouva ca dangereux d'utiliser un gestionnaire de mot de passe connu. vaut mieux coder le sien, c'est franchement pas compliqué a faire. plus c'est utilisé et plus il y a de chance de tombé ne a ne avec un malware le hackant.

Heu... non, non, non, et non !

Les gestionnaires de mots de passes connus sont audités, il y a un savoir faire de plusieurs années. Si vous codez le vôtre, il sera, sans vouloir être méchant, bourré de failles, donc sans vraiment une grande sécurité.

Ne serait-ce que la protection des mots de passes dans la mémoire vive, les canaux cachés, etc. Coder un gestionnaire de mot de passe sécurisé est compliqué.

De plus, et c'est d'autant plus vrai avec l'Open Source, s'il y a une faille connue, cette faille sera l'objet d'un correctif très rapide.

[transgohan]

@Aiekick > Si votre métier c'est la sécurité depuis 20ans pourquoi pas. Mais si ce n'est pas le cas passez votre chemin comme l'explique Neckara.
Vous remplaceriez sans formation un grand chef étoilé en cuisine pour faire aussi bien ?

[pascaldm]

Entièrement d'accord avec Neckara. D'ailleurs proposer un gestionnaire de mots de passe centralisé est plutôt une hérésie en matière de sécurité. Il vaut mieux préférer utiliser KeePass qui est recommandé par l'ANSSI et qui est basé sur un modèle décentralisé car l'impact n'est pas global en cas de compromission.

Une base de donnée centralisée reposant uniquement sur une protection logicielle ne peut offrir un niveau de sécurité acceptable. Sans support matériel pour la gestion des opérations cryptographiques sensibles (par exemple avec un HSM ou tout autre crypto-engine) la protection est vaine et une base centralisée est une cible intéressante du point de vue de l'attaquant (c'est le Graal). Au vu des choix techniques en matière d'architecture logicielle, les vecteurs d’attaques sont larges allant de l'API hooking aux attaques en mémoire telles que les side channels sur les caches mémoire pour extraire les clefs cryptographiques. De surcroît, la base centrale n'est pas le seul point de compromission, les protocoles et les systèmes clients sont aussi des proies. Chaque client se connectant au serveur centralisé accroît ainsi l'espace de compromission.

Le site de Bitwarden ne mentionne aucun audit réalisé mais insiste sur l'aspect open source pour garantir la robustesse car chacun peut l'auditer (sic). L'histoire est parsemée de projets open source majeurs ayant rencontrés des problèmes critiques (ex: openssl). Bitwarden ne propose aucun guide de durcissement, ni guide de bonnes pratiques pour aider à mettre en place une instance à l'état de l'art. Enfin, où sont sauvegardés les données dans le Cloud ? Est-ce compatibles avec les nouvelles exigences réglementaires (LPM, NIS et RGPD) ? Quelle confiance peut-on accorder au prestataire pour un hébergement dans un Cloud externe ? Les données d'authentification sont particulièrement sensibles, je considère donc comme particulièrement risqué de s'appuyer sur de telles solutions, que ce soit en mode SaaS ou en interne.