Commentaires : Avis Bitwarden (2021) : la sécurité au juste prix

Développée depuis 2016 par une petite équipe aux États-Unis, ce gestionnaire de mots de passe est open source et multiplateformes. Cette solution ne dispose pas d’autant de fonctionnalités que celles proposées par LastPass ou Dashlane, mais sa politique de sécurité est une référence. Et son offre Premium est vraiment accessible.

« Le fait que Bitwarden soit une solution open source la rend non seulement plus flexible, mais aussi plus sûre. Tout le monde peut consulter le code source sur GitHub, ce qui signifie que ceux qui ont le savoir-faire sont libres de consulter, d’auditer ou de contribuer au code. »
…ou de ne pas contribuer et d’exploiter les failles découvertes.

J’utilise cette solution au quotidien sur mon propre serveur, c’est un bonheur.

1 « J'aime »

Je l’utilise au quotidien sur tous les postes, un vrai bonheur.
C’est vrai que l’interface est simpliste mais elle va à l’essentiel. Je n’ai jamais eu l’impression d’un manque de fonctionnalité.
L’utilisation est discrète et non intrusive comme lastpass qui rajoute des icônes dans les champs de formulaires

2 « J'aime »

Je m’en sert depuis 4 ans jamais aucun souci.
Ne pas oublier de donner 10 € / an au développeur qui le mérite bien.

1 « J'aime »

Un pur bonheur, pratique, confortable, évolutif, sécurisé, ergonomique, communauté d’entraide active et réactive. Un prix défiant toute concurrence pour une version Famille : 12 Dollars par ans. très portable et bonne synchonisation entre les différents OS, MacOs, Android, Linux et Windows, l’add-on sur Chrome, Edge et Firexox est très rapide. La sécurité est très bien gérée car l’Open Source et Ghitub l’autorise, les clés OTP, La gestion d’une organisation familiale, le multi-coffre, la personnalisation des choix de tout type, texte, masqué, bolléen, lié. Les pièces attachées sur chaque identifiant pour les codes de secours. Le multi-site ou le mutli-compte sur un même site, Le remplissage très paramétrable, la gestion des identifiants , les différents types de stockage, par formulaire de type Identifiant, Note Sécurisée, Carte de Paiement et même identité, LA fonction SEND très pratique pour un échange de fichier sécurisé et anonyme, avec une gestion du timing d’envoi très précis. Enfin j’ai testé l’importation et l’exportation sur LASTPASS, en important tout mon coffre LASTPASS, je n’y suis jamais revenu !!! et aucune faute sur un coffre contenant + de 800 Identifiants, Carte e Paiement, Identité de la famille. Bonne gestion des F2A pour sécurisé l’entrée y compris avec une clé physique bien sûr, Gestion des empreintes sur les sites, et sur l’accès aux coffres. Que dire , un pur bonheur pour un prix que DASHLANE et LASTPASS ne peuvent pas offrir. J’oubliais le plus une feuille de route des prochaines améliorations sur le forum qui permet de connaitre les prochaines fonctionnalités de l’outil.

1 « J'aime »

J’utilise Vaultwarden qui est un fork de bitwarden réecris en rust en livré dans un container docker. Fonctionne très très bien et les clients bitwarden sont compatibles

2 « J'aime »

Complément de mon 1er commentaire :

J’utilise le même fork, c’est un client non officiel mais basé sur l’original à partir de son code source. C’est le même produit, mais sous un nom différent, et il n’y a pas si longtemps que ça ça s’appelait encore Bitwarden.

Excellent choix :+1:t3:

the best bitwarden en local

Statistiquement, il est peu probable que des failles éventuelles ne soient découvertes que par des personnes malveillantes, d’autant plus que Bitwarden bénéficie régulièrement d’audits de sécurité menés par des tiers.

Sources ? (statistiques)
En toute logique, l’essentielle des personnes malveillantes qui peuvent se procurer un code open source ne s’en priveront pas.
Cela leur ouvre même la possibilité de compiler et distribuer leur propre version vérolée (vu et revu).
Et quand on parle de compiler… je connais personnellement quelqu’un dont le code open source s’est retrouvé affublé d’un virus. Apres avoir cherché et cherché dans le code, et bien c’est en fait le compilateur d’une machine qui était infecté et injectait un code malveillant durant la compilation.
La sécurité est une chaine, qui ne vaut que par son maillon le plus faible.
Hors l’open source est un maillon qui a ses avantages (et je suis pour à 100%) mais qui n’est pas intrinsèquement plus sur.
(Open ssl, un programme pourtant essentiel, a vecu plus d’une décénie sans qu’une faille ne soit officiellement découverte, malgré le temps passé et toutes les revues de code )

C’est du bon sens : il y a quand même dans la population plus de gens bienveillants que de gens malveillants… Et parmi les gens bienveillants, il y en a dont la recherche de faille dans les logiciels les plus utilisés est l’activité à plein temps.

Intégrer un virus dans un logiciel pour en distribuer une version vérolée se fait tout aussi facilement (en fait, plus facilement…) avec un logiciel déjà compilé qu’à partir du code source. Dans le premier cas, il faut juste un packer, un outil qui va combiner plusieurs binaires en un seul, dans le second cas il faut mettre en place tout l’environnement de développement, avec toutes les dépendances…

Et c’est encore plus facile avec une extension de navigateur, forme que prennent le plus souvent les gestionnaires de mots de passe pour le grand public.

Le seul « avantage » qu’à l’open source à ce niveau pour le pirate, c’est qu’il peut plus facilement distribuer sa version sans risquer de se faire repérer par l’éditeur, ceux des logiciels propriétaires surveillant un peu plus l’existence de tels distributeurs alternatifs…

Mais à ce niveau c’est aussi un peu à l’utilisateur de faire attention à ne pas télécharger n’importe quoi depuis n’importe où et à toujours aller sur le site officiel de l’éditeur, plutôt que sur le premier site venu… Quelqu’un qui fait attention à ça, je ne pense pas qu’il ait plus de risque de se faire fourguer un Bitwarden vérolé qu’un LastPass ou un 1password vérolé…

Ce qui peut donc aussi arriver avec un logiciel propriétaire.

Oui. Ce qui arrive aussi régulièrement avec des logiciels propriétaires. Et à ce jour, on n’a aucune preuve tangible que cette faille ait été exploitée par qui que ce soit avant sa découverte « officielle »…

Vis à vis des failles de sécurité accidentelle, il n’est pas non plus intrinsèquement moins sûr…

Par contre il est intrinsèquement plus sûr vis a vis des failles de sécurité volontaires, que ça soit des backdoors ou simplement de la négligence (genre prétendre qu’on utilise des algorithmes de dérivation de clé de pointe, alors qu’en fait on s’est pas foulé et on a juste fait un md5 du mot de passe maître…).

Ce serait nier l’existante des revues de code dans les logiciels propriétaires…
Bref, aucune preuve solide que l’un vaille mieux que l’autre en termes de sûreté.
Les deux models ont du sens et réclament de la rigueur de la part des êtres humains qui la mettent en oeuvre. L’exemple d’open ssl montre bien a quel point le nombre de reviewers et les années passées n’améliorent pas la sécurité (vs propriétaire)
Les avantages (et inconvénients) de l’open source sont rééls, mais se situent pour moi sur un autre terrain.

Ça c’est uniquement si la backdoor/négligence vient de l’initiative individuelle d’un développeur du logiciel… Pas si c’est une décision de l’éditeur.

Je peux te dire que niveau sécurité, j’en ai vu des vertes et des pas mures dans ma carrière, bien plus souvent à cause du management ne voulant pas mettre les moyens qu’à cause de développeurs incompétents ou malhonnêtes…

J’en ai vu moi aussi… mais le code review est bien souvent fait sur les logiciels proprietaires (et il va parfois très loin !)
Impossible de tirer des généralités, dans un cas comme dans l’autre on trouve de tout ! (comme des libs open sources non maintenues mais encore utilisées pendant des années)