Avec la récente décision de LastPass de réserver la synchronisation fixe/mobile aux abonnés Premium, la pression s’accentue sur BitWarden, dernier service d’ampleur à la fournir gratuitement. Mais que vaut ce fameux gestionnaire de mots de passe, connu notamment pour son code open source ?
Depuis notre série d’articles sur les gestionnaires de mots de passe, le paysage a légèrement évolué. Les acteurs présents se sont améliorés et renforcés, tandis que d’autres sont entrés discrètement, mais sûrement.
C'est notamment le cas de Google et Microsoft à travers leurs navigateurs Chrome et Edge qui savent désormais générer des mots de passe forts, leur synchronisation étant présente depuis longtemps. Microsoft a même modifié son Authenticator pour Android et iOS afin qu’il puisse synchroniser les données sur les smartphones et tablettes.
BitWarden est arrivé bien après des acteurs confortablement installés comme 1Password (surtout utilisé dans l’univers Apple), les Français de Dashlane et surtout LastPass. Ce dernier avait jusqu’à récemment un argument choc : la synchronisation gratuite entre les ordinateurs et appareils mobiles. Elle vient d'être réduite.
Pour comprendre la problématique et la mise en lumière soudaine de BitWarden, il faut rappeler quelques bases.
Notre dossier sur la gestion des mots de passe :
- Choisir un bon mot de passe : les règles à connaître, les pièges à éviter
- 1Password : un gestionnaire de mots de passe sorti de la sphère Mac
- KeePass : plongée dans un gestionnaire de mots de passe puissant, mais plus exigeant
- Dashlane : le gestionnaire de mots de passe qui veut séduire par son ergonomie
- LastPass : analyse d’un gestionnaire de mots de passe qui joue l’ubiquité
- Mots de passe : on vous aide à choisir le gestionnaire qu'il vous faut
L’énorme intérêt des gestionnaires
Commençons par un fondamental : qu’est-ce qu’un gestionnaire de mots de passe ? Une application, une extension et plus généralement tout service proposant de générer des mots forts et aléatoires, de les enregistrer, d’en préremplir les formulaires de connexion et de les synchroniser entre les appareils.
Ils répondent efficacement aux trois grands principes de la sécurité des mots de passe lors de leur conception :
- Utiliser tous les types de caractères : minuscules, majuscules, chiffres et caractères spéciaux
- Créer des mots de passe aussi complexes que possible
- Un seul mot de passe par site/service
Le troisième est le plus important. L’identifiant a en effet tendance à être souvent le même, l’internaute utilisant son adresse électronique. Si vous utilisez le même mot de passe sur tous les sites, il suffira à des pirates d’attaquer le plus faible pour récupérer ces informations et les utiliser ailleurs. C’est encore plus facile quand le mot de passe est court et non aléatoire. Sur les services « critiques » il est aussi conseillé d'activer la double authentification.
Un bon gestionnaire détecte souvent les mots de passe faibles et utilisés plusieurs fois. Il propose alors d’en changer, et on peut d’ailleurs se piquer d’une petite frénésie à le faire partout. Au bout du processus, on aboutit à ce que l’on désirait : des mots de passe uniques, aléatoires et longs.
Les chaines de 20, 30 ou 40 caractères ne sont pas un problème sur ordinateur, puisque le gestionnaire – souvent via une extension de navigateur – va remplir automatiquement les champs d’authentification sur les pages visitées. Seulement voilà, s’il ne propose pas gratuitement de synchronisation sur les appareils mobiles et que vous ne payez pas l’abonnement, vous allez vous retrouver à devoir saisir manuellement de longues chaines de caractères aléatoires. Une opération si fastidieuse qu’elle sera vite abandonnée.
Pendant longtemps, LastPass a été le seul gros gestionnaire à proposer cette synchronisation gratuite. BitWarden est arrivé après coup avec le même argument, mais les utilisateurs habitués à un gestionnaire préfèrent le plus souvent garder leurs habitudes. La donne pourrait néanmoins changer puisque LastPass vient d'annoncer qu’il faudrait choisir en mars : une synchronisation entre tous les ordinateurs ou entre tous les appareils mobiles. Pour faire le lien entre les deux univers, il faudra un abonnement Premium (34,80 euros par an).
BitWarden est ainsi le dernier « gros » à fournir gratuitement cette synchronisation. Mais que vaut-il en pratique ?
Présentation générale, interface et ergonomie
Sa prise en main ressemble à la plupart des autres services. Pas d’application ici, on commence simplement par se rendre sur le site officiel ou on installe directement l’extension pour son navigateur. Elle existe pour Chrome (et l’ensemble des dérivés de Chromium comme Edge et Opera) et Firefox.
Dès qu’une nouvelle installation est détectée, BitWarden ouvre une page dans laquelle on peut se connecter ou s’inscrire. Dommage, alors même que l’extension et la partie réservée à l’inscription à gauche sont en français, la zone de droite consacrée à la présentation du service est en anglais. Un mauvais point pour ceux que la langue de Shakespeare rebute ou qui estiment ne pas avoir le niveau.
Étape cruciale, on doit créer un mot de passe maitre, censément le dernier que l’on devra retenir puisque tous les prochains seront gérés par BitWarden. Ce mot de passe devant protéger tous les autres, son élaboration doit être faite avec soin. Respectez les consignes autant que possible : vous devez être capable de le retenir, mais il doit être long et comporter les quatre types de caractères. À cause de la façon dont BitWarden fonctionne, il sera impossible de récupérer vos données en cas de perte de ce mot de passe.
Une fois le compte créé, BitWarden propose d’ajouter un ou plusieurs éléments. On peut donc soit créer des fiches vierges, soit importer des éléments. Pour cette deuxième option, la procédure est plus ou moins la même pour tous : on commence par exporter les données depuis Chrome, Firefox, 1Password ou LastPass, puis on importe le fichier dans BitWarden. Tous les navigateurs et gestionnaires de mots de passe ont une telle fonction d’exportation. BitWarden fournit d’ailleurs la marche à suivre pour plusieurs, mais là encore en anglais.
Après quoi, on se rend dans « Mon coffre » (Web vault) puis dans Outils (barre bleue en haut), et on clique enfin sur Importer des données. Là, on sélectionne le fichier (le plus souvent au format CSV), on choisit la source de l’importation et on valide. Après un court moment, on obtient la liste des mots de passe importés et le service prévient par un message vert en haut à droite que l’import s’est bien passé.
BitWarden sait reconnaitre les structures particulières quand elles existent, notamment celles de LastPass. Si vous avez créé des dossiers pour classer vos identifiants ou placé certains en favoris, ils seront affichés tels quels. Même chose pour les données autres, telles que les cartes de paiement et notes sécurisées.
BitWarden affiche les sites sous forme de liste, et uniquement de cette manière. Pas d’affichage grille donc. Il suffit de cliquer sur l’un d’entre eux pour en afficher les détails. On y retrouve le nom, l’adresse de la page, le nom d’utilisateur, le mot de passe, la clé TOTP (si besoin), le mode de détection du domaine (à ne changer que quand le service a du mal à reconnaitre les champs d’authentification) et la note personnelle.
On peut ajouter autant d’autres champs que l’on souhaite. Notez que les mots s'affichent toujours comme une suite de six points, qui ne reflète donc pas la longueur réelle. Dès que des éléments sont présents dans le coffre, qu’ils aient été importés ou créés, ils sont synchronisés avec le compte. À partir de là, on peut installer BitWarden dans d’autres navigateurs, ordinateurs et appareils mobiles.
Nous reviendrons plus spécifiquement sur ces derniers plus tard dans notre article.
Création des mots de passe
Entrons un peu plus dans le vif du sujet et penchons-nous sur l’une des fonctions phares des gestionnaires : la création des mots de passe. On attend d’un tel service qu’il sache fournir très rapidement un mot de passe complexes et aléatoire. BitWarden, comme la plupart des produits concurrents, joue par défaut la carte de la compatibilité. Lorsque l’on clique sur l’icône de l’extension et que l’on se rend dans Générateur, les réglages de base sont un peu « mous » : une longueur de 14 caractères, dont aucun spécial.
On peut heureusement changer ces réglages, cocher la case qui manquait et jouer avec la réglette pour augmenter la taille. Nous vous conseillons toujours d’adopter la plus grande longueur possible acceptée par le service auquel vous souhaitez vous inscrire, même si beaucoup ne précisent pas cette information. Il existe malheureusement encore de nombreux sites n’acceptant que 12 ou 16 caractères de longueur et rejetant les caractères spéciaux.
BitWarden propose également d'opter pour des phrases de passe. Par défaut, il fournira trois mots aléatoires sortis du dictionnaire et séparés par des tirets. On peut augmenter le nombre de mots, activer la majuscule pour chaque mot et ajouter un chiffre qui viendra se loger aléatoirement à la fin de l’un des mots.
Mots ou phrases de passe, il en ira des goûts de chacun. Les phrases ont l’avantage de pouvoir être plus facilement retenues, mais cet avantage n’est que relatif : en matière de sécurité, la facilité n’est pas un argument. Reste qu’une phrase de plusieurs mots est une protection efficace par sa longueur. Mais une séquence aléatoire de plusieurs dizaines de caractères le sera toujours davantage.
Sécurité et gestion des mots de passe
Voici l’un des points critiques des gestionnaires de mots de passe : quelle est la sécurité des données confiées à BitWarden ? Dans ce domaine, l’éditeur s’est fait fort d’être aussi transparents que possible. Le chiffrement local est en AES-CBC 256 bits, et les communications avec les serveurs de l’entreprise sont chiffrées de bout en bout. Le mot de passe du compte sert à générer la clé de chiffrement, hachée avec PBKDF2 SHA-256.
Le service fonctionne sur un mode « zero knowledge », signifiant que BitWarden n’a aucune visibilité sur les données stockées dans le compte ni ne possède la clé qui permettrait d’y accéder. Comme nous le disions plus tôt, il y a potentiellement une conséquence fâcheuse : en cas de perte du mot de passe, il n’existe aucune procédure capable de restaurer vos données. Ce risque est le même pour tous les gestionnaires utilisant une solution chiffrée de bout en bout, comme LastPass.
À la manière de ce que propose Signal (et dans une moindre mesure WhatsApp), BitWarden fournit aux utilisateurs une « fingerprint phrase » composée de cinq mots liés par des tirets, du type « alligator-transfer-laziness-macaroni-blue ». Vous la trouverez dans les paramètres du compte, depuis le Coffre, l’extension ou l’application mobile. Elle est à conserver précieusement car BitWarden peut vous demander, selon la fonction utilisée, de la comparer avec le résultat à l’écran. Ce sera le cas si vous activez par exemple le déverrouillage biométrique sur l’application mobile.
La procédure affichera ce que BitWarden pense être la bonne phrase. À vous de la confirmer si c'est le cas ou non pour assurer que le processus n’a pas été compromis. Même chose dans le cas où vous créez un groupe (organisation) et que vous y ajoutez un utilisateur : il faudra vérifier avec lui que le code affiché est bien le sien.
BitWarden est surtout connu pour son code open source, disponible sur GitHub. Et contrairement à des services comme Telegram, il ne s’agit pas que des clients, extensions et applications : le code source du serveur est lui aussi ouvert. La licence n’est pas toujours la même : GPLv3, AGPLv3 (Affero) ou Bitwarden License 1.0. Cette dernière ne peut pas être considérée comme véritablement open source, puisqu’elle donne l’autorisation d’accès, mais sa réutilisation est soumise à conditions et surtout à paiement. Cela étant, la BLv1 ne s’applique qu’à deux éléments, le portail professionnel et l’intégration SSO (Single Sign-On), utile uniquement en entreprise.
Le stockage des données en fera tiquer certains : tout est aux États-Unis dans Azure, l’offre cloud de Microsoft. Bitwarden précise qu'il ne s'agit que d’infrastructure, mais les lois américaines étant ce qu’elles sont, les personnes à la recherche d’un respect absolu de la vie privée bouderont le produit… ou hébergeront leur propre serveur.
BitWarden permet en effet d’installer une instance sur sa propre machine, une longue page décrivant le processus dans sa documentation. On y trouve toutes les étapes de configuration, dont les instructions liées à Docker, puisque les composants se présentent sous forme de conteneurs logiciels.
Les fonctions liées à l’offre Premium côté client (nous y reviendrons) réclameront un fichier de licence, récupérable depuis le Coffre (Paramètres > Abonnement Premium > Télécharger la licence). Le même abonnement débloque les fonctions pour les clients et l’instance personnelle du serveur. L’hébergement de cette dernière est à la discrétion des clients et peut être effectuée sur un hôte sous Linux ou Windows.
L’authentification à deux facteurs (2FA) est également présente, mais en deux tronçons. Le seul disponible dans la version gratuite propose la réception d’un code par email (à éviter) ou en passant par une application d’authentification du type Google/LastPass/Microsoft Authenticator. Elles ont à peu près toutes les mêmes fonctionnalités. Au vu du caractère critique des données stockées dans le compte, on ne saurait que trop vous conseiller de l’activer (comme dans tous les services où c’est possible) dès que possible.
Notez qu’à l’activation de la 2FA, BitWarden fournit un code de récupération pour le cas où le deuxième facteur deviendrait inaccessible. Enfin, et c’est un point important, la sécurité du service a été auditée à deux reprises : en 2018 par Cure53, puis en 2020 par Insight Risk Consulting, des sociétés spécialisées indépendantes.
Dans les billets de blog consacrés à ces audits, BitWarden affirme qu’aucun problème majeur n’a été détecté, et que tous les soucis pointés ont été rapidement corrigés. Un rapport est disponible pour chaque audit. Notez que dans le deuxième audit, il était surtout question de tests de pénétration, donc de résilience aux attaques.
Partage et organisations
BitWarden propose des fonctions assez classiques dans ces domaines. Dans les paramètres du compte, on peut ainsi définir une ou plusieurs organisations, qui serviront à partager tout ou partie des mots de passe.
Les organisations n’ont rien à voir avec des entreprises, il s’agit simplement du mot choisi par BitWarden. Pensez-y comme à des groupes, puisque leur fonctionnement est exactement celui-là. On y invite des contacts, à qui l’on confie ensuite certaines données. Très utile notamment dans le cas où plusieurs personnes auraient à se partager le même compte. Ce n’est jamais recommandé, mais il n’y a parfois pas le choix.
Autre fonction très classique également, la définition d’un ou plusieurs contacts d’urgence. Ces personnes – en qui il faudra bien sûr avoir toute confiance – pourront accéder à l’intégralité des mots de passe en cas de problème. Selon les autorisations, elles pourront seulement les voir ou prendre le contrôle du Coffre, avec redéfinition d’un mot de passe maitre. Ces accès ne sont pas silencieux : elles génèrent une notification par email pour le possesseur du compte, qui devra accepter la connexion.
BitWarden fait une différence entre contacts d’urgence et contacts de confiance. Les premiers se déclarent simplement avec une adresse email de contact, tandis que les seconds sont des utilisateurs de BitWarden. Auquel cas les demandes d’accès et notifications se gèrent directement par l’extension ou l’application.
Applications mobiles… et desktop !
Il n’y aura pas grand-chose à dire sur les applications mobiles. Et pour cause : qu’il s’agisse de la version Android ou iOS, les fonctionnalités sont strictement les mêmes que dans les extensions.
On retrouve ses identifiants, la capacité de les voir et les modifier, la génération de nouveaux mots de passe avec les mêmes critères, et ainsi de suite. Il manque seulement la capacité de souscrire à une offre Premium, que l’on ne pourra faire que depuis la version web.
Notez que plusieurs fonctions comme l'import renverront vers des fiches d’aide, car peu pratiques à réaliser depuis un smartphone (ou une tablette). Curieusement, l’export du Coffre sous forme de fichier JSON reste accessible.
BitWarden propose également des fonctions classiques comme la prise en charge des mesures biométriques. On pourra donc déverrouiller la session avec un doigt ou son visage, ce qui apparaitra vite nécessaire. Il n’y a en effet pas d’option pour retenir le mot de passe. La session se verrouillant au bout de 15 minutes par défaut, réécrire régulièrement un mot de passe complexe peut vite devenir fastidieux.
Les applications mobiles sont surtout là pour assurer la liaison entre le service et le remplissage automatique des champs d’authentification, que ce soit dans les navigateurs ou autres applications. Dans Android comme dans iOS, il faudra donc déclarer BitWarden comme source de mots de passe dans les paramètres.
Signalons aussi que l’éditeur propose des applications desktop (Linux, macOS, Windows), relativement récentes. Nous avons cependant un peu de mal à comprendre ce qu’elles apportent en l’état, même si elles permettent de se passer de navigateur et intègrent le processus d’inscription.
Il s’agit cependant d’applications Electron, reprenant justement la version web… sans toutes les fonctions. Elle renverra par exemple au site pour activer l’authentification 2FA, et n’intègre pas non plus les rapports de sécurité pour les comptes Premium. Les extensions ont le mérite d’être disponibles partout et d’être bien plus légères, tout en renvoyant vers la version web si besoin.
Notons enfin que BitWarden propose un client en ligne de commande. Clairement conçue pour les administrateurs en entreprise, elle permet d’accéder à la totalité des fonctions et une intégration aux systèmes de gestion d’identité en place. Cette version CLI autorise également des manipulations comme la personnalisation de l’interface.
Mais alors, pourquoi payer ?
La question mérite en effet d’être posée : puisque BitWarden fournit dans sa formule gratuite la synchronisation des données entre ordinateurs et appareils mobiles, pourquoi payer ?
La réponse se trouve – comme toujours – dans les besoins… ainsi que dans une « pingrerie » de BitWarden. Nous manions le mot avec des guillemets car la formule gratuite est peu contraignante. En plus de la synchronisation si désirée, on peut partager ses mots de passe avec deux autres utilisateurs et créer deux coffres pour leur stockage.
La formule Premium va évidemment plus loin. Elle ajoute 1 Go de stockage chiffré pour les fichiers (le stockage des mots de passe n’est soumis à aucune limite), peut générer un code de vérification 2FA pour les identifiants du coffre et inclut un support client prioritaire. Elle propose surtout des rapports sur l’hygiène des mots de passe et des comptes. BitWarden prévient donc quand les mots de passe sont faibles ou dupliqués, qu’un site pour lequel on possède un compte a été attaqué, qu’une fuite peut avoir impliqué des identifiants, etc.
L’abonnement déverrouille également l’authentification 2FA par des moyens complémentaires. C’est le cas pour les clés de sécurité USB de Yubiko et plus globalement de tous les modèles compatibles avec la norme FIDO U2F.
Contrairement aux concurrents, nous recommandons ici l’abonnement pour trois raisons. D’une part, les capacités supplémentaires d’authentification 2FA sont un réel apport de sécurité. D’autre part, le tarif de l’abonnement pour un particulier est particulièrement léger : 10 dollars par an. Enfin – et surtout – les rapports de sécurité sont un vrai bon point, puisque l’utilisateur bénéficiera de vues de synthèse lui expliquant ce qui cloche avec ses identifiants.
Une formule famille est proposée pour 40 dollars par an. Elle prend en charge six personnes, chacune ayant son espace de 1 Go, auquel s'ajoute un espace partagé, également de 1 Go.
Conclusion
Difficile de ne pas recommander BitWarden si c’est le type de solution que vous cherchez, à savoir un service synchronisé pour l’ensemble des ordinateurs, appareils et navigateurs. Il a le même degré d’ubiquité que LastPass, ce qui en fait un concurrent redoutable. Son attitude face à la synchronisation sans restriction en faisait déjà une bonne recommandation pratique. Son code open source et ses audits complètent le tableau.
La possibilité de créer sa propre instance de serveur est aussi un atout indéniable. Mais s’il n’y a rien à redire sur le fonctionnement technique et la plupart des capacités de BitWarden, tout n’est pas rose pour autant.
En l’état, il peut rebuter les moins connaisseurs dans le grand public. Par exemple, si l’interface de l’extension ou du Coffre est en français, l’immense majorité des aides sont en anglais. C’est d’autant plus un problème qu’aucun support n’est fourni avec la version gratuite, et que l’abonnement ne déverrouille qu’un soutien par email. Pas de discussion en ligne ni téléphone. Le support n’est pas non plus de type 24/7.
On aurait également aimé que certaines fonctions assez standards soient présentes, dont celle permettant de lancer directement une procédure de changement de mot de passe pour un service donné. C’était par exemple une spécialité de Dashlane, mais elle a depuis fait des émules, sauf chez BitWarden.
Toute aussi regrettable, l’absence de remplissage automatique de formulaires avec des informations courantes comme le nom, l’adresse, le numéro de téléphone, l’adresse email, etc.
L’interface est en outre un peu vieillotte et manque parfois de souplesse. Le Coffre permet par exemple de trier ses identifiants dans des dossiers. Il aurait été bien pratique de pouvoir simplement glisser/déposer un élément dans un dossier à gauche. Mais BitWarden ne propose que des cases à cocher et un menu en haut pour sélectionner « Déplacer les éléments ». Si on ne veut en déplacer qu’un ou deux, la manipulation est lourde.
Mais en dépit de ces défauts, BitWarden est une solution efficace. Même si une couche supplémentaire de travail pour le rendre plus accessible au grand public serait la bienvenue, l’essentiel des fonctions est là, l'outil est très bon dans ce qu’il fait, sa sécurité solide. Aucune fuite de données n’a encore été déplorée chez l’éditeur. Et s’il a moins de fonctions que certains concurrents comme Dashlane et surtout LastPass, il est aussi nettement plus accessible.
Attention tout de même : BitWarden est le dernier acteur important à proposer la synchronisation gratuite entre tous les appareils, sans même une limite sur leur nombre. Il est probable qu’une partie des utilisateurs de LastPass ait changé de crèmerie en conséquence. Mais l’éditeur pourrait un jour choisir d’appliquer la même recette et de relever ses tarifs par la même occasion. Pour des données aussi critiques que les mots de passe, mieux vaut donc avoir un coup d’avance et se préparer une voie d’issue.
Commentaires (108)
#1
Installé en autohébergé sur mon NAS il y a quelques jours, il y a plein de bonnes choses en effet, en comparaison à KeePass + kee (plugin FF). Interface plus moderne et bien intégrée, appli mobile efficace.
Mais il ne propose pas la gestion fine d’un Keepass, et ça me manque parfois. Difficile par exemple de trouver les derniers mots de passe créés par exemple (pas de fonctions de tri avancées, par login/date de création/modification, etc), ou alors j’ai pas vu comment.
PS: pour l’hébergement sur le NAS (Synology), c’est vraiment super simple à installer grâce à docker (tuto ici par exemple), et pourtant je suis loin d’être un expert dans la matière.
#1.1
c’est ce que je voulais faire, aussi, mais mon Syno (DS414+), ne sait pas faire tourner Docker
.
Donc pas de Bitwarden en local et je suis passé passé par leur offre “standard”.
Je viens de changer après de longues années sur LastPass. je dois avouer que l’interface de BW est plus moderne et agréable que LP qui a quand même un peu vieillit.
#2
Je me tâte à prendre un compte Premium Last Pass ou passer chez BitWarden.
#2.1
J’ai fais le pas il y a plus d’un an de LastPass vers Bitwarden (version payante) sans aucun regret.
#3
BitWarden est effectivement simple et efficace et pour le coup réellement open source sur la grosse majorité du code comme noté dans l’article.
Pour les adeptes de l’autohébergement, la nécessitée d’obtenir une licence (certes gratuite) auprès de BitWarden peut rebuter. Heureusement, la communauté est encore présente !
Un super fork totalement compatible avec les clients officiels et offrant des fonctionnalités d’administration plus poussées est disponible:
https://github.com/dani-garcia/bitwarden_rs
#3.1
Je l’utilise et je recommande, facilité de mise en place et mise à jour via docker. Car avec la solution de base, même si la licence est gratuit, quid si la société n’existe plus et que le code fait appelle à leur serveur pour vérifier la licence….
#3.2
Ce n’est pas la licence qui m’a rebuté, mais la complexité d’installation (ou alors faut passer par Docker).
Du coup, vu que yunohost a un paquet non officiel Bitwarden_rs,c’est celui que j’utilise.
#4
Je suis passé il y a quelques mois de Dashlane à Bitwarden. Sans regret.
En autohebergé aussi.
@thotor : précisons quand même que cette version autohebergée n’est pas la version officielle de Bitwarden, mais bitwarden_rs
#5
Donc c’est uniquement basé sur une Web App ? Très peu pour moi, je quitte justement Dashlane car ils abandonnent leur appli desktop pour passer sur du full web (perdant au passage plusieurs fonctionnalité très utiles comme l’intégration Windows Hello, ou l’utilisation de clé U2F)
#5.1
Le fait d’être utilisé en web ne change rien pour U2F, WebAuthn est là pour ça (et ça gère la biométrie, donc Windows Hello dans une certaine mesure (je ne sais pas si exploitable uniquement dans Edge ou si tous les navs sont aussi concernés en l’état de l’art))
#5.3
Je l’utilise depuis 2 an je crois (je ne sais plus exactement) et il est vraiment top en effet.
Pour info, on peut changer le temps de déconnexion de la session, dans les options sur le site web. De 1minutes à 4h voir “au rechargement de la page”. Ca permet d’avoir à entrer le mdp maitre moins souvent ;)
#5.2
La version Desktop de Bitwarden support Windows Hello et le Finger Print de MacOS. Même si c’est de l’électron ;)
#6
Si tu prends en mode cloud, c’est assez similaire. Je trouve l’intégration de LastPass un peu plus poussée pour ma part. Par contre, j’utilise bitwarden en mode hosté dans un contexte pro.
#7
J’utilise Bitwarden depuis une grosse année en version payante, 10€ plus pour soutenir.
Moi ce qui me gonfle, c’est la partie auto-hébergent avec Docker qui m’insupporte avec son coté boite noir dans lequel on doit faire confiance.
Il ne reste que Bitwarden_rs ou l’on peut maitriser son installation on primise. Et c’est documenté.
#8
#9
Ca sera sur le cloud, j’ai pas les compétences et le temps de partir sur mode auto-hosté.
Donc je suis en pleine réflexion pour le coup.
#10
J’ai essayé plusieurs gestionnaires (dont Encryptr qui ferme dans quelques jours et conseille la migration vers bitwarden), mais j’en reviens toujours au fichier chiffré, ouvert rapidement avec une commande (je n’aime pas le principe de l’extension qui vient faciliter la connaissance du mot de passe, probablement à tord).
#10.1
Je suis pareil, j’ai des difficultés à faire confiance dans des dispositifs proposant d’avoir facilement accès à des mots de passe.
Je reste cantonné à mon fichier keepass sur mon Nextcloud. C’est pas spécialement user friendly (et m’en tape), l’ouverture sur smartphone est assez peu aisée notamment pour taper la clé de déchiffrement du fichier, mais je me sens plus rassuré qu’à l’idée d’avoir un truc qui lise comme ça une base de données aussi sensible en mode “t’inquiète je gère”.
Accessoirement, j’ai assez peu confiance dans un service web, même auto hébergeable, pour ce besoin.
#10.2
J’a aussi i un fonctionnement similaire avec KeepassXC et un fichier partagé sur un Nextcloud autohébergé et keepass2Android. Il me semblait, au moment de mon choix, que les technos utilisées par Bitwarden ne me convenaient pas. Les goûts et les couleurs.
#11
Merci pour cette article dommage que vous n’abordiez pas le forum bitwarden_rs mais si J’ai du mal à faire confiance à ce dernier.
Une absence d’audit de bitwarden_rs Et l’autohebergement avec les images docker de bitwarden officiel sont assez lourdes, tout ça me pousse à rester avec keepass (et synchronisation webdav + triggers + keepass2android)
#12
Le gros point noir de Bitwarden et qui n’est pas mentionné dans l’article, c’est qu’une fois un élément partagé avec une organisation, il n’est plus possible de le départager. Le mot de passe appartient à l’organisation et le seul moyen de supprimer le partage, c’est de supprimer complètement l’élément. A utiliser avec précaution donc.
#13
Utilisateur de Bitwarden auto-hébergé (et Premium depuis peu pour la double authentification sans passer par une app tier), j’en suis pleinement satisfait.
Je l’ai installé sur un serveur distant et c’est très facile à administrer.
Je converti petit à petit ma famille à passer dessus. Ça me permet de leur faire prendre conscience de l’importance de maitriser ses données numériques.
#14
Mon abonnement Dashlane vient de se terminer hier et je viens donc de migrer.
Aucun regret pour l’instant hormis que j’ai perdu toutes les clefs de sécurité de mes CB. Le fichier d’export Dashlane ne les intègre pas et je les ai rayer sur mes CB physiques (ça évite les débit frauduleux lors d’un vol).
J’suis comme un con maintenant. :-///
#14.1
Perso, je mets des autocollants sur le code à 3 chiffres au dos de la carte, ça marche pas mal et au pire, je peux toujours le retirer pour revoir le code (mais un commerçant ne pourra pas le faire discrètement ^^)
#15
Si, ça existe chez Bitwarden : il faut créer une Identité. Une fois créée il suffit de cliquer dessus pour remplir le formulaire.
#15.1
Ok merci. Ça fait 2 ans que je l’utilise et je n’ai jamais pensé à faire cela. Je vais tester ça !
#16
Je songe depuis quelques temps à me l’auto-héberger, mais je m’interroge. J’imagine que même pour une licence gratuite, il faut un compte (ne serait-ce que pour la licence ou la facturation). Mais rassurez moi, les données ne se transmettent pas sur le service en ligne si on héberge son instance ? C’est pas très clair dans l’article/les commentaires ^^’
#16.1
Pas besoin de licence pour auto-hébergé. Bitwarden_rs s’héberge très bien avec Yunohost : https://yunohost.org/fr/app_bitwarden
#16.2
Merci de l’info, j’ai lu les commentaires et j’ai bien l’impression que la version _rs a l’air bien. Cependant, à moins que les Perfs soient désastreuses à ce point, je pense que je vais rester sure les applis officielles. Histoire d’avoir un truc officiel :)
#17
bitwarden_rs n’est pas un “fork” de Bitwarden. C’est un serveur développé en Rust, plutôt que .Net et compatible avec l’API et donc compatible avec les clients “Bitwarden”.
J’hésite à l’installer sur un VPS, pour le moment, j’utilise 1Password en licence “définitive” et synchro iCloud (mac / iOS), ce qui n’est pas l’idéal, mais a l’avantage de fonctionner depuis quelques années !
#18
Bitwarden_rs fonctionne au top et léger. Contrairement a l’image officielle en .Net et SQLServer… 3 Go de ram pour un gestionnaire de mot de passe, faut pas pousser.
#19
Après avoir testé le mode auto hébergé en docker sur Synology (il faut s’inscrire pour avoir une clé gratuite), j’ai testé bitwarden_rs il y a un 1 an… et je fonctionne avec depuis.
Il n’y a pas photo, la charge Mémoire / CPU et la complexité des containers n’ont rien à voir (un seul container). Il manque juste quelques fonctions listées sur le projet, ce qui ne m’a pas gêné jusqu’à maintenant.
Et le projet est plutôt bien soutenu.
Mais si votre approche est plus PRO, tachez d’acheter une licence à Bitwarden… ils le méritent.
#20
Tiens ca m’intéresse grandement. T’aurais un peu plus d’info à partager par hasard?
#20.1
J’utilise plus ou moins la même config. Niveau info pas grand chose à donner. Un Nextcloud, le fichier Keepass synchro dedans -> plus qu’a l’ouvrir partout où tu en as besoin ! Après faut avoir l’intérêt du NextCloud mais comme je me suis débarrassé de tout mes stockages en ligne (Dropbox, Drive etc) je l’avais déjà installé.
.
Au niveau simplicité d’utilisation, madame l’utilise c’est que c’est bien assez user friendly
Sur android j’utilise KeepassDX, je peut déverrouiller mon keepass avec mon empreinte digitale (ça évite de taper le mot de passe de plus de 40 caractères…).
C’est surement un peu plus rigide que Bitwarden (le fichier est à synchro manuellement sur android) mais je met pas non plus à jour ma base tous les jours.
En ce qui concerne la discussion sur l’intérêt des client desktop, l’avantage à mon gout c’est surtout de pouvoir remplir les mot de passe aussi sur les applications (Steam, Discord etc).
Les mot de passe sont utilisés de manière universelles, j’ai du mal a me faire à l’idée de m’enfermer dans mon navigateur pour leur gestion.
#21
Article très intéressant, même si comme quelques-uns je trouve mon compte avec un simple fichier KeepAss.
#22
Je tournais sur Keepass avec bdd sur NAS accessible en webdav, et Strongbox sur iOS.
J’ai changé pour Bitwarden version cloud depuis 6 mois, sans regret : je perds la maitrise de la bdd (mon NAS Syno n’a pas de CPU Intel - donc pas de x86 nécessaire pour Docker) mais question UX c’est incomparable : des interfaces unifiées (desktop, extension navigateur, applis iOS/iPadOS), plus de problèmes de conflits de synchro, plus de problèmes d’accessibilité (certains clients pour qui je bosse ont des firewalls ou VPN qui bloquent le webdav), sans parler des coupures d’électricité ou autres problèmes du NAS. J’ai même réussi à convaincre ma mère de 60+ balais alors que ça fait des années que je la tanne pour adopter KeePass !
#22.1
(un cpu x86 n’est pas nécessaire pour docker, on peut faire tourner des docker sur un raspberry pi par exemple, mais il n’existe peut-être pas d’image docker préexistante pour ton syno, c’est un autre souci)
#23
Hello!
Merci pour l’article ! Attention petite erreur, le prix de la formule famille a évolué et est passé en septembre 2020 à 40$/an pour 6 utilisateurs, premium inclus (c’était auparavant une option).
https://bitwarden.com/help/article/about-bitwarden-plans/#families-organizations
https://bitwarden.com/help/article/2020-plan-updates/
#24
En règle général les chromium prennent en charge win hello sans trop de soucis, si ca marche pas c’est souvent un bug (vivaldi), le seul qui a ma connaissance tire la tête (quand je l’ai testé), c’était firefox.
#24.1
Ah ouais ? Pourtant je peux le faire sur Outlook.com 🙄
#25
je confirme
abonnement famille à 40$ par an, je l’ai pris il y a 10 j
Ça reste néanmoins un des meilleurs tarifs pour une offre groupée
#26
C’est celui que je vise à l’expiration de mon abonnement Dashlane. Merci pour l’article !
#27
Alors, pour les afficionados de l’auto-hébergement, il y a effectivement bitwarden-rs qui marche très bien.
Et si vous voulez fabriquer votre paquet Debian, il y a https://github.com/greizgh/bitwarden_rs-debian
Ça utilise Docker (dommage…), mais uniquement pour la construction. À la fin, z’avez un beau paquet Debian à déployer.
Ensuite, la ligne de commande… C’était essentiel pour moi, lors de ma migration depuis pass puisque j’y stocke des mots de passe SSH. Et la version officielle est codée en JavaScript, avec des performances exécrables.
Je vous conseille donc l’utilisation d’une version en Rust : rbw. Il « suffit » de l’installer avec
cargo install rbwet après ça, ça roule tout seul. À la première exécution, un agent est lancé pour garder le coffre ouvert pendant un certain temps, de la même manière que gpg-agent ou ssh-agent. Et ça va vite.#28
Perso, étant friand d’auto-hébergement à niveau de technicité acceptable (i.e. sans en faire un second métier), j’ai lâché 1Password qui était très bien mais qui supprimait de plus en plus de fonctionnalités en ce sens pour du full-cloud.
J’ai donc opté pour Bitwarden en mode auto-hébergé su NAS Synology via Docker : les tutos existent et sont fiables, mais j’ai eu une galère avec le DNS qui faisait perdre la synchro par moments. Les conteneurs docker de Bitwarden proposent gratuitement toutes les options : je n’ai pas réussi à savoir si c’est vraiment légal ou non, mais visiblement c’est toléré et ça fonctionne bien, y compris avec une YubiKey.
L’app est homogène entre tous les OS, c’est fonctionnel et efficace même si un peu confus au début, notamment pour mes proches que je convertis petit à petit à cet outil plutôt que les gestionnaires des navigateurs/OS qui sont moins pratiques et/ou plus opaques. Il ne manque qu’une gestion de la biométrie pour être ultime !
#29
Tu peux aussi partir des sources et installer ton serveur sans utiliser Docker (ou produire tes propres images Docker à partir des sources, puisque les Dockerfile sont fournis).
#30
pas mécontent d’avoir acheté une license de 1password à l’époque où l’abonnement n’était pas la règle partout …
#31
Merci pour l’article.
Je suis abonné Dashlane que je trouve très bien, mais ça me chagrine un peu que l’application bureautique va être laissée tomber.
Je vais donc en profiter pour essayer Bitwarden.
#32
J’utilise Bitwarden en auto-hebergé depuis plus d’1 an maintenant.
La partie Docker est bien “lourde” (10 containers!), Je vais regarder du côté de Bitwarden-rs ;)
#33
Je lis que bitwarden-rs passe bien sur un Raspberry Pi, certains ont essayé de l’utiliser en auto-hébergé dans ces conditions ? J’ai un rpi4 qui fait tourner homebridge, deconz et pihole, il lui reste de la marge.
#34
J’ai testé Bitwarden il y a quelques mois. Je préfère largement EnPass (Achat de la version avant le passage à l’abonnement, donc licence Pro, mais ce dernier à ajouter des fonctionnalités Premium payantes en abonnement… bref, je songe de plus en plus à migrer…).
Cependant, je n’arrive pas du tout à saisir le concept d’organisation et ce que je pourrais faire avec.
Je voudrais bien avoir des mots de passes partagés avec ma femme… Mais actuellement je stocke tous ses mots de passe (enfin, une grosse partie) dans mon fichier de mot de passe (Enpass je reprécise). Elle continue d’utiliser le trousseau du mac. Mais à terme je pense bien la faire basculer sur l’application de mot de passe.
#34.1
En fait une organisation est un groupe d’utilisateur.
Dans une organisation tu as des collections (des ensembles de secrets). Un utilisateur d’une organisation peut avoir accès a une ou plusieurs collections avec les droits pour les modifier ou non.
Dans ton cas tu aurais un compte, ta femme aussi. Les deux comptes seraient des une organisation avec probablement une seule collection (vos mots de passes partagés) ou les deux utilisateur auraient les droits pour les modifier.
Pour mon utilisation, j’ai deux comptes bitwarden (sur mon instance) un pour mon pc (auquel je fait relativement confiance) qui a accès a toutes les collections de mon organisation et un pour mon téléphone (auquel je ne fait pas confiance) qui n’a accès qu’a une seule collection (une sous partie de mes mots de passes).
J’utilise bitwarden_rs en autohébergé depuis un peu moins d’un an, j’en suis très content. mais si vous le faites aussi n’oubliez pas les backups.
#34.2
Merci pour ces renseignements :) C’est ce fonctionnement qui me conviendrait en effet ;)
Pour les sauvegardes, j’ai rédigé un tuto qui le fait ;) avec le conteneur docker : https://www.forum-nas.fr/viewtopic.php?f=56&t=15341
oui j’ai passé pas mal de temps sur la rédaction du tuto pour au final ne pas me servie de bitwarden :p)
Lors de mes essais basiques (donc sans organisation), j’avais trouvé des manques consiédérables : pas moyen de glisser-déposer des éléments, catégories figées non modifiables, on ne peut pas en ajouter non plus…
Personnalisation des icônes impossibles (ou pas pratique, je ne sais plus…)
Ce sont ces choses, en partie, qui m’ont empêcher de laisser tomber EnPass, car mes presque 800 mots de passe/entrées/licences… sont pas importées de manière parfaite…
#34.3
Mon experience est uniquement sur bitwarden_rs mais je peux te répondre sur les manques:
sur la dernière version de la GUI il n’y a toujours pas
Si tu parles des catégories identiées, notes etc… ça n’a pas changé, si tu parles de dossiers/partages c’est modifiable mais pas toujours très intuitif)
Pour un utilisateur je ne sais pas, l’admin peut interdire de telecharger les favicon. a voir mais ces choses là on changé récement (dans la derniere version de la gui)
#35
Je suis surpris du nombre de gens qui sont sur des solutions auto-hébergées, vous êtes vraiment des ouf les gars !
#35.1
Je deviens ouf dès aujourd’hui également. En revanche je n’ai pas encore bien saisi les différences entre Bitwarden et bitwarden-rs. Va surement falloir que je teste les 2 pour me rendre compte comme beaucoup que le Bitwarden tout court prend trop de ressources sur le Syno …
#35.2
Bitwarden est la seule version officielle, que ce soit en utilisant le service en ligne ou la solution auto-hebergée (on-premise) avec les images docker officielles. Les 2 ont des options payantes (2FA, stockage etc.)
Bitwarden-rs est une implémentation de la partie serveur (API) non officielle, moins gourmande et écrite en rust. Elle est compatible avec les clients officiels (extensions navigateurs et applis smarphones/desktop) et au passage intègre les options premium, gratuitement.
Pour avoir testé les deux en auto-herbergé (docker sur synology) il n’a a pas photo, la version rust est bien plus légère en utilisation RAM+CPU. Côté sécurité, certains ici sont certainement bien plus compétant que moi sur le sujet, mais il me semble que comme on utilise les clients officiels et que l’ensemble de la solution est chiffrée de bout en bout ça ne doit rien changer… Et bitwarden-rs est également open source.
Les options premium sont évidemment un plus, mais rien n’empêche d’utiliser bitwarden-rs et d’avoir à côté un compte premium ou don chez bitwarden, ne serais-ce pour soutenir le projet
#35.3
Merci, ça répond à mes interrogations. Je pense dès lors qu’en effet, la solution bitwarden-rs + compte premium de soutien va s’imposer.
#36
Ou des parano…. :)
#37
Oui c’est une autre façon de voir les choses.
Chacun ses raisons je suppose… je n’ai pas envie d’aller froisser les gens gratuitement. :P
* pour ma part je suis loin des solutions auto-hébergées encore… pas le temps ni le courage à y consacrer. (en plus de quelques notions en web qui me manquent encore sans aucun doute)
#38
Utilisateur de bitwarden en premium depuis lgtps aussi je recommande !
Par contre je n’ai jamais fait le pas de d’utiliser le 2FA fourni.
J’y vois une faille, car si on te pète ton mdp maître, on a non seulement accès à tes mdp mais aussi à tes codes 2FA.
Vous n’y voyez pas une faille de sécu vous ?
A avoir un seul et meme outil pour votre l’entièreté de la chaine d’authentification ?
#39
Je viens d’installer Bitwarden-rs (docker) sur un Synology. Cela fonctionne très bien (export de la BDD, copier/coller du dossier “data” pour la sauvegarde). Mais je me pose des questions de la sécurité avec cette version non-officielle et la fréquence des MaJ du docker par rapport à la version Bitwarden officiel.
#39.1
Bitwarden-rs est un autre implémentation. Elle est compatible avec l’API, donc les clients officiels sont sensés marcher avec, et elle embarque le portail Web officiel.
Je l’utilise depuis 2 ans, et c’est mis à jour régulièrement. Les clients officiels marchent très bien, et Bitwarden fait également l’effort de ne pas casser les API.
#40
Oui, mais je pense que c’est la principale raison, le manque de confiance dans le stockage Cloud :)
Au final, le stockage est peu être aux US, mais je ne vois pas trop ou est le risque pour autant dans le cas présent. Ce n’est pas du mail ou de la communication ! La justice à peu de chance de demander à Bitwarden de fournir des données et même si c’est le cas, les données restent des données chiffées. Sauf peut être email et moyens de paiement, que beaucoup donnent aussi pour une utilisation “auto-hébergée”.
Donc pour ma part, je suis en cloud à ~10€/an et je pense que mes passwd sont plus sécurisés chez MS Azure que sur mon NAS ! Mais chacun son avis sur le sujet !
D’ailleurs mon avis est différent sur le mail justement, ou je suis sur tutanota.
#41
Je pense que je suis sur la même position que toi, vu qu’en plus là on est sur du serveur zero-knowledge chiffré bout-en-bout, perso je ne me ferais pas trop de souci..!
J’aurais clairement moins confiance en moi-même pour entretenir un NAS.
#42
elle embarque le portail web officiel patché
oui pareil, j’utilise bitwarden depuis presque le début du projet et le serveur RS depuis 1 an environ, aucun souci, mises à jour réactives par rapport à la version officielle et apps officielles parfaitement compatibles.
#43
Merci pour cet article, j’utilise Dashlane, je déteste autant que j’aime cet outil, faut que je change
#44
A noter que le 2FA (exemple avec Yubikey OTP) devient totalement gratuit en passant par l’auto hébergement du serveur via le package (non officiel) bitwarden_rs.
#45
Pas d’auto-type. On est bien en 2021 ? C’est même demandé depuis 3 ans et l’équipe ne s’est jamais positionnée dessus. C’est absolument pas rassurant.
Bon, je vais continuer avec KeePass/KeePassXC en attendant une autre application de mot de passe qui fasse vraiment le taff :/
#46
Et pour ceux qui comme moi ont un «vieux» NAS Synology (DS213j) avec un processeur MARVELL, on fait comment pour faire un auto-hébergement?
#47
Le principal défaut de Bitwarden vs. LastPass, c’est l’impossibilité d’enregistrer des données saisies sur une page. Typiquement, sur la page de connexion de pas mal de banques, il faut taper son n° de client, sa date de naissance ou autre, cocher une case, etc. Bitwarden est incapable d’enregistrer tout ça, contrairement à LastPass qui peut mémoriser tous les champs renseignés dans une page, y compris les cases cochées. cette feature a été réclamée il y a au moins 2 ans sur les forums de Bitwarden, quelques officiels ont répondu “hey, intéressant”, mais toujours rien en vue. La solution de contournement consiste à utiliser une autre extension dédiée au remplissage de questionnaire (genre Web Developer Form Filler sur Firefox) mais ce n’est pas une pratique bien secure…
#47.1
Il y a la possibilité d’ajouter des champs manuellement, en bas d’un élément. C’est sûr qu’il faut se fouiller à la main le code pour connaitre le nom du champ, mais c’est faisable. Surtout, les banques ont tendance à avoir des champs cachés qui sont des répliques de champs visible, et c’est les cachées qui servent à authentification.
Aussi, dans ces champs supplémentaire, il y en a 1 appelé “boolean”, je ne l’ai jamais testé, mais je présume que ça permet de compléter une case à cocher (je ne voie pas trop son intérêt sinon).
.
.
Bien sûr, il te suffit d’ajouter un élément et de choisir le type qui correspond le mieux, entre “identifiant”, “carte de paiement”, “identité” ou “note sécurisé”, puis d’y mettre ce que tu veux stocker,
Typiquement, je me sers des notes sécurisées pour sauvegarder les passes phrases de mes archives chiffrées.
Idem question précédente. Avec l’appli android, il est possible de faire de l’auto-complétion de champ dans d’autre appli. Je pense que la version desktop fait de même sur Windows, pour ma part je n’en ai pas besoin, donc pas testé.
C’est en effet possible d’avoir plusieurs comptes pour un site, chacun dans un élément différent. Quand tu arrives sur le site (je parle pour l’extension web), tu as sur l’icône un numéro indiquant le nombre d’élément pour ce site, que tu peux sélectionner à ta guise.
Lors de l’utilisation du raccourci d’auto-complétion (sur navigateur web du moins) ““CTRL + SHIFT + L”, il prend en premier celui que tu as utilisé la dernière fois, puis à chaque nouveau raccourci il prend le suivant.
#47.2
Cool ! J’avais pas vu, c’est planqué tout en bas, exactement ce qu’il me fallait ! Et Bitwarden fonctionne mieux à mon sens que LastPass pour l’autofill. Et s’il n’autofill pas, suffit de faire Ctrl + Maj + L pour l’aider un peu. Pouce vert !
#48
Bon bah après quelques heures je me dévoue. J’ai installé un Docker pour bitwarden-rs et un autre pour Nginx. Tout fonctionne très bien quand je passe par mon nom de domaine.
Mais quand je veux passer par le réseau local… la connexion n’est pas chiffrée, du coup impossible d’accéder au coffre-fort de bitwarden.
Le soucis c’est que ma Livebox 3 ne gère pas le loopback, du coup impossible d’accéder à mon coffre en local à travers Nginx (qui force le passage par le port 443).
En somme l’auto-hébergement via bitwarden-rs c’est cuit pour ceux qui ont une Livebox 3 (sauf à installer un certificat en local mais énorme flemme).
Assez déçu.
NB : je veux pas éditer hosts sur chaque périphérique, il faudrait aussi pouvoir s’y connecter via iOS etc. La mise en place est vraiment trop contraignante là.
#48.1
Problème propre a ton hébergeur pour n’importe quelle solution auto-hébergée du coup, rien à voir avec bitwarden-rs.
Si tu as un container nginx qui fait l’offload ssl, tu as aussi les compétences pour mettre un serveur dns local. Tu mets le dhcp avec ce serveur dns en premier. Il fera proxy dns. Ensuite tu crées une zone dns sur ton dns bitwardenrs.toto.com avec un enregistrement qui pointe sur ton ip locale et tu contournes ton problème de loopback ;)
#48.2
Oui bien sur, c’est propre à Orange… qui n’est pas un petit opérateur. J’ai donc pensé que c’était utile de venir le préciser. En l’état c’est inutilisable avec une Livebox 3.
J’essaie effectivement de passer par le serveur dhcp de mon pihole pour contourner le problème.
#48.3
Si tu as déjà un PiHole, ça veut dire que tu peux personnaliser le DNS retourné par la Livebox pendant l’obtention d’adresse avec DHCP (Je ne sais pas si les Livebox le permettent, beaucoup de routeurs de FAI ne le permettent pas) ? Si c’est le cas, il suffirait que tu mettes une entrée correspondant à ton nom de domaine avec ton adresse locale dans la config de PiHole (je n’utilise pas PiHole, donc je ne sais pas comment tu peux le faire exactement).
C’est ce que je fais avec les serveurs dnsmasq sur mon réseau local pour taper sur mon instance NextCloud depuis mon réseau local sans utiliser le loopback:
Ça permet aussi de pouvoir taper sur mes machines locales en utilisant leur hostname sans avoir à personnaliser le /etc/hosts de toutes mes machines.
#48.4
Oui on peut modifier une liste de dns locaux dans pi hole et effectivement ça marche. Enfin ça marche de façon un peu aléatoire. Sur ma machine tout va bien, sur l’autre le SSL ne s’active pas (en tapant le même nom de domaine et en étant bien pris en charge par le pihole). Bref c’est un peu le bazar.
#48.5
Je me réponds à moi-même concernant ceux qui veulent auto-héberger avec une Livebox Play.
Fin !
Ca marche parfaitement.
#48.6
merci pour ce retour, j’ai un pi qui tourne avec un nextcloud, ça me titille d’y ajouter un pi-hole et pourquoi pas bitwarden du coup (j’ai zéro gestionnaire de mdp actuellement, donc je suis pas pressé de toute façon)
#48.7
Je précise qu’il faut un peu plus bidouiller si tu veux conserver l’usage du décodeur TV.
En gros laisser le dhcp de la Livebox ET celui du pi-hole mais sur deux plages d’IP différentes.
Si le décodeur récupère pas son IP avec le dhcp de la box il est pas content.
Y’a pas mal de topics sur le sujet sur le net.
#48.8
j’ai une mini 4k, donc pas de souci de loopback et moins de bidouillage de pi-hole pour compenser du coup :)
mais merci de la précision
#48.9
Question bête quel est l’intérêt d’un pi hole pour de l’auto hébergement chez orange ? j’ai un petit nextcloud qui tourne chez moi sans soucis
#48.10
En fait, tu ne peux accéder au coffre Bitwarden qu’en https. Et pour ça, il te faut générer un certificat (LetsEncrypt par exemple) pour un nom de domaine (Dyndns par exemple).
Au final tu es obligé de passer par ton nom de domaine pour accéder au coffre, et ce même depuis ton réseau local.
Or, la Livebox Play (et la 4 depuis une MAJ du firmware apparement) ne gère pas le loopback…
Grâce au Pi-hole et à son dhcp tu inscris dans un dns local que bitwardenperso.ddns.net doit pointer vers l’ip locale de ton coffre.
Exactement !
Par contre j’ai un peu galéré pour obtenir mon certificat LetsEncrypt … je suis loin d’être un spécialiste de la ligne de commande et l’obtention implique des tests vers ton domaine, notamment sur le port 80. Or je crois que j’ai fait n’importe quoi avec mon NAT et du coup j’avais un refus à chaque essai. Dans l’absolu c’est pas bien grave sauf que LetsEncrypt te met en file d’attente si tu fais trop de demandes rejetées… bref les soucis pullulent sur le sujet, pas spécifiquement pour Bitwarden d’ailleurs, mais pour tout ceux qui font de l’auto-hébergement et veulent un certificat…
Évidemment si tu t’y connais bien c’est pas un soucis et il y a de petits outils pour tester son nom de domaine comme Letsdebug par exemple mais j’ai bien, bien galéré.
Ultime étape maintenant, que je trouve comment faire des backups faciles et fiables de mon Pi. Je penche pour un clone de la SD de temps en temps en l’état.
#48.11
Oui j’ai un certificat(let’s Encrypt) et le port 80 fermé merci au module mod_md d’apache.
Et pour le loopback même problème avec la LB5 orange s’amuse a l’enlever et le remettre a chaque maj, sur les 8 mois depuis que j’ai la LB5 et la fibre j’ai du avoir à peine 2 mois avec le loopback.
J’ai résolu le problème de loopback avec un DNS AAAA (ipv6) vu qu’elle passe avant l’ipv4.
je me suis fait un script qui check en m’envoie un mail en cas de changement.
Oui l’ipv6 elle est pas censée être fixe chez orange mais j’ai la même depuis que j’ai la fibre (8 mois)
#48.13
Oui voilà tu peux l’inscrire en dur dans chaque périphérique mais j’ai trouvé que l’intérêt du pi-hole pour gérer le dhcp à la place de la maudite Livebox c’est d’avoir une solution un peu plus fluide pour les autres utilisateurs du foyer.
Un jour il va falloir investir dans un routeur digne de ce nom, le passer sous OpenWRT et arrêter de se casser la tête.
Pour que je comprenne bien, le port 80 bloqué t’as pas gêné au moment du http challenge de la création de ton certificat ?
#48.14
Mod-md permet de passer par le challenge “tls-alpn-01” il est en tls donc sur le 443 directement, plus besoin du port 80, mod md s’occupe aussi de créer et de renouveler les certificats de façon complètement autonome, plus besoin let’s encrypt / Certbot.
Après la mise en place pour mod md est peut être un peu plus compliqué et encore.
#48.15
Ok je comprends, c’est plus élégant mais ça a l’air un peu plus complexe
#48.12
Chez moi le loopback est revenu suite à la dernière mise à jour de la livebox 4 (firmware version 4.01.12).
J’espère qu’ils vont pas le re-casser trop vite
Sinon en solution d’attente j’avais mis l’adresse IP V6 de mon serveur dans le fichier host de windows. Ça allait en solution temporaire.
#49
Certains ont-ils testé Passbolt? Sinon c’est une idée pour un prochain article … 😉
C’est plus orienté entreprise et surtout une gestion d’équipe que je n’ai pas trouvé sur d’autres solutions. C’est aussi basé sur un code-source ouvert avec des fonctionnalités payantes pour les entreprises, possibilité d’auto-héberger…
#49.1
On l’utilise pour notre entreprise, j’en suis assez content, mais des fois je le trouve un peu lourdingue, je trouve que l’interface n’est pas des plus pratique.
Je dois avouer que j’aimerai bien savoir ce que des gens plus pointus en pense ;)
#49.2
J’avoue m’être aussi interrogé sur cette solution Luxembourgeoise… elle fait parler d’elle de temps en temps, semble avancer à des rythmes très irrégulier.
C’est la partie groupe de travail et partage qui m’y intéresse, mais il semble qu’ils aient encore pas mal de retard par rapport à un bitwarden (and co)
#50
Utilisateur de KeePass depuis de nombreuses années, j’ai quelques questions sur BitWarden (j’ai relu l’article sans trouver ces réponses, désolé si elles y sont, il se fait tard) :
Je me sers actuellement de KeePass pour de nombreuses applications (les launchers de jeux vidéos, veracrypt, client lourd mail, …), tout en auto-type avec un simple clic (macro) sur ma souris.
J’utilise les titres de fenêtres, URL et les tags, ça me permet d’éviter toute extension de navigateur et/ou KeePass qui devrait faire un pont entre KeePass et le navigateur ou l’application concernée.
Certes je dois synchroniser mon fichier mais ça me semble bien plus souple qu’une application qui pourrait rapidement devenir indisponible.
Cela ne doit pas être si compliqué car, après le premier paramétrage et quelques explications, ma femme s’en sert depuis 2 ans et n’a plus que des mots de passe à 20car aléatoires
#50.1
Alors…
oui
oui
je sais pas
Mais ça ne t’aidera pas, il n’y a pas d’auto-type, donc pour saisir les creds dans une app, c’est à coup de copier/coller, avec les risques sécu que ça pose… même pas de raccourci pour saisir depuis l’application.
https://community.bitwarden.com/t/auto-type-autofill-for-logging-into-other-desktop-apps/158
Mars 2018, aucune activité de l’équipe. Bad smell…
Même l’équipe de KeePassXC est plus réactive pour répondre, et pourtant dans le genre je fais dans mon coin et si j’ai pas envie je prends même pas la peine de répondre, ce sont des cadors.
#51
Une alternative pas mal c’est nextcloud password, intégrée à nextcloud. Ça s’auto héberge bien, on doit aussi pouvoir trouver des instances de nextcloud publique qui le propose
#52
Tu as essayé Nextcloud Password comme suggère @fyah ?
Perso, je ne l’ai pas fait mais je suis très satisfait de Keepass dont j’ai le fichier de mots de passe partagé sur mon NC et la clé sur chacun des appareils que j’utilise.
#52.1
non j’ai pas essayé du tout (je suis encore en période d’apprivoisement de nextcloud qui me sert “juste de nas” en fait, je suis pas forcément chaud pour mettre pour mes oeufs dans le même panier (nextcloud ici en l’occurrence) et j’ai un peu de mal sur le principe de “logiciel qui fait tout”
en prime je suis pas encore sûr que si j’installe un pi-hole il soit sur le même pi que nextcloud (je me méfie de moi-même sur ma maîtrise des choses, je suis vaguement en train de regrouper sur un dd ce que j’ai déjà balancé sur NC depuis mes disques en bazars, pour ensuite dé-doublonner et avoir un stockage propre sur NC ET en externe sur un dd usb “froid”, comme ça même si un jour je plante totalement NC j’ai mon backup :) )
#52.2
En fait la solution d’avoir son fichier keepass partagé par nextcloud me parait la plus simple et par ailleurs la plus robuste. Si d’aventure mon nexcloud est inaccessible ou s’il est détruit (ainsi que ses sauvegardes), la seule conséquence serait que si je modifie ou crée un nouveau mot de passe, il ne sera pas diffusé à mes autres équipements.
Avec des solutions comme bitwarden, quand le serveur est KO, je pense que tu es marron.
#53
ça veut dire concrètement d’inscrire un dns local avec votre nom de domaine dirigeant vers le coffre bitwarden ?
#54
À propos de LastPass
#55
J’utilise rpi-clone et il fait bien le job.
https://github.com/billw2/rpi-clone
#55.1
Oui je pense que c’est la meilleure solution. Concrètement t’as une deuxième SD branchée en permanence et t’as mis en place une tâche récurrente ou tu te notes juste d’avoir à le faire de temps en temps ?
#55.2
C’est une clé que je branche lors d’un besoin. Pi-hole, une fois configuré, il vit sa vie. Là, j’ai fait un backup car je fais joujou avec lui et le routeur. Je teste NextDNS comme serveur DNS primaire.
#56
J’ai un souci avec Bitwarden, hébergé sur mon NAS.
J’ai activé la double authentification et ca marche bien, mais uniquement depuis les navigateurs.
Depuis, impossible d’accéder à mes mots de passe depuis l’appli IOS par exemple.
Je vois la liste des mots de passe mais tous les champs sont ‘vides’.
On dirait que l’appli n’a pas l’info que la double authentification a été activée coté serveur.
Un idée ? Merci.
#57
Bon je m’auto-réponds et j’espère que ça pourra en aider d’autres…
En fait j’avais le déverrouillage de l’appli par TouchID d’activé.
Et depuis que j’avais mis en place la double authentification, je ne m’étais pas déconnecté puis reconnecté, donc je n’avais pas ressaisi mon mot de passe maître.
Tout simplement …
Bonn journée à tous.
#58
doublon à supprimer
#59
Bon bin merci pour cet article détaillé !
Je vais tester pour éventuellement remplacer 1password que j’utilise toujours après l’avoir achetée “à vie”
#60
Ce n’est pas forcément utile avec Bitwarden ; mais de mon coté pour l’accès à des sites hébergés en local, j’utilise une OPNsense derrière une Mini 4K en mode bridge.
Avec les plugins (sur l’OPNsense) Let’s Encrypt (pour les certificats) et HA-Proxy pour les différents services hébergés.
En interne j’ai un override DNS (*.domain.tld) qui pointe sur mon OPNSense pour accéder aux sites en https depuis l’intérieur de mon réseau local.
Et pour accéder aux machines sans passé par l’OPNsense c’est hostname.local.domain.tld
C’est un résultat super satisfaisant et une fois configuré ça tourne tout seul, les certificats se mettent à jour tout seul (vu que tout ce passe au niveau de l’OPNsense).
Il faut néanmoins faire un peu de surveillance pour la sécurité mais sinon…
#61
Faites un peu de pub à KeeWeb, s’il vous plaît.
2FA et pièces jointes disponibles gratuitement sans auto-hébergement car l’application est 100% front-end.