Avec la récente décision de LastPass de réserver la synchronisation fixe/mobile aux abonnés Premium, la pression s’accentue sur BitWarden, dernier service d’ampleur à la fournir gratuitement. Mais que vaut ce fameux gestionnaire de mots de passe, connu notamment pour son code open source ?
Depuis notre série d’articles sur les gestionnaires de mots de passe, le paysage a légèrement évolué. Les acteurs présents se sont améliorés et renforcés, tandis que d’autres sont entrés discrètement, mais sûrement.
C'est notamment le cas de Google et Microsoft à travers leurs navigateurs Chrome et Edge qui savent désormais générer des mots de passe forts, leur synchronisation étant présente depuis longtemps. Microsoft a même modifié son Authenticator pour Android et iOS afin qu’il puisse synchroniser les données sur les smartphones et tablettes.
BitWarden est arrivé bien après des acteurs confortablement installés comme 1Password (surtout utilisé dans l’univers Apple), les Français de Dashlane et surtout LastPass. Ce dernier avait jusqu’à récemment un argument choc : la synchronisation gratuite entre les ordinateurs et appareils mobiles. Elle vient d'être réduite.
Pour comprendre la problématique et la mise en lumière soudaine de BitWarden, il faut rappeler quelques bases.
Notre dossier sur la gestion des mots de passe :
- Choisir un bon mot de passe : les règles à connaître, les pièges à éviter
- 1Password : un gestionnaire de mots de passe sorti de la sphère Mac
- KeePass : plongée dans un gestionnaire de mots de passe puissant, mais plus exigeant
- Dashlane : le gestionnaire de mots de passe qui veut séduire par son ergonomie
- LastPass : analyse d’un gestionnaire de mots de passe qui joue l’ubiquité
- Mots de passe : on vous aide à choisir le gestionnaire qu'il vous faut
L’énorme intérêt des gestionnaires
Commençons par un fondamental : qu’est-ce qu’un gestionnaire de mots de passe ? Une application, une extension et plus généralement tout service proposant de générer des mots forts et aléatoires, de les enregistrer, d’en préremplir les formulaires de connexion et de les synchroniser entre les appareils.
Ils répondent efficacement aux trois grands principes de la sécurité des mots de passe lors de leur conception :
- Utiliser tous les types de caractères : minuscules, majuscules, chiffres et caractères spéciaux
- Créer des mots de passe aussi complexes que possible
- Un seul mot de passe par site/service
Le troisième est le plus important. L’identifiant a en effet tendance à être souvent le même, l’internaute utilisant son adresse électronique. Si vous utilisez le même mot de passe sur tous les sites, il suffira à des pirates d’attaquer le plus faible pour récupérer ces informations et les utiliser ailleurs. C’est encore plus facile quand le mot de passe est court et non aléatoire. Sur les services « critiques » il est aussi conseillé d'activer la double authentification.
Un bon gestionnaire détecte souvent les mots de passe faibles et utilisés plusieurs fois. Il propose alors d’en changer, et on peut d’ailleurs se piquer d’une petite frénésie à le faire partout. Au bout du processus, on aboutit à ce que l’on désirait : des mots de passe uniques, aléatoires et longs.
Les chaines de 20, 30 ou 40 caractères ne sont pas un problème sur ordinateur, puisque le gestionnaire – souvent via une extension de navigateur – va remplir automatiquement les champs d’authentification sur les pages visitées. Seulement voilà, s’il ne propose pas gratuitement de synchronisation sur les appareils mobiles et que vous ne payez pas l’abonnement, vous allez vous retrouver à devoir saisir manuellement de longues chaines de caractères aléatoires. Une opération si fastidieuse qu’elle sera vite abandonnée.
Pendant longtemps, LastPass a été le seul gros gestionnaire à proposer cette synchronisation gratuite. BitWarden est arrivé après coup avec le même argument, mais les utilisateurs habitués à un gestionnaire préfèrent le plus souvent garder leurs habitudes. La donne pourrait néanmoins changer puisque LastPass vient d'annoncer qu’il faudrait choisir en mars : une synchronisation entre tous les ordinateurs ou entre tous les appareils mobiles. Pour faire le lien entre les deux univers, il faudra un abonnement Premium (34,80 euros par an).
BitWarden est ainsi le dernier « gros » à fournir gratuitement cette synchronisation. Mais que vaut-il en pratique ?
Présentation générale, interface et ergonomie
Sa prise en main ressemble à la plupart des autres services. Pas d’application ici, on commence simplement par se rendre sur le site officiel ou on installe directement l’extension pour son navigateur. Elle existe pour Chrome (et l’ensemble des dérivés de Chromium comme Edge et Opera) et Firefox.
Dès qu’une nouvelle installation est détectée, BitWarden ouvre une page dans laquelle on peut se connecter ou s’inscrire. Dommage, alors même que l’extension et la partie réservée à l’inscription à gauche sont en français, la zone de droite consacrée à la présentation du service est en anglais. Un mauvais point pour ceux que la langue de Shakespeare rebute ou qui estiment ne pas avoir le niveau.
Étape cruciale, on doit créer un mot de passe maitre, censément le dernier que l’on devra retenir puisque tous les prochains seront gérés par BitWarden. Ce mot de passe devant protéger tous les autres, son élaboration doit être faite avec soin. Respectez les consignes autant que possible : vous devez être capable de le retenir, mais il doit être long et comporter les quatre types de caractères. À cause de la façon dont BitWarden fonctionne, il sera impossible de récupérer vos données en cas de perte de ce mot de passe.
Une fois le compte créé, BitWarden propose d’ajouter un ou plusieurs éléments. On peut donc soit créer des fiches vierges, soit importer des éléments. Pour cette deuxième option, la procédure est plus ou moins la même pour tous : on commence par exporter les données depuis Chrome, Firefox, 1Password ou LastPass, puis on importe le fichier dans BitWarden. Tous les navigateurs et gestionnaires de mots de passe ont une telle fonction d’exportation. BitWarden fournit d’ailleurs la marche à suivre pour plusieurs, mais là encore en anglais.
Après quoi, on se rend dans « Mon coffre » (Web vault) puis dans Outils (barre bleue en haut), et on clique enfin sur Importer des données. Là, on sélectionne le fichier (le plus souvent au format CSV), on choisit la source de l’importation et on valide. Après un court moment, on obtient la liste des mots de passe importés et le service prévient par un message vert en haut à droite que l’import s’est bien passé.
BitWarden sait reconnaitre les structures particulières quand elles existent, notamment celles de LastPass. Si vous avez créé des dossiers pour classer vos identifiants ou placé certains en favoris, ils seront affichés tels quels. Même chose pour les données autres, telles que les cartes de paiement et notes sécurisées.
BitWarden affiche les sites sous forme de liste, et uniquement de cette manière. Pas d’affichage grille donc. Il suffit de cliquer sur l’un d’entre eux pour en afficher les détails. On y retrouve le nom, l’adresse de la page, le nom d’utilisateur, le mot de passe, la clé TOTP (si besoin), le mode de détection du domaine (à ne changer que quand le service a du mal à reconnaitre les champs d’authentification) et la note personnelle.
On peut ajouter autant d’autres champs que l’on souhaite. Notez que les mots s'affichent toujours comme une suite de six points, qui ne reflète donc pas la longueur réelle. Dès que des éléments sont présents dans le coffre, qu’ils aient été importés ou créés, ils sont synchronisés avec le compte. À partir de là, on peut installer BitWarden dans d’autres navigateurs, ordinateurs et appareils mobiles.
Nous reviendrons plus spécifiquement sur ces derniers plus tard dans notre article.
Création des mots de passe
Entrons un peu plus dans le vif du sujet et penchons-nous sur l’une des fonctions phares des gestionnaires : la création des mots de passe. On attend d’un tel service qu’il sache fournir très rapidement un mot de passe complexes et aléatoire. BitWarden, comme la plupart des produits concurrents, joue par défaut la carte de la compatibilité. Lorsque l’on clique sur l’icône de l’extension et que l’on se rend dans Générateur, les réglages de base sont un peu « mous » : une longueur de 14 caractères, dont aucun spécial.
On peut heureusement changer ces réglages, cocher la case qui manquait et jouer avec la réglette pour augmenter la taille. Nous vous conseillons toujours d’adopter la plus grande longueur possible acceptée par le service auquel vous souhaitez vous inscrire, même si beaucoup ne précisent pas cette information. Il existe malheureusement encore de nombreux sites n’acceptant que 12 ou 16 caractères de longueur et rejetant les caractères spéciaux.
BitWarden propose également d'opter pour des phrases de passe. Par défaut, il fournira trois mots aléatoires sortis du dictionnaire et séparés par des tirets. On peut augmenter le nombre de mots, activer la majuscule pour chaque mot et ajouter un chiffre qui viendra se loger aléatoirement à la fin de l’un des mots.
Mots ou phrases de passe, il en ira des goûts de chacun. Les phrases ont l’avantage de pouvoir être plus facilement retenues, mais cet avantage n’est que relatif : en matière de sécurité, la facilité n’est pas un argument. Reste qu’une phrase de plusieurs mots est une protection efficace par sa longueur. Mais une séquence aléatoire de plusieurs dizaines de caractères le sera toujours davantage.
Sécurité et gestion des mots de passe
Voici l’un des points critiques des gestionnaires de mots de passe : quelle est la sécurité des données confiées à BitWarden ? Dans ce domaine, l’éditeur s’est fait fort d’être aussi transparents que possible. Le chiffrement local est en AES-CBC 256 bits, et les communications avec les serveurs de l’entreprise sont chiffrées de bout en bout. Le mot de passe du compte sert à générer la clé de chiffrement, hachée avec PBKDF2 SHA-256.
Le service fonctionne sur un mode « zero knowledge », signifiant que BitWarden n’a aucune visibilité sur les données stockées dans le compte ni ne possède la clé qui permettrait d’y accéder. Comme nous le disions plus tôt, il y a potentiellement une conséquence fâcheuse : en cas de perte du mot de passe, il n’existe aucune procédure capable de restaurer vos données. Ce risque est le même pour tous les gestionnaires utilisant une solution chiffrée de bout en bout, comme LastPass.
À la manière de ce que propose Signal (et dans une moindre mesure WhatsApp), BitWarden fournit aux utilisateurs une « fingerprint phrase » composée de cinq mots liés par des tirets, du type « alligator-transfer-laziness-macaroni-blue ». Vous la trouverez dans les paramètres du compte, depuis le Coffre, l’extension ou l’application mobile. Elle est à conserver précieusement car BitWarden peut vous demander, selon la fonction utilisée, de la comparer avec le résultat à l’écran. Ce sera le cas si vous activez par exemple le déverrouillage biométrique sur l’application mobile.
La procédure affichera ce que BitWarden pense être la bonne phrase. À vous de la confirmer si c'est le cas ou non pour assurer que le processus n’a pas été compromis. Même chose dans le cas où vous créez un groupe (organisation) et que vous y ajoutez un utilisateur : il faudra vérifier avec lui que le code affiché est bien le sien.
BitWarden est surtout connu pour son code open source, disponible sur GitHub. Et contrairement à des services comme Telegram, il ne s’agit pas que des clients, extensions et applications : le code source du serveur est lui aussi ouvert. La licence n’est pas toujours la même : GPLv3, AGPLv3 (Affero) ou Bitwarden License 1.0. Cette dernière ne peut pas être considérée comme véritablement open source, puisqu’elle donne l’autorisation d’accès, mais sa réutilisation est soumise à conditions et surtout à paiement. Cela étant, la BLv1 ne s’applique qu’à deux éléments, le portail professionnel et l’intégration SSO (Single Sign-On), utile uniquement en entreprise.
Le stockage des données en fera tiquer certains : tout est aux États-Unis dans Azure, l’offre cloud de Microsoft. Bitwarden précise qu'il ne s'agit que d’infrastructure, mais les lois américaines étant ce qu’elles sont, les personnes à la recherche d’un respect absolu de la vie privée bouderont le produit… ou hébergeront leur propre serveur.
BitWarden permet en effet d’installer une instance sur sa propre machine, une longue page décrivant le processus dans sa documentation. On y trouve toutes les étapes de configuration, dont les instructions liées à Docker, puisque les composants se présentent sous forme de conteneurs logiciels.
Les fonctions liées à l’offre Premium côté client (nous y reviendrons) réclameront un fichier de licence, récupérable depuis le Coffre (Paramètres > Abonnement Premium > Télécharger la licence). Le même abonnement débloque les fonctions pour les clients et l’instance personnelle du serveur. L’hébergement de cette dernière est à la discrétion des clients et peut être effectuée sur un hôte sous Linux ou Windows.
L’authentification à deux facteurs (2FA) est également présente, mais en deux tronçons. Le seul disponible dans la version gratuite propose la réception d’un code par email (à éviter) ou en passant par une application d’authentification du type Google/LastPass/Microsoft Authenticator. Elles ont à peu près toutes les mêmes fonctionnalités. Au vu du caractère critique des données stockées dans le compte, on ne saurait que trop vous conseiller de l’activer (comme dans tous les services où c’est possible) dès que possible.
Notez qu’à l’activation de la 2FA, BitWarden fournit un code de récupération pour le cas où le deuxième facteur deviendrait inaccessible. Enfin, et c’est un point important, la sécurité du service a été auditée à deux reprises : en 2018 par Cure53, puis en 2020 par Insight Risk Consulting, des sociétés spécialisées indépendantes.
Dans les billets de blog consacrés à ces audits, BitWarden affirme qu’aucun problème majeur n’a été détecté, et que tous les soucis pointés ont été rapidement corrigés. Un rapport est disponible pour chaque audit. Notez que dans le deuxième audit, il était surtout question de tests de pénétration, donc de résilience aux attaques.
Partage et organisations
BitWarden propose des fonctions assez classiques dans ces domaines. Dans les paramètres du compte, on peut ainsi définir une ou plusieurs organisations, qui serviront à partager tout ou partie des mots de passe.
Les organisations n’ont rien à voir avec des entreprises, il s’agit simplement du mot choisi par BitWarden. Pensez-y comme à des groupes, puisque leur fonctionnement est exactement celui-là. On y invite des contacts, à qui l’on confie ensuite certaines données. Très utile notamment dans le cas où plusieurs personnes auraient à se partager le même compte. Ce n’est jamais recommandé, mais il n’y a parfois pas le choix.
Autre fonction très classique également, la définition d’un ou plusieurs contacts d’urgence. Ces personnes – en qui il faudra bien sûr avoir toute confiance – pourront accéder à l’intégralité des mots de passe en cas de problème. Selon les autorisations, elles pourront seulement les voir ou prendre le contrôle du Coffre, avec redéfinition d’un mot de passe maitre. Ces accès ne sont pas silencieux : elles génèrent une notification par email pour le possesseur du compte, qui devra accepter la connexion.
BitWarden fait une différence entre contacts d’urgence et contacts de confiance. Les premiers se déclarent simplement avec une adresse email de contact, tandis que les seconds sont des utilisateurs de BitWarden. Auquel cas les demandes d’accès et notifications se gèrent directement par l’extension ou l’application.
Applications mobiles… et desktop !
Il n’y aura pas grand-chose à dire sur les applications mobiles. Et pour cause : qu’il s’agisse de la version Android ou iOS, les fonctionnalités sont strictement les mêmes que dans les extensions.
On retrouve ses identifiants, la capacité de les voir et les modifier, la génération de nouveaux mots de passe avec les mêmes critères, et ainsi de suite. Il manque seulement la capacité de souscrire à une offre Premium, que l’on ne pourra faire que depuis la version web.
Notez que plusieurs fonctions comme l'import renverront vers des fiches d’aide, car peu pratiques à réaliser depuis un smartphone (ou une tablette). Curieusement, l’export du Coffre sous forme de fichier JSON reste accessible.
BitWarden propose également des fonctions classiques comme la prise en charge des mesures biométriques. On pourra donc déverrouiller la session avec un doigt ou son visage, ce qui apparaitra vite nécessaire. Il n’y a en effet pas d’option pour retenir le mot de passe. La session se verrouillant au bout de 15 minutes par défaut, réécrire régulièrement un mot de passe complexe peut vite devenir fastidieux.
Les applications mobiles sont surtout là pour assurer la liaison entre le service et le remplissage automatique des champs d’authentification, que ce soit dans les navigateurs ou autres applications. Dans Android comme dans iOS, il faudra donc déclarer BitWarden comme source de mots de passe dans les paramètres.
Signalons aussi que l’éditeur propose des applications desktop (Linux, macOS, Windows), relativement récentes. Nous avons cependant un peu de mal à comprendre ce qu’elles apportent en l’état, même si elles permettent de se passer de navigateur et intègrent le processus d’inscription.
Il s’agit cependant d’applications Electron, reprenant justement la version web… sans toutes les fonctions. Elle renverra par exemple au site pour activer l’authentification 2FA, et n’intègre pas non plus les rapports de sécurité pour les comptes Premium. Les extensions ont le mérite d’être disponibles partout et d’être bien plus légères, tout en renvoyant vers la version web si besoin.
Notons enfin que BitWarden propose un client en ligne de commande. Clairement conçue pour les administrateurs en entreprise, elle permet d’accéder à la totalité des fonctions et une intégration aux systèmes de gestion d’identité en place. Cette version CLI autorise également des manipulations comme la personnalisation de l’interface.
Mais alors, pourquoi payer ?
La question mérite en effet d’être posée : puisque BitWarden fournit dans sa formule gratuite la synchronisation des données entre ordinateurs et appareils mobiles, pourquoi payer ?
La réponse se trouve – comme toujours – dans les besoins… ainsi que dans une « pingrerie » de BitWarden. Nous manions le mot avec des guillemets car la formule gratuite est peu contraignante. En plus de la synchronisation si désirée, on peut partager ses mots de passe avec deux autres utilisateurs et créer deux coffres pour leur stockage.
La formule Premium va évidemment plus loin. Elle ajoute 1 Go de stockage chiffré pour les fichiers (le stockage des mots de passe n’est soumis à aucune limite), peut générer un code de vérification 2FA pour les identifiants du coffre et inclut un support client prioritaire. Elle propose surtout des rapports sur l’hygiène des mots de passe et des comptes. BitWarden prévient donc quand les mots de passe sont faibles ou dupliqués, qu’un site pour lequel on possède un compte a été attaqué, qu’une fuite peut avoir impliqué des identifiants, etc.
L’abonnement déverrouille également l’authentification 2FA par des moyens complémentaires. C’est le cas pour les clés de sécurité USB de Yubiko et plus globalement de tous les modèles compatibles avec la norme FIDO U2F.
Contrairement aux concurrents, nous recommandons ici l’abonnement pour trois raisons. D’une part, les capacités supplémentaires d’authentification 2FA sont un réel apport de sécurité. D’autre part, le tarif de l’abonnement pour un particulier est particulièrement léger : 10 dollars par an. Enfin – et surtout – les rapports de sécurité sont un vrai bon point, puisque l’utilisateur bénéficiera de vues de synthèse lui expliquant ce qui cloche avec ses identifiants.
Une formule famille est proposée pour 40 dollars par an. Elle prend en charge six personnes, chacune ayant son espace de 1 Go, auquel s'ajoute un espace partagé, également de 1 Go.
Conclusion
Difficile de ne pas recommander BitWarden si c’est le type de solution que vous cherchez, à savoir un service synchronisé pour l’ensemble des ordinateurs, appareils et navigateurs. Il a le même degré d’ubiquité que LastPass, ce qui en fait un concurrent redoutable. Son attitude face à la synchronisation sans restriction en faisait déjà une bonne recommandation pratique. Son code open source et ses audits complètent le tableau.
La possibilité de créer sa propre instance de serveur est aussi un atout indéniable. Mais s’il n’y a rien à redire sur le fonctionnement technique et la plupart des capacités de BitWarden, tout n’est pas rose pour autant.
En l’état, il peut rebuter les moins connaisseurs dans le grand public. Par exemple, si l’interface de l’extension ou du Coffre est en français, l’immense majorité des aides sont en anglais. C’est d’autant plus un problème qu’aucun support n’est fourni avec la version gratuite, et que l’abonnement ne déverrouille qu’un soutien par email. Pas de discussion en ligne ni téléphone. Le support n’est pas non plus de type 24/7.
On aurait également aimé que certaines fonctions assez standards soient présentes, dont celle permettant de lancer directement une procédure de changement de mot de passe pour un service donné. C’était par exemple une spécialité de Dashlane, mais elle a depuis fait des émules, sauf chez BitWarden.
Toute aussi regrettable, l’absence de remplissage automatique de formulaires avec des informations courantes comme le nom, l’adresse, le numéro de téléphone, l’adresse email, etc.
L’interface est en outre un peu vieillotte et manque parfois de souplesse. Le Coffre permet par exemple de trier ses identifiants dans des dossiers. Il aurait été bien pratique de pouvoir simplement glisser/déposer un élément dans un dossier à gauche. Mais BitWarden ne propose que des cases à cocher et un menu en haut pour sélectionner « Déplacer les éléments ». Si on ne veut en déplacer qu’un ou deux, la manipulation est lourde.
Mais en dépit de ces défauts, BitWarden est une solution efficace. Même si une couche supplémentaire de travail pour le rendre plus accessible au grand public serait la bienvenue, l’essentiel des fonctions est là, l'outil est très bon dans ce qu’il fait, sa sécurité solide. Aucune fuite de données n’a encore été déplorée chez l’éditeur. Et s’il a moins de fonctions que certains concurrents comme Dashlane et surtout LastPass, il est aussi nettement plus accessible.
Attention tout de même : BitWarden est le dernier acteur important à proposer la synchronisation gratuite entre tous les appareils, sans même une limite sur leur nombre. Il est probable qu’une partie des utilisateurs de LastPass ait changé de crèmerie en conséquence. Mais l’éditeur pourrait un jour choisir d’appliquer la même recette et de relever ses tarifs par la même occasion. Pour des données aussi critiques que les mots de passe, mieux vaut donc avoir un coup d’avance et se préparer une voie d’issue.
