Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Bitwarden – Le gestionnaire de mots de passe à héberger vous-même

Bitwarden est un gestionnaire de mot de passe open source très complet qui se veut simple à installer pour les débutants avec une version service en ligne (SaaS), mais également accessible aux aficionados de l’auto hébergement avec un code source libre à installer sur n’importe quel serveur.

Le principe d’un gestionnaire de mot de passe est de stocker l’ensemble de vos mots de passe, mais également de vos numéros de CB, vos coordonnées…etc., etc. Bref, tout ce qui constitue vos données personnelles et que vous voulez sécuriser à moindres frais. Toutes ces données sont alors verrouillées par un mot de passe principal qui est le seul que vous aurez à retenir.

Le reste des mots de passe contenus dans Bitwarden auront été générés par le gestionnaire lui-même. En tout cas, c’est ce qu’il est fortement recommandé de faire.

Les fonctionnalités de Bitwarden

Bitwarden est donc accessible à tous gratuitement simplement en vous créant un compte sur leur site. Vos mots de passe seront alors stockés sur leurs serveurs, mais ne rassurez-vous, comme Bitwarden fonctionne sur un principe de chiffrement de bout en bout, personne à part vous, ne pourra accéder à votre gestionnaire de mots de passe. Oui, oui, personne, pas même les administrateurs de Bitwarden. C’est pourquoi vous devez choisir un mot de passe principal suffisamment sécurisé (optez pour la fameuse phrase de passe) et surtout le retenir dans votre petite tête.

La sécurité de vos données

Le service en ligne Bitwarden permet d’accéder à vos données personnelles et mots de passe depuis n’importe où, soit via leur site web, soit via les applications mobiles. Pour ceux qui se poseraient la question, le conteneur de vos mots de passe est chiffré en AES 256 bits (de bout en bout) avec du salage de hash et une fonction de dérivation de clé PBKDF2.

Les serveurs de Bitwarden sont localisés dans le cloud de Microsoft Azure, toutes les communications entre votre ordinateur et leurs serveurs sont chiffrés (end to end) et comme le code serveur est open source, il a été audité pour s’assurer que tout est OK en matière de sécurité. Et ils ont même un programme de Bug Bounty.

Vous l’aurez compris, si Bitwarden se fait pirater de fond en comble, il ne se passera rien puisque vos mots de passe sont chiffrés en mode costaud et déchiffrables uniquement par vous seul. Techniquement toutes les informations personnelles que vous confiez à Bitwarden seront chiffrées à l’exception des données utiles au service comme votre nom, votre email, les infos de facturation (si vous prenez l’option payante).

Le reste, que ce soit vos logins et mots de passe, vos informations bancaires, vos informations personnelles diverses et variées ainsi que vos notes personnelles ou les pièces jointes seront chiffrés.

L’offre payante & gratuite

Bitwarden est donc gratuit et ensuite, pour plus d’utilisateurs ils ont une offre payante qui démarre à partir de 10$ par an pour 1GB de stockage de fichiers, la double authentification avec Yubikey, U2F et Duo, le stockage d’authentification TOTP et bien sûr du support technique.

Et pour les entreprises c’est un peu le même délire avec des options payantes qui démarrent à partir de 5$ par mois.

Au niveau des fonctionnalités, Bitwarden propose donc du stockage de mots de passe, mais également de la génération de mots de passe, de la double authentification (2FA), et bien sûr tout ce qu’il faut pour importer et exporter vos mots de passe à partir ou vers d’autres outils comme l’excellent gestionnaire Keepass, 1password Lastpass, Dashlane, Firefox, Chrome…etc. (en gros tous les outils qui stockent des mots de passe)

Les extensions pour navigateurs

L’un des avantages de Bitwarden c’est qu’il est fourni avec un paquet d’extensions pour vos navigateurs ce qui permet à le fois de remplir automatiquement les champs de connexion ou les formulaires sur vos sites préférés, mais également de générer et de remplir un champ password avec un nouveau mot de passe unique et de l’enregistrer immédiatement dans votre coffre-fort Bitwarden.

Bitwarden est donc disponible pour Chrome, Edge, Brave, Vivaldi, Safari, Opera, Firefox et également Tor Browser.

Les applications mobiles Bitwarden

Évidemment, quand on a un gestionnaire de mots de passe, c’est pratique de pouvoir y accéder à tout moment. C’est pourquoi une application mobile est la solution toute trouvée pour garder votre coffre-fort de mots de passe dans la poche. Bitwarden est donc disponible sous iOS pour les iPhones et iPad et sous Android.

Bitwarden en ligne de commande

Des clients Bitwarden sont également disponibles en CLI (Command Line Interface), donc en ligne de commande sous Windows, macOS, Linux, mais également installable via npm, homebrew, snap, chocolatey. Pratique pour ceux qui ne jurent que par le terminal.

Et quand on n’a accès à rien de tout ça ?

Et bien il est possible d’accèder à votre coffre-fort de mots de passe directement via le site web de Bitwarden.

Et le serveur Bitwarden ?

Alors vous l’aurez compris, Bitwarden est utilisable comme tel en passant par leurs services en SaaS, mais si vous voulez garder la maîtrise de A à Z de vos données personnelles, vous pouvez également déployer la partie serveur sur votre propre machine (serveur ou NAS).

Oui, car Bitwarden est un logiciel open source dont le code du serveur, mais également celui des applications clients (web, desktop, mobile, navigateurs) se trouve sur Github.

Déployer Bitwarden avec Docker

Pour déployer Bitwarden sur votre serveur, vous pouvez le faire très simplement à l’aide de Docker comme ceci sur un serveur Linux ou NAS. Prévoyez minimum 25 GB de stockage et 4 GB de RAM, mais également d’ouvrir les ports 80 et 443 (ou de les changer dans la config), de configurer vos DNS pour qu’un domaine ou sous-domaine pointe sur l’IP du serveur et n’oubliiez pas d’installer Docker et Docker Compose.

Notez qu’il vous faudra également un ID et une clé Bitwarden que vous pourrez récupérer ici.

Ensuite, lancez les lignes de commande suivantes pour procéder à l’installation :

curl -Lso bitwarden.sh https://go.btwrdn.co/bw-sh 
    && chmod +x bitwarden.sh
./bitwarden.sh install
./bitwarden.sh start

Vous pourrez alors modifier le fichier de config en vous accordant avec la documentation

./bwdata/env/global.override.env

Puis relancez le process à l’aide de cette commande pour appliquer et tester vos modifs.

./bitwarden.sh restart

Déployer Bitwarden de manière traditionnelle

C’est-à-dire sans Docker. On récupère le script d’install et on le rend exécutable.

curl -Lso bitwarden.sh https://go.btwrdn.co/bw-sh 
    && chmod +x bitwarden.sh

Puis on l’installe :

./bitwarden.sh install

Pour le reste de la mission, c’est par ici qu’il faudra aller pour avoir une jolie documentation.

Implémentation en RUST de Bitwarden

Bitwarden est réputé pour être un petit peu lourdingue notamment sur les machines un peu ancienne. Heureusement, un développeur indépendant du nom de Dani Garcia a totalement réécrit la partie serveur de Bitwarden en Rust.

Il appelle donc l’API du service Bitwarden avec toutes les fonctionnalités de base gratuits mais propose également l’équivalent des options payantes de Bitwarden qu’il a codé lui-même et proposé gratuitement. Par exemple le support 2FA / U2F, les pièces jointes, le support Yubikey…etc etc.

L’installation de Bitwarden_rs se fait simplement avec Docker :

docker pull bitwardenrs/server:latest
docker run -d --name bitwarden -v /bw-data/:/data/ -p 80:80 bitwardenrs/server:latest

Et si vous avez besoin d’un peu de doc sur cette implémentation en Rust de Bitwarden, il y a un super wiki qui vous dira tout sur tout.


D’autres gestionnaires de mots de passe open source :


Surfshark : dévorez le Black Friday à pleines dents [bon plan]

— Article en partenariat avec Surfshark —

Aujourd’hui je vous partage un très bon plan à l’occasion du Black Friday qui arrive sous peu. En effet le fournisseur de VPN Surfshark s’est fendu d’une offre défiant pas mal de concurrents avec une réduction de 83% + 3 mois offerts. Vous payerez donc moins de 2.3€/mois durant 27 mois, TVA incluse, imbattable (ou pas loin) ! L’offre est temporaire donc pour sécuriser votre surf à moindres frais ne tardez pas !

Faisons un petit tour de l’outil pour les petits nouveaux qui ne connaissent pas encore Surfshark. Il s’agit tout simplement de l’un des VPN les plus solides du marché à l’heure actuelle. Pas forcément celui qui vient à l’esprit tout de suite, mais un outsider aux dents aiguisées qui commence à faire parler de lui en bien, et cela autant pour ses fonctionnalités que sa fiabilité.

Interface Surfshark

Le débit en download comme en upload est dans la moyenne des autres gros VPN du marché, ce qui vous permettra de streamer vos catalogues Netflix sans trop de soucis.

Surfshark possède actuellement autour des 3200 serveurs répartit dans 65 pays, chacun disposant de DNS privé et adapté au P2P. C’est moins que d’autres services établis depuis des années, mais la liste s’allonge plutôt vite (plus de 1000 ajouts rien que sur l’année en cours). À ce rythme il n’y aura plus de différence très bientôt.

Par défaut le protocole utilisé sera IKEv2/IPsec (que vous pouvez le modifier pour OpenVPN ou WireGuard si vous préférez). Niveau petit plus il propose également une fonctionnalité, nommée MultiHop, qui permet de se connecter via plusieurs pays afin d’augmenter la confidentialité et la sécurité. Il s’agit d’une option de double VPN, ce qui se ressentira forcément un peu sur la vitesse de connexion.

Surfshark IKEv2/IPsec

Je pourrai encore citer le bouton Kill Switch, le mode camouflage (qui brouille les pistes même pour votre FAI), le chiffrage des données via l’algorithme AES-256-GCM ou encore un système de liste blanche (split tunneling). Cette dernière est plutôt pratique pour les sites et applications qui ne supportent pas les connexions VPN (les applis bancaires par exemple), vous pourrez malgré tout vous y connecter sans avoir à couper/remettre en marche le VPN.

À ne pas négliger, l’interface assez minimaliste et très simple à prendre en main. Si vous n’êtes pas trop geek et/ou que c’est le premier outil du genre que vous utilisez, foncez ! C’est super simple.

Le MultiHop de Surfshark

Est-ce que je vous ai dit que l’offre vous permet en plus de connecter un nombre illimité d’appareils et sans limites de bandes passantes ? Que toutes les plateformes sont supportées (macOS, Linux, Windows, Android, iOS, FireTV, Apple TV, Chrome, Firefox, PlayStation …) ? Qu’il dispose d’un anti-pub/anti-tracker intégré ?

Niveau des paiements c’est plutôt complet aussi par rapport à certains concurrents. Vous pouvez régler via une CB classique (ou, mieux une carte Curve), PayPal, Amazon Pay, Google Pay ou encore les méthodes de paiements en ligne comme Sofort et Direct Debit. Petite cerise sur le gâteau, Surfshark accepte depuis quelques jours (fin novembre 2020) le paiement en crypto. Bitcoin, Ethereum, Ripple & co vous sont proposés via les services CoinGate et CoinPayments.

Bref pour profiter de l’offre Black Friday de Surfshark c’est par ici.

Encore merci à Surfshark de soutenir korben.info !


Réponses notables

  1. Ca fait maintenant 1 an que j’ai sauté le pas de lacher Keepass (qui me suivait depuis quasiment sa création), pour Bitwarden, et franchement je ne suis absolument pas déçu !

    Ca fonctionne super bien, peu importe la plateforme (windows, android, linux), l’interface est toujours la même, c’est canon.

  2. Faut arrêter de faire chier avec des principes aussi con…

  3. La méthode d’installation pour le docker et la clé bof bof, en gros vérification de la clé chez eux codée dans leur sources.
    Et je vois deux dépôts dockerhub de dispo, aucun des deux vérifiés, un associé à 8bit donc officiel, pourquoi passer par leur script d’installation? D’après ce sue je lis dans le script c’est du question réponse pour créer le docker-compose au lieu de le faire à la main. Un fichier d’exemple aurait suffit mais bon ok. Mais la licence codée… Profiter du monde opensource sans vraiment en faire partie…

    Le dépôt git rs et le dockerhub associé dont parle @Meldrak est-il de confiance ?

  4. Depuis le temps que j’en parle en commentaires :stuck_out_tongue:
    Je ne suis pas un barbu, donc j’utilise leur serveur, extension chrome et sur android, que du bonheur.

  5. Je l’utilise pour ssh et des services non sécurisé, mais pas du web, souvent c’est inclus.
    J’utilise Traefik depuis un moment, je le trouve assez puissant. Mais faut appréhender :confused:

    Je viens de faire quelques test, que ce soit la partie user ou la partie admin, après 6 tentatives je peux toujours tester… Pour une appli de gestion de mot de passe, ça devrait être natif :s

    J’ai fais le docker-compose pour la partie site, web-socket et la partie admin je l’ai mis à part pour la restreindre aux ip locales.
    il faudrait que configure mon fail2ban sur l’host, je pense pas que je sache mettre dans un container séparer pour check les logs traefik, mais appliquer les règles netfilter… Autant que ce soit sur l’host. Si le container change d’host, il recréera bien vite sa liste.

    Tu mets quoi comme config du jail ?


    Prenez attention que dans mon cas, je n’utilise pas le réseau bridge par défaut. Mes apps ont un réseau commun avec le proxy qui ne sert qu’à cela, question sécurité.
    Les puristes diront qu’il faut un réseau entre proxy et app différents à chaque fois :wink:

    Voici le fichier yml complet pour le proxy HTTPS

    version: '3.7'
    
    networks:
      proxy-network:
        external: true
    
    services:
      bitwardenrs:
        image: bitwardenrs/server:latest
        container_name: bitwardenrs
        networks:
          - proxy-network
        volumes:
                - /data/bitwardenrs/:/data/
        environment:
          - WEBSOCKET_ENABLED=true # Required to use websockets
          - ROCKET_PORT=8080
          - ROCKET_WORKERS=20
          - SIGNUPS_ALLOWED=false
          - INVITATIONS_ALLOWED=false
          - DOMAIN=https://bitwarden.domain.tld
          - ADMIN_TOKEN=xxxxxxxxxxxxxxxxx
          - SMTP_HOST=votre_serveur
          - SMTP_FROM=xxx@xxx.com
          - SMTP_PORT=587
          - SMTP_SSL=true
          - SMTP_USERNAME=xxx@xxx.com
          - SMTP_PASSWORD=xxxxxxxxxxxxxxxxxxxx
        user: 999:997
        restart: "always"
        labels:
          - traefik.http.services.passwd.loadbalancer.server.port=8080
          - traefik.http.routers.passwd.service=passwd
          - traefik.http.routers.passwd.entrypoints=websecure
          - traefik.http.routers.passwd.tls.certresolver=le
          - "traefik.http.routers.passwd.rule=Host(`bitwarden.domain.tld`)"
    
          - traefik.http.services.passwd-socket.loadbalancer.server.port=3012
          - traefik.http.routers.passwd-socket.service=passwd-socket
          - traefik.http.routers.passwd-socket.entrypoints=websecure
          - traefik.http.routers.passwd-socket.tls=true
          - "traefik.http.routers.passwd-socket.rule=Host(`bitwarden.domain.tld`) && PathPrefix(`/notifications/hub`)"
    

    Je conseille également d’utiliser des en-têtes :

          - traefik.http.middlewares.secure-headers.headers.customFrameOptionsValue=SAMEORIGIN
          - "traefik.http.middlewares.secure-headers.headers.sslredirect=true"
          - "traefik.http.middlewares.secure-headers.headers.STSSeconds=315360000"
    

    Et à utiliser dans le container de Bitwarden sous ‹ labels › :

          - traefik.http.routers.passwd.middlewares=secure-headers
    

    Maintenant j’aimerai sécuriser le /admin avec le ipwhitelist, mais ça coince… Il a pas l’air de le prendre en compte

    EDIT : Bon c’était tout con en fait,

          - traefik.http.services.passwd-admin.loadbalancer.server.port=8080
          - traefik.http.routers.passwd-admin.service=passwd-admin
          - traefik.http.routers.passwd-admin.entrypoints=websecure
          - traefik.http.routers.passwd-admin.tls=true
          - "traefik.http.routers.passwd-admin.rule=Host(`bitwarden.domain.tld`) && PathPrefix(`/admin`)"
          - "traefik.http.middlewares.passwd-trustip.ipwhitelist.sourcerange=127.0.0.1/32, 192.168.1.0/24"
          - traefik.http.routers.passwd-admin.middlewares=passwd-trustip
    
  6. Avatar for redge redge says:

    Bitwarden est a des année lumiere de l’interface de keepass. Ca va pour une utilisation simple, mais il manque beaucoup de features (par ex. pas autotype global)

    a noter qu’il existe ceci. Ca éviter l’aller trifouiller le code soit meme…

  7. L’intérêt de Bitwarden, (si j’ai compris le truc), est la possibilité de mettre en place son propre serveur, parce que hormis cela, je vois pas bien l’avantage qu’il aurait sur un keepass (voilà ça c’est pour le premier, et en fait, oui, si c’est gratuit, c’est sans aucune contrepartie ! et aucunement en demandant une inscription et donc des données personnelles) … Utiliser les serveurs de Bitwarden, et prétendre que c’est archi blindé, c’est se mettre un bandeau sur les yeux ou bien les mains sur les oreilles en criant très fort : « lalalala, lala, lala » (voilà ça c’est pour le deuxième en l’occurrence notre « Chef des Internets (rapprochés) » adulé !!)

    Installer un Bitwarden via docker c’est d’la bombe, de la bombe atomique même… Résultat ? :

    Ouch ! ça fait bobo (enfin bibi quoi) ! C’est vraiment tout c’tintouin qui nous prend 25Go (perso j’ai commencé avec un K7 Philips pour tout support de données :roll_eyes: , Je ne vous explique pas le jour ou j’ai touché un DD de 80Mo …! Le nirvana !)

    L’installation ne saurait être viable, qu’à la seule condition d’être barbu ? (ça tombe bien) et surtout arrêtez toutes les horreurs (à mon sens) : les applications sous Electron, les dockers à l’échelle de l’utilisateur, les dépôts Flatpack ou pire snap

    Je suis avec un grand intérêt cette discussion passionnante, et j’ai une question qui m’importe : Une fois installé et configuré « notre » serveur BitWarden. Est-il possible de restreindre l’accès à un éventail d’adresses IPv6 et en même temps de filtrer l’accès à certaines adresses MAC ? Et tout ça sans utiliser d’autres solutions (Une capote, la pilule, un stérilet, le thermomètre …) ? Merci d’avance pour vos réponses éclairées !

  8. Malgré tout ce qui est dit, c’est très simple de mettre en place Bitwarden, un container unique a été sorti officiellement. Et en terme de ressources, ça utilise moins de 100Mo de RAM.
    C’est bien gratuit, n’en déplaise à certains.

  9. Merci à toi Meldrak, c’est gentil ton message :wink: J’essaie d’ajouter un peu d’humour, tout comme le fait notre hôte vénéré, ça diminue les nombreuses bêtises que je peux raconter …

    Et bien tu vois j’ai fait exactement la même constatation que toi et m’oriente aussi vers la version RUST, ou peut-être que je vais attendre un peu et m’orienter vers une solution auto-hebergée avec Nextcloud (testé il y a 2, 3 ans et que j’avais trouvé épatant !). En effet, moins d’un Go en stockage et 500Mo de mémoire au plus me semble plus raisonnable !

    Je suis passé hier à Keepass 2.6, et j’ai été obligé de passer du dépot officiel de ma distribution (limitée à la 2.3.x à un snap (beurk), du coup il y a des limitations/problèmes (surtout le bac à sable de snap) et j’ai un peu de mal à tout résoudre, enfin avec le temps et les lectures qui vont bien …

    Bref l’urgence est de prendre son temps, de bien relire les nombreux messages très informatifs ici (merci aux collaborateurs ! )

  10. J’aimerai pouvoir te répondre (et le ferai dans quelques semaines). Là, j’attend d’abord du matos pour installer tout ça puis tester NextCloud qui a dû bien changer en 2, 3 ans et plein, plein d’autre trucs :scream: … Comme c’était sur un VPS OVH, je n’avais pas les mêmes besoins, et surtout je n’aurais pas été externaliser ma bdd de login/mdp, ou plutôt si, je l’ai fait : dans un conteneur veracrypt en 2FA … De plus, je ne crois pas avoir vu cette appli (passwords) à l’époque, mais j’en suis pas sûr. De toute façon je vais repasser par la case zéro, et c’est pas plus mal :wink: Donc là, je ne suis vraiment pas le mieux placé pour t’aider ! ( j’en suis encore à me questionner sur la distribution :rofl::sob: … )

Continuer la discussion sur Korben Communauté

12 commentaires supplémentaires dans les réponses

Participants