Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Bitwarden – Le gestionnaire de mots de passe à héberger vous-même

Bitwarden est un gestionnaire de mot de passe très complet qui se veut simple à installer pour les débutants avec une version service en ligne (SaaS), mais également accessible aux aficionados de l’auto hébergement avec un code source libre à installer sur n’importe quel serveur.

Le principe d’un gestionnaire de mot de passe est de stocker l’ensemble de vos mots de passe, mais également de vos numéros de CB, vos coordonnées…etc., etc. Bref, tout ce qui constitue vos données personnelles et que vous voulez sécuriser à moindres frais. Toutes ces données sont alors verrouillées par un mot de passe principal qui est le seul que vous aurez à retenir.

Le reste des mots de passe contenus dans Bitwarden auront été générés par le gestionnaire lui-même. En tout cas, c’est ce qu’il est fortement recommandé de faire.

Les fonctionnalités de Bitwarden

Bitwarden est donc accessible à tous gratuitement simplement en vous créant un compte sur leur site. Vos mots de passe seront alors stockés sur leurs serveurs, mais ne rassurez-vous, comme Bitwarden fonctionne sur un principe de chiffrement de bout en bout, personne à part vous, ne pourra accéder à votre gestionnaire de mots de passe. Oui, oui, personne, pas même les administrateurs de Bitwarden. C’est pourquoi vous devez choisir un mot de passe principal suffisamment sécurisé (optez pour la fameuse phrase de passe) et surtout le retenir dans votre petite tête.

La sécurité de vos données

Le service en ligne Bitwarden permet d’accéder à vos données personnelles et mots de passe depuis n’importe où, soit via leur site web, soit via les applications mobiles. Pour ceux qui se poseraient la question, le conteneur de vos mots de passe est chiffré en AES 256 bits (de bout en bout) avec du salage de hash et une fonction de dérivation de clé PBKDF2.

Les serveurs de Bitwarden sont localisés dans le cloud de Microsoft Azure, toutes les communications entre votre ordinateur et leurs serveurs sont chiffrés (end to end) et comme le code serveur est open source, il a été audité pour s’assurer que tout est OK en matière de sécurité. Et ils ont même un programme de Bug Bounty.

Vous l’aurez compris, si Bitwarden se fait pirater de fond en comble, il ne se passera rien puisque vos mots de passe sont chiffrés en mode costaud et déchiffrables uniquement par vous seul. Techniquement toutes les informations personnelles que vous confiez à Bitwarden seront chiffrées à l’exception des données utiles au service comme votre nom, votre email, les infos de facturation (si vous prenez l’option payante).

Le reste, que ce soit vos logins et mots de passe, vos informations bancaires, vos informations personnelles diverses et variées ainsi que vos notes personnelles ou les pièces jointes seront chiffrés.

L’offre payante & gratuite

Bitwarden est donc gratuit et ensuite, pour plus d’utilisateurs ils ont une offre payante qui démarre à partir de 10$ par an pour 1GB de stockage de fichiers, la double authentification avec Yubikey, U2F et Duo, le stockage d’authentification TOTP et bien sûr du support technique.

Et pour les entreprises c’est un peu le même délire avec des options payantes qui démarrent à partir de 5$ par mois.

Au niveau des fonctionnalités, Bitwarden propose donc du stockage de mots de passe, mais également de la génération de mots de passe, de la double authentification (2FA), et bien sûr tout ce qu’il faut pour importer et exporter vos mots de passe à partir ou vers d’autres outils comme l’excellent gestionnaire Keepass, 1password Lastpass, Dashlane, Firefox, Chrome…etc. (en gros tous les outils qui stockent des mots de passe)

Les extensions pour navigateurs

L’un des avantages de Bitwarden c’est qu’il est fourni avec un paquet d’extensions pour vos navigateurs ce qui permet à le fois de remplir automatiquement les champs de connexion ou les formulaires sur vos sites préférés, mais également de générer et de remplir un champ password avec un nouveau mot de passe unique et de l’enregistrer immédiatement dans votre coffre-fort Bitwarden.

Bitwarden est donc disponible pour Chrome, Edge, Brave, Vivaldi, Safari, Opera, Firefox et également Tor Browser.

Les applications mobiles Bitwarden

Évidemment, quand on a un gestionnaire de mots de passe, c’est pratique de pouvoir y accéder à tout moment. C’est pourquoi une application mobile est la solution toute trouvée pour garder votre coffre-fort de mots de passe dans la poche. Bitwarden est donc disponible sous iOS pour les iPhones et iPad et sous Android.

Bitwarden en ligne de commande

Des clients Bitwarden sont également disponibles en CLI (Command Line Interface), donc en ligne de commande sous Windows, macOS, Linux, mais également installable via npm, homebrew, snap, chocolatey. Pratique pour ceux qui ne jurent que par le terminal.

Et quand on n’a accès à rien de tout ça ?

Et bien il est possible d’accèder à votre coffre-fort de mots de passe directement via le site web de Bitwarden.

Et le serveur Bitwarden ?

Alors vous l’aurez compris, Bitwarden est utilisable comme tel en passant par leurs services en SaaS, mais si vous voulez garder la maîtrise de A à Z de vos données personnelles, vous pouvez également déployer la partie serveur sur votre propre machine (serveur ou NAS).

Oui, car Bitwarden est un logiciel open source dont le code du serveur, mais également celui des applications clients (web, desktop, mobile, navigateurs) se trouve sur Github.

Déployer Bitwarden avec Docker

Pour déployer Bitwarden sur votre serveur, vous pouvez le faire très simplement à l’aide de Docker comme ceci sur un serveur Linux ou NAS. Prévoyez minimum 25 GB de stockage et 4 GB de RAM, mais également d’ouvrir les ports 80 et 443 (ou de les changer dans la config), de configurer vos DNS pour qu’un domaine ou sous-domaine pointe sur l’IP du serveur et n’oubliiez pas d’installer Docker et Docker Compose.

Notez qu’il vous faudra également un ID et une clé Bitwarden que vous pourrez récupérer ici.

Ensuite, lancez les lignes de commande suivantes pour procéder à l’installation :

curl -Lso bitwarden.sh https://go.btwrdn.co/bw-sh 
    && chmod +x bitwarden.sh
./bitwarden.sh install
./bitwarden.sh start

Vous pourrez alors modifier le fichier de config en vous accordant avec la documentation

./bwdata/env/global.override.env

Puis relancez le process à l’aide de cette commande pour appliquer et tester vos modifs.

./bitwarden.sh restart

Déployer Bitwarden de manière traditionnelle

C’est-à-dire sans Docker. On récupère le script d’install et on le rend exécutable.

curl -Lso bitwarden.sh https://go.btwrdn.co/bw-sh 
    && chmod +x bitwarden.sh

Puis on l’installe :

./bitwarden.sh install

Pour le reste de la mission, c’est par ici qu’il faudra aller pour avoir une jolie documentation.

Implémentation en RUST de Bitwarden

Bitwarden est réputé pour être un petit peu lourdingue notamment sur les machines un peu ancienne. Heureusement, un développeur indépendant du nom de Dani Garcia a totalement réécrit la partie serveur de Bitwarden en Rust.

Il appelle donc l’API du service Bitwarden avec toutes les fonctionnalités de base gratuits mais propose également l’équivalent des options payantes de Bitwarden qu’il a codé lui-même et proposé gratuitement. Par exemple le support 2FA / U2F, les pièces jointes, le support Yubikey…etc etc.

L’installation de Bitwarden_rs se fait simplement avec Docker :

docker pull bitwardenrs/server:latest
docker run -d --name bitwarden -v /bw-data/:/data/ -p 80:80 bitwardenrs/server:latest

Et si vous avez besoin d’un peu de doc sur cette implémentation en Rust de Bitwarden, il y a un super wiki qui vous dira tout sur tout.


D’autres gestionnaires de mots de passe open source :

Réponses notables

  1. Ca fait maintenant 1 an que j’ai sauté le pas de lacher Keepass (qui me suivait depuis quasiment sa création), pour Bitwarden, et franchement je ne suis absolument pas déçu !

    Ca fonctionne super bien, peu importe la plateforme (windows, android, linux), l’interface est toujours la même, c’est canon.

  2. Faut arrêter de faire chier avec des principes aussi con…

  3. La méthode d’installation pour le docker et la clé bof bof, en gros vérification de la clé chez eux codée dans leur sources.
    Et je vois deux dépôts dockerhub de dispo, aucun des deux vérifiés, un associé à 8bit donc officiel, pourquoi passer par leur script d’installation? D’après ce sue je lis dans le script c’est du question réponse pour créer le docker-compose au lieu de le faire à la main. Un fichier d’exemple aurait suffit mais bon ok. Mais la licence codée… Profiter du monde opensource sans vraiment en faire partie…

    Le dépôt git rs et le dockerhub associé dont parle @Meldrak est-il de confiance ?

  4. Depuis le temps que j’en parle en commentaires :stuck_out_tongue:
    Je ne suis pas un barbu, donc j’utilise leur serveur, extension chrome et sur android, que du bonheur.

  5. L’intérêt de Bitwarden, (si j’ai compris le truc), est la possibilité de mettre en place son propre serveur, parce que hormis cela, je vois pas bien l’avantage qu’il aurait sur un keepass (voilà ça c’est pour le premier, et en fait, oui, si c’est gratuit, c’est sans aucune contrepartie ! et aucunement en demandant une inscription et donc des données personnelles) … Utiliser les serveurs de Bitwarden, et prétendre que c’est archi blindé, c’est se mettre un bandeau sur les yeux ou bien les mains sur les oreilles en criant très fort : « lalalala, lala, lala » (voilà ça c’est pour le deuxième en l’occurrence notre « Chef des Internets (rapprochés) » adulé !!)

    Installer un Bitwarden via docker c’est d’la bombe, de la bombe atomique même… Résultat ? :

    Ouch ! ça fait bobo (enfin bibi quoi) ! C’est vraiment tout c’tintouin qui nous prend 25Go (perso j’ai commencé avec un K7 Philips pour tout support de données :roll_eyes: , Je ne vous explique pas le jour ou j’ai touché un DD de 80Mo …! Le nirvana !)

    L’installation ne saurait être viable, qu’à la seule condition d’être barbu ? (ça tombe bien) et surtout arrêtez toutes les horreurs (à mon sens) : les applications sous Electron, les dockers à l’échelle de l’utilisateur, les dépôts Flatpack ou pire snap

    Je suis avec un grand intérêt cette discussion passionnante, et j’ai une question qui m’importe : Une fois installé et configuré « notre » serveur BitWarden. Est-il possible de restreindre l’accès à un éventail d’adresses IPv6 et en même temps de filtrer l’accès à certaines adresses MAC ? Et tout ça sans utiliser d’autres solutions (Une capote, la pilule, un stérilet, le thermomètre …) ? Merci d’avance pour vos réponses éclairées !

  6. Malgré tout ce qui est dit, c’est très simple de mettre en place Bitwarden, un container unique a été sorti officiellement. Et en terme de ressources, ça utilise moins de 100Mo de RAM.
    C’est bien gratuit, n’en déplaise à certains.

  7. Merci à toi Meldrak, c’est gentil ton message :wink: J’essaie d’ajouter un peu d’humour, tout comme le fait notre hôte vénéré, ça diminue les nombreuses bêtises que je peux raconter …

    Et bien tu vois j’ai fait exactement la même constatation que toi et m’oriente aussi vers la version RUST, ou peut-être que je vais attendre un peu et m’orienter vers une solution auto-hebergée avec Nextcloud (testé il y a 2, 3 ans et que j’avais trouvé épatant !). En effet, moins d’un Go en stockage et 500Mo de mémoire au plus me semble plus raisonnable !

    Je suis passé hier à Keepass 2.6, et j’ai été obligé de passer du dépot officiel de ma distribution (limitée à la 2.3.x à un snap (beurk), du coup il y a des limitations/problèmes (surtout le bac à sable de snap) et j’ai un peu de mal à tout résoudre, enfin avec le temps et les lectures qui vont bien …

    Bref l’urgence est de prendre son temps, de bien relire les nombreux messages très informatifs ici (merci aux collaborateurs ! )

  8. J’aimerai pouvoir te répondre (et le ferai dans quelques semaines). Là, j’attend d’abord du matos pour installer tout ça puis tester NextCloud qui a dû bien changer en 2, 3 ans et plein, plein d’autre trucs :scream: … Comme c’était sur un VPS OVH, je n’avais pas les mêmes besoins, et surtout je n’aurais pas été externaliser ma bdd de login/mdp, ou plutôt si, je l’ai fait : dans un conteneur veracrypt en 2FA … De plus, je ne crois pas avoir vu cette appli (passwords) à l’époque, mais j’en suis pas sûr. De toute façon je vais repasser par la case zéro, et c’est pas plus mal :wink: Donc là, je ne suis vraiment pas le mieux placé pour t’aider ! ( j’en suis encore à me questionner sur la distribution :rofl::sob: … )

Continuer la discussion sur Korben Communauté

14 commentaires supplémentaires dans les réponses

Participants