¶ Bitwarden, le gestionnaire de mots de passe open source
Bitwarden est un gestionnaire de mots de passe gratuit et ultra-sécurisé. Conservez tous vos mots de
passe en un endroit réputé inviolable en vous connectant à l’aide d’un mot de passe maître pour ne
plus avoir à vous rappeler de tous vos mots de passe ou pire, de n’utiliser qu’un seul et unique mot
de passe non sécurisé pour tous vos accès à vos sites internet ou logiciels.
Bitwarden – Toutes Plateformes
Disponible sur les systèmes d’exploitation les plus populaires pour ordinateur, tels que Windows,
MacOS et Linux, mais également pour les systèmes d’exploitation pour smartphones comme iOS et Android,
Bitwarden est gratuit pour un usage personnel car sous licence AGPL (GNU Affero General Public License)
qui a pour but de laisser accessible son code source.
Bitwarden dispose de modules d’extension (un « plugin » ou plus vulgairement une « extension »)
pour les navigateurs web les plus connus (Chrome, Firefox, Safari, Edge, Tor et d’autres encore).
C’est ainsi que vous pourrez aisément utiliser l’intégralité de vos mots de passe grâce à Bitwarden
en utilisant que son mot de passe maître qui fera appel à tous les autres, ce qui vous permettra
d’avoir une gestion idéale de vos accès le plus simplement du monde.
Pour résumer très rapidement le fonctionnement de Bitwarden, disons que vous n’aurez qu’un seul
mot de passe à vous rappeler pour pouvoir accéder à la totalité de vos sites ou logiciels demandant
une authentification.
Pour autant, en réalité chaque sites et logiciels disposeront de leurs mots de passe qui leurs sont
propres, le mot de passe principal étant alors appelé « mot de passe maître » et faisant appel à
Bitwarden qui se chargera (d’une manière totalement transparente et sécurisée) de lancer les
authentifications des dits sites et logiciels.
Utiliser un logiciel de gestion de mots de passe est d’une simplicité déconcertante au quotidien et
vous apporte un degré de sérénité non négligeable. De plus, nous insistons sur le fait que Bitwarden
est open-source et donc gratuit, de quoi en faire votre meilleur allié pour ne plus vous soucier des
nombreux mots de passe à retenir.
¶ Pourquoi vous devriez absolument utiliser un gestionnaire
¶ de mots de passe ?
Comme une écrasante majorité de personne, vous devez très certainement utiliser des mots de passe
« faibles » dans votre quotidien. Par mots de passe faibles, nous entendons des mots de passe qui ne
sont en réalité qu’un mot du dictionnaire (typiquement des mots comme « étoiles », « soleil » ou
pire, « motdepasse »), qui sont courts et qui ne disposent pas de caractères spéciaux. L’autre erreur
commise par grand nombre d’entre nous est de n’utiliser qu’un seul mot de passe ou des variantes
peu différentes d’un même mot de passe absolument partout.
Si l’on devait donner un conseil à suivre absolument, c’est déjà d’utiliser toujours des mots de passe
uniques pour chaque accès : si un pirate arrivait à trouver votre mot de passe (nous verrons comment),
il aurait alors accès à absolument tous vos sites ou logiciels, ce qui serait absolument catastrophique.
Mais voilà, les mots de passe il y en a des dizaines, voire des centaines à se remémorer et cette règle
du mot de passe unique ne consiste pas en ajouter simplement un chiffre différent derrière un mot du dictionnaire.
Pourquoi insistons-nous sur cette notion de « mot du dictionnaire » ? Tout simplement parce qu’un
mot de passe à base d’un mot du langage courant peut-être découvert assez simplement par des
pirates informatiques.
Ceux-ci vont alors tout simplement utiliser, d’une manière automatisée, des dictionnaires qui
essayeront tous les mots contenus dans celui-ci pour deviner votre mot de passe. Cette manière
d’agir est appelée « brute force » et est très populaire chez les hackers.
L’autre méthode (plus perfide) pour découvrir l’un de vos mots de passe consiste tout simplement à
deviner si vous utilisez le nom de l’un de vos enfants, de votre animal de compagnie, ou encore
votre date de naissance, etc.
Le « social engineering » est la méthode alors employée pour deviner votre mot de passe, et les
informations concernant notre vie sociale sont disponibles la plupart du temps publiquement sur les
réseaux sociaux pour peu que l’on ne fasse pas suffisamment attention.
C’est pourquoi il est très important d’utiliser un mot de passe unique, à chaque fois, qui ne soit pas
un mot du dictionnaire ou en relation avec votre vie sociale. Il doit être long (plusieurs caractères)
et comporter des caractères spéciaux (le symbole « égal » ou des parenthèses par exemple).
Bien évidemment, les mots de passe forts et donc complexes sont difficiles à se souvenir, d’où la
nécessité d’utiliser un gestionnaire de mots de passe tel que Bitwarden.
¶ Ne pas réutiliser deux fois le même mot de passe tu devras…
Comme nous l’évoquions, imaginons qu’un hacker parvienne à ses fins en découvrant le mot de passe que
vous utilisez un peu partout. Une fois votre mot de passe entre ses mains, cette personne malveillante
pourra s’empresser d’accéder à votre boîte mail, cette dernière permettant alors de pouvoir réinitialiser
tous les mots de passe des sites web que vous utilisez (et de votre boîte mail au passage). Vous n’aurez
alors plus accès à rien, ceci étant le début de la fin pour vous…
Si vous utilisez toujours le même login/mot de passe (le login étant l’identifiant), alors le pirate
informatique pourra essayer les divers sites habituels pour découvrir si vous êtes effectivement
inscrit dessus, typiquement les sites des banques jusqu’à découvrir malheureusement celle que vous
utilisez.
C’est pourquoi l’usage des mots de passe unique est primordial, mais également l’usage de mots de
passe forts, surtout pour votre boîte mail puisque c’est de cette dernière qu’une personne mal
intentionnée pourra réinitialiser tous vos autres mots de passe et ainsi vous bloquer l’accès à vos
divers comptes.
Les plus geeks d’entre nous utilisent donc des centaines de mots de passe différents qui sont longs,
avec des caractères spéciaux et n’étant surtout pas en rapport avec leur vie sociale et ne contenant
pas des mots de notre langue.
Ces mots de passes « forts » sont ainsi très difficiles à deviner et l’utilisation de dictionnaires
pour du brute force devient alors impossible. La majorité d’entre nous n’utilisent pourtant le plus
souvent que moins d’une dizaine de mots de passe différents qui sont hélas assez simple à pirater.
¶ Un mot de passe fort : oui, mais comment ?
Quand il s’agit d’hasard, il n’y a rien de pire que l’humain ! Même si vous vous amusiez à tout
simplement enchaîner des combinaisons aléatoires de touches de votre clavier, ce n’est pas encore
suffisant.
Mieux vaut alors générer automatiquement par un logiciel vos mots de passe, ce que propose
évidemment Bitwarden. Par la suite, ce dernier sera en mesure de stocker (de manière totalement
sécurisée) vos différents mots de passe qu’il vous serait impossible de mémoriser tout en vous
permettant d’utiliser son mot de passe maître, c’est-à-dire un « mot de passe principal » faisant
appel à la multitude de mots de passe forts utilisés partout.
Bien évidemment, votre mot de passe maître pour Bitwarden se doit d’être fort lui aussi, mais
au moins vous n’aurez plus qu’un seul mot de passe dont vous devrez vous souvenir.
Comment cela se passe-t-il concrètement par la suite ?
Bitwarden vous permettra de pouvoir être bien plus productif en vous retirant cette épine du pied
qu’est de se remémorer des centaines de mots de passe forts (vous avez très certainement bien
mieux à faire de votre vie d’utilisateur et nous n’avons pas tous les capacités mémorielles de Rain
Man).
Lorsque vous utilisez un gestionnaire de mots de passe tel que Bitwarden et que vous devez vous
connecter (vous identifier) sur un site internet par exemple, plutôt que de taper le mot de passe
spécifique à ce site vous n’aurez qu’à renseigner votre mot de passe maître Bitwarden qui se
chargera alors de renseigner automatiquement votre identifiant et le mot de passe associé.
C’est aussi simple que cela et fonctionnera à l’identique sur tous les sites internet que vous
utilisez ainsi que pour vos logiciels.
¶ Pourquoi utiliser le gestionnaire de mots de passe de
¶ votre navigateur est une mauvaise idée ?
Comme la majorité d’entre nous, il y a fort à parier que vous utilisez Google Chrome, Mozilla
Firefox ou encore Microsoft Internet Explorer (devenu Edge) pour naviguer sur internet. Ceux-ci
intègrent déjà en leur sein un gestionnaire de mots de passe afin de les enregistrer.
Pourtant, ces différents gestionnaires de mots de passe internes aux navigateurs ne sont pas
comparables à la fiabilité et à la sécurisation qu’offrent les « vrais » logiciels de gestionnaire de
mots de passe comme Bitwarden.
Par exemple, Chrome et Internet Explorer stockent vos mots de passe sur votre ordinateur dans un
fichier qui n’est même pas sécurisé lui-même. Il est consultable et disponible « en clair »,
sans être chiffré… Une catastrophe pour la sécurisation de vos mots de passe.
Certains pourront dire qu’il suffit alors d’encrypter son disque dur en utilisant un logiciel prévu à
cet effet, mais pourquoi ne pas utiliser un logiciel réellement conçu pour la tâche dont vous avez
besoin ? De plus, cela sera bien plus simple et tout aussi efficace d’utiliser Bitwarden (et nous
rappelons qu’en plus de cela il est gratuit).
Firefox de son côté utilise un mot de passe maître pour son gestionnaire interne et permet donc le
chiffrement de vos mots de passe sauvegardés en un fichier protégé sur votre ordinateur.
Malheureusement pour Firefox (à qui il faut reconnaître d’avoir fait un effort), il n’est pas encore
la solution idéale pour gérer vos mots de passe car celui-ci ne vous permettra pas dans son interface
de générer automatiquement et aléatoirement des mots de passe lorsque vous vous inscrivez quelque
part.
De plus et contrairement à Bitwarden, il ne vous permettra pas de jouir de l’utilisation d’un logiciel
multiplateforme qui vous permettra de synchroniser absolument tous vos périphériques entre eux pour
utiliser votre coffre-fort de mots de passe.
En conclusion, un gestionnaire de mots de passe comme Bitwarden stockera vos identifiants et mots
de passe en les chiffrant, vous permettra de générer des mots de passe forts qui seront réellement
sécurisés, vous permettra de bénéficier d’une interface puissante et simple d’utilisation et surtout
vous permettra de pouvoir vous connecter grâce à un mot de passe maître depuis n’importe lequel
de vos périphériques, qu’il soit un ordinateur, un smartphone ou une tablette tactile.
Débuter avec Bitwarden : choisir son mot de passe maître La première grande étape après avoir installé
Bitwarden sera de choisir votre mot de passe maître,aussi appelé « master password » en anglais. C’est
lui qui contrôle l’accès à la base de données de Bitwarden qui contient tous les autres mots de passe.
Il s’agit donc d’un point critique à ne surtout pas négliger.
Ce mot de passe maître devra donc être particulièrement renforcé comme expliqué auparavant et puis,
après tout, il s’agit de l’unique mot de passe dont vous devrez vous souvenir.
Vous pourrez par la suite conserver ce mot de passe sur papier dans un endroit sécurisé auquel
personne d’autre n’a accès (pour les plus sérieux d’entre nous, celui-ci peut être conservé sur papier
dans un coffre-fort).
Il vous sera possible de modifier ce mot de passe mais uniquement dans le cas où vous vous
souvenez du mot de passe maître à modifier. Il est donc absolument essentiel de ne pas perdre votre
mot de passe maître sous peine de « perdre » tous vos mots de passe gérés par Bitwarden.
Sécurisez vos mots de passe déjà existants Après avoir choisi votre mot de passe maître, il est
intéressant de procéder à la sécurisation de tous vos accès aux sites que vous utilisez déjà.
Vous pourrez ainsi, par exemple, vous baser sur les mots de passe déjà enregistrés dans le
gestionnaire de votre navigateur (Chrome, Firefox…).
Il y a fort à parier en effet que vous utilisez déjà des mots de passe peu sûrs et il est donc bon de
procéder à un « ménage » en modifiant compte par compte l’existant en utilisant le générateur de
mots de passe de Bitwarden.
L’autre aspect intéressant de l’utilisation d’un gestionnaire de mot de passe comme Bitwarden
et dont nous n’avons encore pas parlé est que vous pourrez être efficacement protégé contre le
« phishing ».
Le phishing (ou « hameçonnage » en français) est une technique employée par les pirates
informatiques consistant à vous faire croire que vous allez vous authentifier sur une page web que
vous connaissez (typiquement la page de connexion de votre banque) et cela dans le but de
récupérer votre login/mot de passe. La page d’hameçonnage est ainsi pratiquement identique en tout
point à la véritable page dont vous avez l’habitude, la seule différence résidant en son adresse
internet que l’on ne voit hélas que difficilement sur son smartphone.
Puisque Bitwarden sait quel mot de passe utiliser selon la page que vous visitez et qui requiert une
authentification, si vous tombez sur une page copiant la véritable afin de vous soutirer vos
identifiants de connexion, votre gestionnaire de mot de passe ne reconnaitra pas la page « pirate ».
Cela se verra tout simplement parce que Bitwarden sera incapable de remplir automatiquement vos
identifiants grâce à votre mot de passe maître puisqu’il ne connait cette page.
¶ Petite histoire d’un grand logiciel :
¶ l’épopée de Bitwarden
Comme bien souvent dans le monde du libre (le monde des logiciels open-source), le développement
des logiciels se fait par palier apportant des ajouts de fonctionnalités majeures.
Le projet Bitwarden débuta en Août 2016 par le lancement d’une première version conçue tout
spécialement pour les applications mobiles sous iOS et Android ainsi que des extensions pour les
navigateurs Chrome et Opera. Une extension pour Firefox arriva dès Février 2017.
En février 2017 toujours, le navigateur web open-source « Brave Web Browser » inclut d’office
Bitwarden en son sein en remplacement de son gestionnaire de mots de passe natif (similaire à ceux
des autres navigateurs avec toutes les failles de sécurité que nous évoquions précédemment).
En janvier 2018, Bitwarden fit une entrée fracassante dans la « Safari Extensions Gallery » pour
être proposé comme gestionnaire de mot de passe compatible (car adapté pour l’occasion dans une
extension officielle) au navigateur web d’Apple : Safari.
Très rapidement et dès février de la même année, Bitwarden proposa de gérer les mots de passe des
logiciels de votre ordinateur, qu’il soit sous un système d’exploitation MacOS, Windows ou Linux.
Bitwarden n’était alors plus qu’un simple logiciel se focalisant sur les applications mobiles ou les
sites internet. Cette version pour « desktop » (ordinateur de bureau) fut conçue comme une variante
de son application web existante (ses extensions pour les différents navigateurs déjà cités) grâce au
framework open-source Electron.
Seulement un mois plus tard, Bitwarden fut disponible via le Microsoft Store pour être utilisé
comme extension sur le navigateur Microsoft Edge (successeur d’Internet Explorer).
En mars 2018, Bitwarden subit des critiques très virulentes par rapport à la sécurisation de son
« coffre-fort Web » (le « Web vault » en anglais) : ce dernier fut conçu à l’aide de bouts de code en
Javascript pris des bibliothèques BootstrapCDN, Braintree, Google ou encore Stripe.
Ces bibliothèques tierce-parties permettant à Bitwarden d’embarquer des scripts déjà « préconçus »
apportaient des potentielles failles de sécurité à la base de données du logiciel qui conserve tous
vos mots de passe. Tous ces codes tierce-parties furent supprimés dès juillet 2018 grâce à la sortie
d’une mise à jour spéciale « coffre-fort Web 2.0 » de Bitwarden. Les potentielles failles de sécurité
furent ainsi totalement dissipées.
Dans le même temps en mai 2018, Bitwarden permit aux utilisateurs expérimentés d’utiliser le
logiciel en ligne de commande, permettant du même coup à ces utilisateurs de créer leurs propres
scripts applicatifs pour l’usage des données du coffre-fort de Bitwarden.
Toujours en parallèle, le navigateur web « Cliqz » (un fork du navigateur web Firefox mettant
l’accent sur la protection de la vie privée) effectua un audit de sécurité poussé sur l’extension
Firefox proposée par Bitwarden. La conclusion fut qu’il n’y avait aucun point négatif pouvant
impacter la sécurité des utilisateurs utilisant cette extension de Bitwarden.
Suite à ce constat, l’extension fut proposée comme solution alternative au gestionnaire de mots de
passe natif du navigateur web directement via ce dernier dans les options des extensions.
En octobre 2018, ce fut au tour de la firme « Cure53 » (une société allemande reconnue qui est
spécialisée dans le domaine de la cybersécurité) de procéder à un audit très poussé et complet des
aspects sécuritaires de Bitwarden, notamment en procédant à un audit de son code source ainsi que
de la solution cryptographique employée pour sécuriser les mots de passe. S’y ajouta un audit
complet du code tierce-partie du logiciel : si 5 failles furent découvertes, une seule nécessitait
une action directe de l’équipe de développement de Bitwarden.
Pour autant, la conclusion du rapport de cet audit fut concluant, Bitwarden étant « globalement bien
sécurisé » et cela grâce à la réactivité exemplaire des développeurs de celui-ci qui mirent en place
le « bug bounty program » permettant aux utilisateurs du monde entier de faire remonter bugs et
failles devant être corrigés (et cela dès juillet 2017 via la plateforme HackerOne).
Les audits de la firme Cure53 furent commandés par « 8bit Solutions », c’est-à-dire la maison mère
de Bitwarden. C’était tout l’écosystème du gestionnaire de mots de passe qui fut testé, notamment
grâce à un test d’intrusion en mode boîte blanche mais également en testant aussi bien les diverses
versions, les extensions ou encore entre les applications clientes et l’infrastructure serveur de
Bitwarden. Toutes les failles découvertes furent comblées.
Au moment où nous écrivons ces lignes, Bitwarden est évidemment toujours en développement et
des mises à jour sont disponibles à intervalles réguliers.
¶ Mais qui se cache derrière Bitwarden et surtout,
¶ « pourquoi Bitwarden » ?
Kyle Spearrin est le père fondateur du projet Bitwarden. Architecte logiciel de métier, celui-ci est
particulièrement exigeant dès qu’il s’agit du domaine de la cybersécurité. Non seulement il exige
une sécurisation exemplaire de ses mots de passe mais également une utilisation simple et agréable
du gestionnaire qu’il utilise.
Jusqu’en 2016, Kyle Spearrin utilisait Lastpass (qui permettait d’utiliser de manière synchrone sur
le web ses mots de passe) mais ce logiciel gratuit fut racheté par LogMeIn. C’est alors que nombre
d’utilisateurs préfèrent se tourner vers des solutions alternatives open source.
C’est hélas sans succès et Kyle Spearrin ne trouva pas son bonheur malgré Keepass, un gestionnaire
de mots de passe très réputé mais qui a le désavantage d’être (selon M. Spearrin) doté d’une
interface ne permettant pas une utilisation simple.
C’est ainsi que Spearrin décida de développer sa propre solution en travaillant de nuit pendant
presque une année : le projet Bitwarden débuta. Pour parvenir à ses fins, ce développeur acharné se
reposa sur le crowdfunding via Kickstarter qui, de part cette campagne de financement participatif,
récolta 7 016 dollars pour développer son logiciel.
L’accent fut évidemment mis sur la sécurisation des données : chiffrement AES-256, salage et
application de la norme PBKDF2, ce ne fut pas les seules manières de rendre Bitwarden
exemplaire. Les serveurs abritant les mots de passe (le coffre-fort Web) n’utilisent alors que des
données chiffrées : si des pirates s’emparaient des accès aux serveurs, ceux-ci ne pourraient utiliser
les données contenues dessus puisque étant chiffrées (cryptées).
Se remémorant la déception du rachat de Lastpass par LogMeIn, Spearrin décida de ne pas prendre
en otage les utilisateurs de Bitwarden en proposant des solutions d’exportation des données (les
mots de passe) vers d’autres solutions logicielles.
Ceci apporta également le grand avantage de ne pas se reposer uniquement sur les serveurs backend
de Bitwarden qui, s’ils étaient hors-ligne suite à des actes de piratages ou à une panne, de pouvoir
tout de même se tourner vers des solutions alternatives.
À l’écoute de ses utilisateurs, Spearrin modifia assez rapidement une sécurité majeure concernant
l’utilisation du mot de passe maître : souvenez-vous que le mot de passe maître doit être fort et
donc complexe.
Bitwarden ne laissait dans ses premières versions alors pas d’autres choix que de contenir au
minimum un caractère spécial ou un numéro. Cette mesure de sécurité était un inconvénient majeur
pour un grand nombre d’utilisateurs et Spearrin modifia cela en conséquence.
En dernier lieu, Bitwarden est exemplaire en ce qui concerne sa « philosophie open source »
puisque toutes les ressources sont disponibles et ouvertes à toutes et tous, de l’application cliente
aux serveurs daemons. Vous pouvez donc utiliser l’application Bitwarden sans aucun souci pour
l’intégrer à vos projets personnels. L’autre avantage de bénéficier d’une telle ouverture du code
source est de permettre à quiconque de tester la sécurité de Bitwarden sans avoir à en demander la
permission.
Mais comment un logiciel utilisant des serveurs peut-il rester
gratuit ?
Cette question légitime fut posée dès 2016 par de nombreux utilisateurs : si le succès était au
rendez-vous, comment Spearrin et sa société 8bit Solutions pourraient supporter les coûts de la
maintenance des serveurs qui deviendraient beaucoup plus importants ? En utilisant deux plans
tarifaires.
C’est ainsi qu’aujourd’hui il existe plusieurs options pour une utilisation personnelle ou
professionnelle. Comme le dit si bien le site officiel de Bitwarden, la version pour un usage
personnel est réellement gratuite et non un « faux essai gratuit ».
¶ Pour un usage personnel ou familial
Gratuit à vie, vous pourrez utiliser seul Bitwarden afin d’utiliser toutes ses versions applicatives,
synchroniser tous vos périphériques tels que vos ordinateurs, smartphones et tablettes tactiles,
utiliser une double authentification (gage d’une sécurité renforcée) et même de la possibilité
d’héberger vous-même votre propre coffre-fort Web sur votre serveur.
Pour une utilisation familiale, vous pourrez monter à 5 utilisateurs différents pour la modique
somme de 1 dollar par mois. Vous bénéficierez en outre d’un espace de stockage chiffré de 1Go
ainsi que de « rapports de santé » de votre coffre-fort pour savoir si vos mots de passe sont
suffisamment forts.
Une version Premium est également disponible pour seulement 10 dollars annuels et qui vous
permettra de bénéficier en supplément de méthodes d’authentification encore plus poussées, tels
que Duo, YubiKey et U2F.
A cela s’y ajoute une nouvelle option Premium nommée « TOTP authenticator » calquée sur Google
authenticator qui permet une double authentification pour se connecter via des QR-code : une
application mobile Bitwarden vous permettra ainsi d’utiliser l’appareil photo numérique de votre
smartphone afin de scanner un QRcode permettant de vous connecter via cette sécurité
supplémentaire (double authentification) à votre coffre-fort de mots de passe.
¶ Pour un usage professionnel
Retrouvez une version totalement gratuite pour 2 utilisateurs, puis une offre à seulement 5 dollars
mensuels pour 5 utilisateurs (+ 2 dollars par utilisateurs supplémentaires si besoin) ainsi qu’une
offre « Entreprise » proposant un tarif unique de 3 dollars mensuels par utilisateurs.
Les fonctions de Bitwarden pour un usage professionnel sont très nombreuses et idéales pour tous
types d’organisations :
• Partage en équipe : Partagez en toute confiance vos logins et mots de passe avec vos
collaborateurs
• Stockage de fichiers : Stockez et partagez sans risque vos fichiers les plus sensibles tels que
vos clés privées et certificats mais aussi vos photos et autres documents sensibles
• Contrôle d’accès renforcé : Mettez en place des politiques de contrôle d’accès selon
différents types de profils utilisateurs pour votre coffre-fort
• Groupes d’utilisateurs : Utilisez des groupes d’utilisateurs pour permettre un contrôle
accru entre les différents services et équipes de votre organisation
• Authentification multi-facteurs (double authentification) : Renforcez votre politique
multi-facteurs de connexions de vos utilisateurs grâce à la double authentification en
intégrant Duo Security (ou d’autres)
• Politiques globales d’entreprises : Forcez la double authentification pour tous vos
collaborateurs et ainsi garantir une parfaite sécurisation de votre organisation
• Rapports de santé de votre coffre-fort : Auditez simplement votre coffre-fort pour savoir
si les mots de passe utilisés par votre entreprise sont assez forts
• Logs d’évènements : Surveillez efficacement les différentes actions et modifications
effectuées par les utilisateurs de votre entreprise au travers des journaux logs détaillés
• Synchronisation avec Active Directory : Synchronisez vos groupes d’utilisateurs existants
sous Active Directory (LDAP et autres), Azure, G Suite, OneLogin et Okta
• Accès API : Une API très flexible vous permettra d’intégrer Bitwarden à vos outils et
systèmes existants
• Hébergement on-site : Hébergez et déployez facilement Bitwarden sur vos serveurs sans
aucune dépendance avec des services externes de Cloud
Il est à noter qu’en version Entreprise vous bénéficiez automatiquement de toutes les options
Premium ainsi que d’un support technique prioritaire.
Bitwarden – Toutes Plateformes
¶ En Vedette
• Bitwarden VS LastPass : est-ce qu’un gestionnaire open source peut être meilleur ?
Dans les différents choix qui s’offrent aux utilisateurs en matière de gestionnaires de mots
de passe, il y a bien évidemment Bitwarden mais également LastPass. Depuis son rachat par
LogMeIn, ce dernier a bénéficié d’un développement encore plus soutenu mais qu’en est-il
si l’on devait mettre en concurrence un logiciel propriétaire (et donc payant) comme
LastPass avec un logiciel open source gratuit comme Bitwarden ? Quel est le logiciel qui
sera le plus sécurisé pour vos mots de passe ?
Pour répondre à cette dernière question, il est important de comprendre que même si ces
deux concurrents ont basiquement pour objectif de proposer la même chose, il existe
d’énormes différences entre eux.
¶ Fonctionnalités basiques des deux logiciels
Bitwarden ne dispose pas forcément d’autant d’options que LastPass, cependant et puisqu’il
est open source il est probable qu’un informaticien ait déjà développé ce que vous
recherchez sous forme d’add-on. Vous pouvez donc être assuré que Bitwarden continuera de
gagner en fonctionnalités grâce aux nombreuses idées et demandes de sa communauté
d’utilisateurs. De plus, si Bitwarden dispose de moins d’options, il dispose tout de même de
plus de fonctionnalités réellement importantes dans sa version gratuite alors qu’il vous
faudra payer pour LastPass.
Les fonctionnalités gratuites de Bitwarden sont :
• Un générateur de mot de passe
• La synchronisation à un nombre illimité de différents périphériques
• Un stockage sans limite de vos mots de passe
• La possibilité de remplir automatiquement les formulaires de connexion par Bitwarden
Pour ce qui est des options payantes, vous aurez l’avantage de bénéficier (entre autres) de :
• Rapports sur la santé de votre coffre-fort pour vérifier la sécurité des mots de passe
que vous utilisez quotidiennement (sans les voir puisque c’est le mot de passe maître
que vous utiliserez tous les jours)
• 1 Go de stockage sur un espace chiffré et donc ultra-sécurisé pour vos documents et
fichiers les plus sensibles
LastPass dispose des mêmes fonctionnalités gratuites. Pour ce qui est des fonctionnalités
payantes en Premium, la principale différence réside en la possibilité de partager ses mots de
passe avec un nombre illimité d’utilisateurs, ce qui est possible avec Bitwarden mais en
version Entreprise (payante).
Pour y voir plus clair sur leurs différences, voici un tableau récapitulatif de ce que proposent
(et/ou ne proposent pas) les deux logiciels :
Bitwarden
Double Authentification
Chiffrement AES 256-Synchronisation sur plusieurs périphériques Gratuitement
Sauvegardes & Restaurations Version Application mobile
Android, iOS & Générateur de mots de passe
Extensions de navigateurs web Chrome, Firefox, Linux, Safari, Vivaldi, Brave & Auto-Importation de mots de passe
Remplissage automatique dans les formulaires de
connexion
Email
Support par Chat
Support par téléphone
FAQ
Langues disponibles Anglaise ( + traductions Support 24/7
Revenons un peu plus en détail sur différentes fonctionnalités principales ô combien
importantes pour un gestionnaire de mots de passe digne de ce nom :
Double Authentification (ou Authentification Multi-Facteurs)
La double authentification ou vérification en deux étapes, ou encore authentification multifacteurs
(two-factor authentification ou 2FA mais aussi multi-factor authentification ou MFA) désigne une méthode
d’authentification forte afin de se connecter après avoir présenté deux preuves d’identités distinctes.
Ainsi, un seul mot de passe ne sera pas suffisant puisqu’il faudra une seconde manière de s’authentifier,
comme par exemple en renseignant un code à durée de validation limitée reçue sur votre mobile par SMS ou un QRcode.
Les versions gratuites de Bitwarden et de LastPass proposent toutes le support de la double
authentification, ajoutant ainsi une couche supplémentaire de protection : même avec un mot
de passe dévoilé à un pirate, celui-ci ne pourrait s’authentifier sans posséder votre smartphone (et son mot de
passe s’il y en a un).
Bitwarden propose donc la double authentification via les solutions YubiKey, Fido U2F et
Duo. LastPass propose quant à lui dans sa version Premium (Payante) un peu plus de
méthodes telles que Yubikey, Sesame, Duo, Google Authenticator, Microsoft Authenticator
ainsi que l’identification biométrique (par empreinte digitale via votre smartphone par
exemple).
Extensions pour navigateurs web Les deux logiciels proposent de remplir automatiquement les champs login
et mot de passe sur votre navigateur web. Lorsque vous visitez une page internet qui affiche une boîte de
dialogue pour vous connecter, Bitwarden ou LastPass vous proposeront de remplir pour vous les informations
nécessaires pour vous connecter après avoir renseigné votre mot de passe
maître (pour rappel, le seul dont vous devez absolument vous souvenir, tous les autres mots
de passe étant pris en charge automatiquement par ces logiciels).
L’avantage est clairement en faveur de Bitwarden par rapport à son concurrent en proposant
une prise en charge de plusieurs autres navigateurs web. De plus, si LastPass propose
étonnamment le support d’Internet Explorer aujourd’hui désuet puisque remplacé par Edge
(que Bitwarden prend en charge), ce dernier propose également une extension pour le
navigateur Tor qui est réputé être le plus fiable en matière de protection pour votre vie privée
(il est d’ailleurs surtout connu pour permettre un accès anonyme au réseau caché
« Darknet »).
¶ Générateur de mots de passe
Facilement accessible depuis les extensions pour navigateurs web, les deux gestionnaires de
mot de passe sont exemplaires à leurs manières pourtant distinctes :
Le générateur de mot de passe de LastPass par exemple vous permettra de générer des mots
de passe « simples à mémoriser » grâce à ses options « simple à prononcer » ou « simple à
lire ». Selon nous, il s’agit d’une aberration car en matière de sécurité, rien de pire que de ne
pas laisser une très large place aux caractères spéciaux et à la génération totalement aléatoire
et donc non humaine d’un mot de passe. Pourtant, beaucoup de sites placent cette fonction
comme l’une des meilleures de LastPass par rapport à ses concurrents.
De son côté, le générateur de mots de passe de Bitwarden est également très avancé puisqu’en plus de
choisir vous-même vos mots de passe vous pourrez en générer des énormes avec des « passphrases » qui
vont jusqu’à 20 mots. Bitwarden est également capable de conserver un historique de vos anciens mots
de passe ce qui peut vous aider pour récupérer un mot de passe oublié.
Hébergez vous-même votre coffre-fort de mots de passe L’une des fonctionnalités les plus importantes
de Bitwarden est de permettre à ses utilisateurs d’héberger eux-mêmes leurs données sans passer par
le Cloud et donc une solution tierce dont ils n’ont pas un contrôle total.
Vous pouvez donc stocker vos données chiffrées sur le serveur de votre choix plutôt que d’être obligé
de les mettre sur les serveurs d’une compagnie. Cela vous permettra donc de ne pas compromettre vos
données sensibles si jamais des failles de sécurité étaient exploitées sur les serveurs de Bitwarden
(bien que les différents audits aient démontré la robustesse de l’infrastructure réseau de Bitwarden
et que même si cela était le cas, les données seraient inutilisables en raison du chiffrement de celles-ci).
Bien évidemment, mettre en place un serveur n’est pas à la portée de tous et il vous faudra
avoir certaines compétences techniques, bien que cette solution soit grandement simplifiée
grâce à l’utilisation de « Docker ». Docker est un logiciel open source permettant
l’empaquetage d’une application et de ses dépendances dans un conteneur isolé pouvant être
exécuté sur n’importe quel serveur. À ce titre, Docker n’est pas une solution de virtualisation
mais plutôt de conteneurisation.
LastPass de son côté ne propose aucune solution pour héberger soi-même ses données.
A noter que les équipes techniques de Bitwarden ainsi que ses développeurs n’ont accès à
vos données même s’ils le voulaient puisque toutes les données sont chiffrées.
Tarifs
Il est toujours bon de pouvoir également comparer les tarifs même si, comme nous allons le
voir, ceux-ci sont intimement liés aux fonctionnalités techniques par rapport à vos besoins.
Tout comme Bitwarden, LastPass propose une offre gratuite et une offre Premium payante,
mais pour autant ce dernier est bien sous licence propriétaire et ne fait pas parti du monde
des logiciels libres (open source) : son code est fermé, ce qui signifie que vous n’avez aucun
droit de regard sur le code que vous ne pouvez tester, modifier et donc améliorer.
Vous retrouverez avec LastPass dans son offre gratuite, le stockage de vos mots de passe, la
possibilité de partager vos mots de passe avec d’autres utilisateurs, la double
authentification, le remplissage automatique des identifiants de connexion dans les
formulaires ainsi qu’une fonction « Security Challenge » permettant de procéder à un audit
rapide de la robustesse des mots de passe que vous utilisez.
En Premium, l’offre est plus complexe puisqu’en plus d’une version familiale s’y ajoute 4
plans différents pour des offres Business. Ces plans business diffèrent surtout par rapport au
nombre d’utilisateurs qui pourront utiliser la licence LastPass quand Bitwarden préfère tout
simplement ajouter un montant très faible par utilisateurs supplémentaires.
D’ailleurs, Bitwarden offre une très forte valeur ajoutée à ses offres Premium en incluant un
espace de stockage chiffré de 1 Go, ou encore en proposant une authentification TOTP qui
reste l’une des méthodes de sécurité des plus puissantes à l’heure actuelle.
En comparant ce qui est comparable, Bitwarden s’en sort haut la main avec son offre
gratuite qui offre bien plus d’options et de fonctionnalités que LastPass.
Prise en main et utilisation
LastPass a la réputation d’être très simple à utiliser, mais peut-être trop simple en vulgarisant
un domaine qui, même s’il semble complexe, est assez simple à prendre en main. Tout
comme Bitwarden, il permet d’importer ses mots de passe existants après installation et
création de son mot de passe maître.
Bitwarden à l’inverse ne se veut pas forcement être le plus simple parce qu’il souhaite
proposer les meilleures fonctionnalités à ses utilisateurs qui sont soucieux de posséder une
sécurité maximale. A trop simplifier, il arrive que l’on y perde en sécurisation (voire
l’exemple de la génération de mots de passe facile à retenir de LastPass).
Contrairement à ce qui est dit sur beaucoup de sites, Bitwarden n’en est pas moins très
simple d’utilisation dans ses fonctions basiques et il vous appartiendra de décider si vous
souhaitez essayer les fonctionnalités avancées. D’ailleurs, LastPass ne possède pas
d’interface en ligne de commande, ce qui est très dommageable pour les utilisateurs plus
expérimentés qui ne pourront créer leurs propres scripts.
Le type de difficultés qui sont décriées sur de nombreux sites sont du genre « Bitwarden
nécessite un export de vos mots de passe des autres logiciels avant de pouvoir les importer
en son sein ». Aucune difficulté à cela puisqu’il s’agit de simplement enregistrer vos mots de
passe existants en provenance d’autres logiciels au format CSV. En comparaison, nous
pourrions dire que n’importe quel traitement de texte est très compliqué car il faut
enregistrer un fichier ! Cette mauvaise foi ne fait pas honneur à LastPass, bien que son
interface gratuite épurée en fait le parfait gestionnaire de mots de passe « plug-and-play ».
Si vous aimez la technique, vous risquez de trouver décevant LastPass. Si vous êtes
débutant, vous ne devrez heureusement pas être rebuté par l’utilisation de Bitwarden qui
reste très simple. Certes, il dispose de plus de fonctionnalités avancées, mais c’est justement
là sa grande force face à son concurrent direct.
Sécurité
Il arrive de tomber sur des comparatifs affirmant que LastPass serait plus sécurisé dans son
chiffrement en utilisant l’algorithme AES 256-bit qui offre une sécurisation d’un niveau
militaire. C’est exactement le cas de Bitwarden et de nombreux autres logiciels. Il est encore
une fois malhonnête d’affirmer que LastPass est plus sécurisé que Bitwarden.
Le chiffrement AES 256-bit qu’utilisent les deux logiciels est effectivement d’un niveau de
sécurisation militaire puisque même la NSA est encore aujourd’hui incapable de déchiffrer
du contenu chiffré par cet algorithme puissant. L’AES-256 est d’ailleurs l’algorithme de
chiffrement recommandé pour nos administrations tels que les ministères, en particulier
celui de la Défense.
LastPass possède néanmoins un avantage sur Bitwarden : il propose plus de méthodes de
double authentification.
Cependant, LastPass a souffert de lacunes et de failles de sécurité par le passé, dont une qui
permettait à des pirates de récupérer et de manipuler vos mots de passe stockés. Cette faille
absolument désastreuse concernait toutes les extensions pour navigateurs web mais, bien
heureusement, fut comblée dans les 24h après sa découverte.
L’autre grand désavantage de LastPass, c’est qu’il n’est pas open source, ce qui signifie que
vous êtes obligé de faire confiance en l’équipe qui gère le logiciel. Bitwarden de son côté
n’a même pas accès à vos données puisqu’elles sont toutes chiffrées sur leurs serveurs. Un
point de distinction important est que Bitwarden laisse la possibilité d’héberger vous-même
vos données sur votre serveur, alors qu’avec LastPass vous êtes obligé de laisser vos
données à une compagnie dont l’objectif est évidemment de faire du profit.
Support technique
L’avantage va très clairement à Bitwarden en ce qui concerne toute l’aide dont vous pourriez
avoir besoin, mais cela n’est pas étonnant dans le monde des logiciels open source où le
partage et l’entraide font partie d’une philosophie.
La FAQ de LastPass est moindre quand celle de Bitwarden est très conséquente et surtout
très simple à comprendre. Lorsque vous envoyez un mail au support technique de LastPass,
vous devrez bien souvent attendre 3 jours ouvrés quand pour Bitwarden vous obtiendrez une
réponse dans les 24 heures.
Les forums des deux logiciels sont bien souvent les meilleures sources d’aide. Etant open
source, Bitwarden prend une fois de plus l’avantage sur son concurrent puisque c’est une
communauté active d’utilisateurs qui échangent à propos du logiciel.
Conclusion du comparatif Bitwarden VS LastPass
Pour les utilisateurs expérimentés, les grandes organisations, tous ceux qui veulent une
sécurisation maximale et plein d’options, c’est bien Bitwarden qui remporte la bataille. Si
vous souhaitez quelque chose d’ultra-simplifié, qui fait presque tout tous seul, LastPass
devrait vous combler.
Aucun de ces deux logiciels n’est meilleur que l’autre si l’on veut généraliser, tout dépend
de vos besoins, de vos attentes et de votre budget dans certains cas.
Pour rester juste dans notre analyse, nous pouvons reconnaître que la très grande force de
LastPass réside en son interface graphique extrêmement agréable et simplifiée au maximum
pour ses extensions web.
Bitwarden proposera non pas le gestionnaire de mot de passe le plus simple (bien que nous
ayons du mal à comprendre où se situent les difficultés liées à l’utilisation mais prenons en
compte les arguments des utilisateurs), toutefois il sera le logiciel qui offre le plus de
possibilités pour une sécurisation absolument maximale. Les utilisateurs plus expérimentés
se réjouiront de posséder ce qui se fait de mieux dans l’arsenal de l’informaticien soucieux
de bénéficier d’une sécurisation irréprochable.
N’oublions pas que LastPass est intimement lié au développement de Bitwarden puisque
c’est le rachat de LastPass par la société LogMeIn qui poussa le créateur de Bitwarden à
développer ce gestionnaire de mots de passe.
Ce qui nous plaît le plus c’est qu’avec Bitwarden nous ne sommes pas pris en otage : même
si les serveurs ou l’infrastructure réseau de Bitwarden étaient attaqués avec succès (ce qui
n’est gagné même pour les équipes de hackeurs les plus compétentes au monde), vous aurez
toujours des alternatives pour ne jamais avoir de souci avec vos différents accès à vos
logiciels et sites internet.
Mieux encore : Bitwarden a été audité de la manière la plus virulente possible et sur tous ses
aspects (dont son code source) afin d’en découvrir ses failles et des utilisateurs (et hackeurs)
chevronnés s’attèlent à continuer de vérifier que la sécurisation du logiciel est tout
simplement optimale.
LastPass quant à lui a souffert en Juin 2015 d’une attaque qui a permis à des pirates de
récupérer les adresses des comptes mail de ses utilisateurs, leurs mails de renvoi de mots de
passe, la liste « server-per-user » ainsi que les hashs d’authentification. Autant dire qu’il
s’agissait alors d’une véritable catastrophe pour l’image de marque du logiciel même s’il n’y
a aucune preuve que le moindre mot de passe ait été dévoilé.
Pire encore, il ne s’agissait pas de la première attaque fructueuse puisqu’une toute autre
attaque de hackers était déjà à déplorer en 2011. Le site lemondeinformatique.fr qualifia
alors le logiciel de « service pratique mais vulnérable », ce qui nous semble être une parfaite
conclusion en ce qui concerne LastPass.
Si vous souhaitez le meilleur des meilleurs des gestionnaires de mots de passe, le plus
robuste et le plus complet en version gratuite, c’est bien Bitwarden qui gagne haut la main
face à ses concurrents (même payants).
Articles
• Bitwarden VS LastPass : est-ce qu’un gestionnaire open source peut être meilleur ?
Dans les différents choix qui s’offrent aux utilisateurs en matière de gestionnaires de mots
de passe, il y a bien… Lire la suite →
• Logiciel Open Source, définition
« La désignation open source, ou code source ouvert, s'applique aux logiciels dont la licence
respecte des critères précisément établis… Lire la suite →