Dans le petit monde de l’informatique, nombreux sont les experts qui – à juste titre – insistent sur la nécessité de générer des mots de passe sécurisés et différents pour chaque service. Cela dit, gérer une dizaine de mots de passe uniques s’avère déjà difficile pour le commun des mortels, alors que faire ? Fort heureusement, les applications de gestion de mots de passe tels que LastPass, 1Password, Dashlane, Keypass et consorts obtiennent les faveurs de toujours plus de personnes. Ces appications permettent en effet de n’avoir qu’un seul mot de passe à retenir et d’en stocker une multitude d’autres pour vous. Aujourd’hui, je vais vous parler d’un « petit nouveau » sur le marché, et pas un manche: Bitwarden.

Qu’est-ce que c’est ?

C’est au tour de la société 8bit Solutions LLC de dévoiler son outil, nommé Bitwarden. Développé majoritairement en C# et TypeScript, il offre un avantage indéniable par rapport à ses concurrents actuels: il est open-source (comme Keypass) et peut être auto-hébergé ou utilisé en mode « cloud ». Deux modes de fonctionnement, donc, qui permettront autant à Monsieur et Madame Tout-le-monde d’utiliser le système sans s’y connaître en informatique, qu’au geek au fond de sa cave (moi) de l’héberger sur un de ses centaines de serveurs ultra sécurisés quelque part sous une montagne.

C’est sur quelles plateformes ?

Là où c’est fort, c’est que l’équipe derrière Bitwarden a bien réfléchi son coup: ils sont partis du postulat qu’un service pareil, ça devait impérativement vous suivre partout et s’adapter à vos besoins. Résultat, ils ont mis en ligne des applications pour:

• Desktop (Windows, OSX, Linux)
• Navigateurs (Firefox, Chrome, Safari, Opera, Brave, Vivaldi, Tor browser… et même Edge, tiens !)
• Mobile et tablettes (Android, iOS)
• … et des CLI pour développeurs, des fois que vous rêviez de l’intégrer à votre dernier développement

Bref, du tout bon et pour tout le monde. Rien à redire de ce côté là.

C’est nouveau, quels sont les risques ?

Je vois déjà les plus sceptiques (dont moi, initialement) venir avec des arguments du genre:

Oui, mais bon c’est nouveau… qu’est-ce qui me dit que leur service est suffisamment sécurisé pour stocker mes informations personnelles ?

~ Un internaute soucieux de ses informations personnelles

Très bonne réflexion, naturellement. Si je vous parle de Bitwarden aujourd’hui, c’est parce qu’ils ont très récemment été audités (rapport rendu public le 12 novembre 2018). Les résultats sont publics et vous pouvez allez les consulter. Vous y verrez alors que quelques failles ont été trouvées, que des mesures ont été prises pour les résoudre et que c’est du sérieux. En tout cas, c’est ma propre conclusion après avoir lu le rapport complet. J’avais déjà en vue cet outil depuis plus d’une année, mais j’ai attendu qu’ils fassent un audit propre avant de m’y coller.

Quelles sont les fonctions phare ?

Parmi les petites fonctions bien sympathiques du logiciel, on remarquera naturellement des choses traditionnellement présentes dans d’autres produits, comme la génération de mots de passe d’une longueur et d’une complexité intéressantes, le classement de vos mots de passe en « collections » (business, shopping, social, etc.) et l’authentification double facteur impérative pour ce genre de service.

On retrouvera également quelques fonctions additionnelles qui ne sont pas pour déplaire, comme la possibilité de gérer des token TOTP (2FA) directement dans l’application, d’importer vos mots de passes stockés dans un service concurrent existant, de partager vos identifiants avec d’autres personnes, de créer des « organisations » (par exemple pour partager des mots de passe dans votre famille – Netflix, si tu savais), et on l’espère, bientôt d’autres fonctions!

Le code étant ouvert et accessible à tous, les plus aguerris pourront aller se plonger dans le code et, si le coeur leur en dit, proposer de nouvelles fonctionnalités. On pourrait même voir apparaître des forks de Bitwarden d’ici quelques années, dans le cas où 8bit Solutions venait à se séparer de leur produit. Pratique !

L’avis du chef

Pour ma part, je me suis laissé tenté une fois l’audit passé et j’ai créé mon compte. J’ai importé mes mots de passe de l’outil que j’utilise actuellement afin de tester, et pour l’instant je m’y retrouve plutôt bien. Je vais probablement me laisser tenter par le compte « Premium » pour les supporter un peu (10$ par an) et bénéficier de l’authentification Yubiko, FIDO U2F et DUO. Que du bonheur, quoi !

Si vous vous tâtez encore, je ne peux que vous conseiller d’y faire un saut et de le tester – le compte gratuit permet déjà d’accéder à 90% des fonctionnalités. Cela vous permettra peut-être de vous libérer d’autres outils propriétaires sans sacrifier votre confort actuel. En tous les cas, je ne peux que vous conseiller de le faire et de me donner votre ressenti en commentaires.

Source de l’image: écran de connexion à Bitwarden sous Ubuntu