Bitwarden, le gestionnaire de mots de passe open source

Bitwarden est un gestionnaire de mots de passe gratuit et ultra-sécurisé. Conservez tous vos mots de passe en un endroit réputé inviolable en vous connectant à l’aide d’un mot de passe maître pour ne plus avoir à vous rappeler de tous vos mots de passe ou pire, de n’utiliser qu’un seul et unique mot de passe non sécurisé pour tous vos accès à vos sites internet ou logiciels.

Bitwarden – Toutes Plateformes

Vault : le coffre-fort, « Warden » : gardien. Bitwarden est le gardien de votre coffre-fort virtuel contenant tous vos mots de passe.

Disponible sur les systèmes d’exploitation les plus populaires pour ordinateur, tels que Windows, MacOS et Linux, mais également pour les systèmes d’exploitation pour smartphones comme iOS et Android, Bitwarden est gratuit pour un usage personnel car sous licence AGPL (GNU Affero General Public License) qui a pour but de laisser accessible son code source.

Bitwarden dispose de modules d’extension (un « plugin » ou plus vulgairement une « extension ») pour les navigateurs web les plus connus (Chrome, Firefox, Safari, Edge, Tor et d’autres encore). C’est ainsi que vous pourrez aisément utiliser l’intégralité de vos mots de passe grâce à Bitwarden en utilisant que son mot de passe maître qui fera appel à tous les autres, ce qui vous permettra d’avoir une gestion idéale de vos accès le plus simplement du monde.

Pour résumer très rapidement le fonctionnement de Bitwarden, disons que vous n’aurez qu’un seul mot de passe à vous rappeler pour pouvoir accéder à la totalité de vos sites ou logiciels demandant une authentification.

Pour autant, en réalité chaque sites et logiciels disposeront de leurs mots de passe qui leurs sont propres, le mot de passe principal étant alors appelé « mot de passe maître » et faisant appel à Bitwarden qui se chargera (d’une manière totalement transparente et sécurisée) de lancer les authentifications des dits sites et logiciels.

Utiliser un logiciel de gestion de mots de passe est d’une simplicité déconcertante au quotidien et vous apporte un degré de sérénité non négligeable. De plus, nous insistons sur le fait que Bitwarden est open-source et donc gratuit, de quoi en faire votre meilleur allié pour ne plus vous soucier des nombreux mots de passe à retenir.

Pourquoi vous devriez absolument utiliser un gestionnaire de mots de passe ?

Comme une écrasante majorité de personne, vous devez très certainement utiliser des mots de passe « faibles » dans votre quotidien. Par mots de passe faibles, nous entendons des mots de passe qui ne sont en réalité qu’un mot du dictionnaire (typiquement des mots comme « étoiles », « soleil » ou pire, « motdepasse »), qui sont courts et qui ne disposent pas de caractères spéciaux. L’autre erreur commise par grand nombre d’entre nous est de n’utiliser qu’un seul mot de passe ou des variantes peu différentes d’un même mot de passe absolument partout.

Si l’on devait donner un conseil à suivre absolument, c’est déjà d’utiliser toujours des mots de passe uniques pour chaque accès : si un pirate arrivait à trouver votre mot de passe (nous verrons comment), il aurait alors accès à absolument tous vos sites ou logiciels, ce qui serait absolument catastrophique.

Mais voilà, les mots de passe il y en a des dizaines, voire des centaines à se remémorer et cette règle du mot de passe unique ne consiste pas en ajouter simplement un chiffre différent derrière un mot du dictionnaire.

Pourquoi insistons-nous sur cette notion de « mot du dictionnaire » ? Tout simplement parce qu’un mot de passe à base d’un mot du langage courant peut-être découvert assez simplement par des pirates informatiques.

Ceux-ci vont alors tout simplement utiliser, d’une manière automatisée, des dictionnaires qui essayeront tous les mots contenus dans celui-ci pour deviner votre mot de passe. Cette manière d’agir est appelée « brute force » et est très populaire chez les hackers.

L’autre méthode (plus perfide) pour découvrir l’un de vos mots de passe consiste tout simplement à deviner si vous utilisez le nom de l’un de vos enfants, de votre animal de compagnie, ou encore votre date de naissance, etc.

Le « social engineering » est la méthode alors employée pour deviner votre mot de passe, et les informations concernant notre vie sociale sont disponibles la plupart du temps publiquement sur les réseaux sociaux pour peu que l’on ne fasse pas suffisamment attention.

C’est pourquoi il est très important d’utiliser un mot de passe unique, à chaque fois, qui ne soit pas un mot du dictionnaire ou en relation avec votre vie sociale. Il doit être long (plusieurs caractères) et comporter des caractères spéciaux (le symbole « égal » ou des parenthèses par exemple).

Bien évidemment, les mots de passe forts et donc complexes sont difficiles à se souvenir, d’où la nécessité d’utiliser un gestionnaire de mots de passe tel que Bitwarden.

Ci-dessus, le mot de passe le plus utilisé au monde depuis 2013 (source : Clubic).

Ne pas réutiliser deux fois le même mot de passe tu devras…

Comme nous l’évoquions, imaginons qu’un hacker parvienne à ses fins en découvrant le mot de passe que vous utilisez un peu partout. Une fois votre mot de passe entre ses mains, cette personne malveillante pourra s’empresser d’accéder à votre boîte mail, cette dernière permettant alors de pouvoir réinitialiser tous les mots de passe des sites web que vous utilisez (et de votre boîte mail au passage). Vous n’aurez alors plus accès à rien, ceci étant le début de la fin pour vous…

Si vous utilisez toujours le même login/mot de passe (le login étant l’identifiant), alors le pirate informatique pourra essayer les divers sites habituels pour découvrir si vous êtes effectivement inscrit dessus, typiquement les sites des banques jusqu’à découvrir malheureusement celle que vous utilisez.

C’est pourquoi l’usage des mots de passe unique est primordial, mais également l’usage de mots de passe forts, surtout pour votre boîte mail puisque c’est de cette dernière qu’une personne mal intentionnée pourra réinitialiser tous vos autres mots de passe et ainsi vous bloquer l’accès à vos divers comptes.

Les plus geeks d’entre nous utilisent donc des centaines de mots de passe différents qui sont longs, avec des caractères spéciaux et n’étant surtout pas en rapport avec leur vie sociale et ne contenant pas des mots de notre langue.

Ces mots de passes « forts » sont ainsi très difficiles à deviner et l’utilisation de dictionnaires pour du brute force devient alors impossible. La majorité d’entre nous n’utilisent pourtant le plus souvent que moins d’une dizaine de mots de passe différents qui sont hélas assez simple à pirater.

Le générateur de mots de passe de Bitwarden dispose de toutes les options nécessaires.

Un mot de passe fort : oui, mais comment ?

Quand il s’agit d’hasard, il n’y a rien de pire que l’humain ! Même si vous vous amusiez à tout simplement enchaîner des combinaisons aléatoires de touches de votre clavier, ce n’est pas encore suffisant.

Mieux vaut alors générer automatiquement par un logiciel vos mots de passe, ce que propose évidemment Bitwarden. Par la suite, ce dernier sera en mesure de stocker (de manière totalement sécurisée) vos différents mots de passe qu’il vous serait impossible de mémoriser tout en vous permettant d’utiliser son mot de passe maître, c’est-à-dire un « mot de passe principal » faisant appel à la multitude de mots de passe forts utilisés partout.

Bien évidemment, votre mot de passe maître pour Bitwarden se doit d’être fort lui aussi, mais au moins vous n’aurez plus qu’un seul mot de passe dont vous devrez vous souvenir.

Comment cela se passe-t-il concrètement par la suite ?

Bitwarden vous permettra de pouvoir être bien plus productif en vous retirant cette épine du pied qu’est de se remémorer des centaines de mots de passe forts (vous avez très certainement bien mieux à faire de votre vie d’utilisateur et nous n’avons pas tous les capacités mémorielles de Rain Man).

Lorsque vous utilisez un gestionnaire de mots de passe tel que Bitwarden et que vous devez vous connecter (vous identifier) sur un site internet par exemple, plutôt que de taper le mot de passe spécifique à ce site vous n’aurez qu’à renseigner votre mot de passe maître Bitwarden qui se chargera alors de renseigner automatiquement votre identifiant et le mot de passe associé.

C’est aussi simple que cela et fonctionnera à l’identique sur tous les sites internet que vous utilisez ainsi que pour vos logiciels.

Lorsqu’il s’agit de la création d’un compte sur un site internet, Bitwarden vous permettra de générer un mot de passe fort et unique de manière réellement aléatoire.

Pourquoi utiliser le gestionnaire de mots de passe de votre navigateur est une mauvaise idée ?

Comme la majorité d’entre nous, il y a fort à parier que vous utilisez Google Chrome, Mozilla Firefox ou encore Microsoft Internet Explorer (devenu Edge) pour naviguer sur internet. Ceux-ci intègrent déjà en leur sein un gestionnaire de mots de passe afin de les enregistrer.

Pourtant, ces différents gestionnaires de mots de passe internes aux navigateurs ne sont pas comparables à la fiabilité et à la sécurisation qu’offrent les « vrais » logiciels de gestionnaire de mots de passe comme Bitwarden.

Par exemple, Chrome et Internet Explorer stockent vos mots de passe sur votre ordinateur dans un fichier qui n’est même pas sécurisé lui-même. Il est consultable et disponible « en clair », sans être chiffré… Une catastrophe pour la sécurisation de vos mots de passe.

Certains pourront dire qu’il suffit alors d’encrypter son disque dur en utilisant un logiciel prévu à cet effet, mais pourquoi ne pas utiliser un logiciel réellement conçu pour la tâche dont vous avez besoin ? De plus, cela sera bien plus simple et tout aussi efficace d’utiliser Bitwarden (et nous rappelons qu’en plus de cela il est gratuit).

Firefox de son côté utilise un mot de passe maître pour son gestionnaire interne et permet donc le chiffrement de vos mots de passe sauvegardés en un fichier protégé sur votre ordinateur. Malheureusement pour Firefox (à qui il faut reconnaître d’avoir fait un effort), il n’est pas encore la solution idéale pour gérer vos mots de passe car celui-ci ne vous permettra pas dans son interface de générer automatiquement et aléatoirement des mots de passe lorsque vous vous inscrivez quelque part.

De plus et contrairement à Bitwarden, il ne vous permettra pas de jouir de l’utilisation d’un logiciel multiplateforme qui vous permettra de synchroniser absolument tous vos périphériques entre eux pour utiliser votre coffre-fort de mots de passe.

En conclusion, un gestionnaire de mots de passe comme Bitwarden stockera vos identifiants et mots de passe en les chiffrant, vous permettra de générer des mots de passe forts qui seront réellement sécurisés, vous permettra de bénéficier d’une interface puissante et simple d’utilisation et surtout vous permettra de pouvoir vous connecter grâce à un mot de passe maître depuis n’importe lequel de vos périphériques, qu’il soit un ordinateur, un smartphone ou une tablette tactile.

Débuter avec Bitwarden : choisir son mot de passe maître

La première grande étape après avoir installé Bitwarden sera de choisir votre mot de passe maître, aussi appelé « master password » en anglais. C’est lui qui contrôle l’accès à la base de données de Bitwarden qui contient tous les autres mots de passe. Il s’agit donc d’un point critique à ne surtout pas négliger.

Ce mot de passe maître devra donc être particulièrement renforcé comme expliqué auparavant et puis, après tout, il s’agit de l’unique mot de passe dont vous devrez vous souvenir.

Vous pourrez par la suite conserver ce mot de passe sur papier dans un endroit sécurisé auquel personne d’autre n’a accès (pour les plus sérieux d’entre nous, celui-ci peut être conservé sur papier dans un coffre-fort).

Il vous sera possible de modifier ce mot de passe mais uniquement dans le cas où vous vous souvenez du mot de passe maître à modifier. Il est donc absolument essentiel de ne pas perdre votre mot de passe maître sous peine de « perdre » tous vos mots de passe gérés par Bitwarden.

Sécurisez vos mots de passe déjà existants

Après avoir choisi votre mot de passe maître, il est intéressant de procéder à la sécurisation de tous vos accès aux sites que vous utilisez déjà. Vous pourrez ainsi, par exemple, vous baser sur les mots de passe déjà enregistrés dans le gestionnaire de votre navigateur (Chrome, Firefox…).

Il y a fort à parier en effet que vous utilisez déjà des mots de passe peu sûrs et il est donc bon de procéder à un « ménage » en modifiant compte par compte l’existant en utilisant le générateur de mots de passe de Bitwarden.

L’autre aspect intéressant de l’utilisation d’un gestionnaire de mot de passe comme Bitwarden et dont nous n’avons encore pas parlé est que vous pourrez être efficacement protégé contre le « phishing ».

Le phishing (ou « hameçonnage » en français) est une technique employée par les pirates informatiques consistant à vous faire croire que vous allez vous authentifier sur une page web que vous connaissez (typiquement la page de connexion de votre banque) et cela dans le but de récupérer votre login/mot de passe. La page d’hameçonnage est ainsi pratiquement identique en tout point à la véritable page dont vous avez l’habitude, la seule différence résidant en son adresse internet que l’on ne voit hélas que difficilement sur son smartphone.

Puisque Bitwarden sait quel mot de passe utiliser selon la page que vous visitez et qui requiert une authentification, si vous tombez sur une page copiant la véritable afin de vous soutirer vos identifiants de connexion, votre gestionnaire de mot de passe ne reconnaitra pas la page « pirate ».

Cela se verra tout simplement parce que Bitwarden sera incapable de remplir automatiquement vos identifiants grâce à votre mot de passe maître puisqu’il ne connait cette page.

Ci-dessus, une capture écran du fameux coffre-fort en ligne de Bitwarden : simple mais efficace.

Petite histoire d’un grand logiciel : l’épopée de Bitwarden

Comme bien souvent dans le monde du libre (le monde des logiciels open-source), le développement des logiciels se fait par palier apportant des ajouts de fonctionnalités majeures.

Le projet Bitwarden débuta en Août 2016 par le lancement d’une première version conçue tout spécialement pour les applications mobiles sous iOS et Android ainsi que des extensions pour les navigateurs Chrome et Opera. Une extension pour Firefox arriva dès Février 2017.

En février 2017 toujours, le navigateur web open-source « Brave Web Browser » inclut d’office Bitwarden en son sein en remplacement de son gestionnaire de mots de passe natif (similaire à ceux des autres navigateurs avec toutes les failles de sécurité que nous évoquions précédemment).

En janvier 2018, Bitwarden fit une entrée fracassante dans la « Safari Extensions Gallery » pour être proposé comme gestionnaire de mot de passe compatible (car adapté pour l’occasion dans une extension officielle) au navigateur web d’Apple : Safari.

Très rapidement et dès février de la même année, Bitwarden proposa de gérer les mots de passe des logiciels de votre ordinateur, qu’il soit sous un système d’exploitation MacOS, Windows ou Linux. Bitwarden n’était alors plus qu’un simple logiciel se focalisant sur les applications mobiles ou les sites internet. Cette version pour « desktop » (ordinateur de bureau) fut conçue comme une variante de son application web existante (ses extensions pour les différents navigateurs déjà cités) grâce au framework open-source Electron.

Seulement un mois plus tard, Bitwarden fut disponible via le Microsoft Store pour être utilisé comme extension sur le navigateur Microsoft Edge (successeur d’Internet Explorer).

En mars 2018, Bitwarden subit des critiques très virulentes par rapport à la sécurisation de son « coffre-fort Web » (le « Web vault » en anglais) : ce dernier fut conçu à l’aide de bouts de code en Javascript pris des bibliothèques BootstrapCDN, Braintree, Google ou encore Stripe.

Ces bibliothèques tierce-parties permettant à Bitwarden d’embarquer des scripts déjà « préconçus » apportaient des potentielles failles de sécurité à la base de données du logiciel qui conserve tous vos mots de passe. Tous ces codes tierce-parties furent supprimés dès juillet 2018 grâce à la sortie d’une mise à jour spéciale « coffre-fort Web 2.0 » de Bitwarden. Les potentielles failles de sécurité furent ainsi totalement dissipées.

Bitwarden vous avertira quand un mot de passe n’est plus suffisamment sécurisé.Motdepasse27

Dans le même temps en mai 2018, Bitwarden permit aux utilisateurs expérimentés d’utiliser le logiciel en ligne de commande, permettant du même coup à ces utilisateurs de créer leurs propres scripts applicatifs pour l’usage des données du coffre-fort de Bitwarden.

Toujours en parallèle, le navigateur web « Cliqz » (un fork du navigateur web Firefox mettant l’accent sur la protection de la vie privée) effectua un audit de sécurité poussé sur l’extension Firefox proposée par Bitwarden. La conclusion fut qu’il n’y avait aucun point négatif pouvant impacter la sécurité des utilisateurs utilisant cette extension de Bitwarden.

Suite à ce constat, l’extension fut proposée comme solution alternative au gestionnaire de mots de passe natif du navigateur web directement via ce dernier dans les options des extensions.

En octobre 2018, ce fut au tour de la firme « Cure53 » (une société allemande reconnue qui est spécialisée dans le domaine de la cybersécurité) de procéder à un audit très poussé et complet des aspects sécuritaires de Bitwarden, notamment en procédant à un audit de son code source ainsi que de la solution cryptographique employée pour sécuriser les mots de passe. S’y ajouta un audit complet du code tierce-partie du logiciel : si 5 failles furent découvertes, une seule nécessitait une action directe de l’équipe de développement de Bitwarden.

Pour autant, la conclusion du rapport de cet audit fut concluant, Bitwarden étant « globalement bien sécurisé » et cela grâce à la réactivité exemplaire des développeurs de celui-ci qui mirent en place le « bug bounty program » permettant aux utilisateurs du monde entier de faire remonter bugs et failles devant être corrigés (et cela dès juillet 2017 via la plateforme HackerOne).

Les audits de la firme Cure53 furent commandés par « 8bit Solutions », c’est-à-dire la maison mère de Bitwarden. C’était tout l’écosystème du gestionnaire de mots de passe qui fut testé, notamment grâce à un test d’intrusion en mode boîte blanche mais également en testant aussi bien les diverses versions, les extensions ou encore entre les applications clientes et l’infrastructure serveur de Bitwarden. Toutes les failles découvertes furent comblées.

Au moment où nous écrivons ces lignes, Bitwarden est évidemment toujours en développement et des mises à jour sont disponibles à intervalles réguliers.

Mais qui se cache derrière Bitwarden et surtout, « pourquoi Bitwarden » ?

Kyle Spearrin est le père fondateur du projet Bitwarden. Architecte logiciel de métier, celui-ci est particulièrement exigeant dès qu’il s’agit du domaine de la cybersécurité. Non seulement il exige une sécurisation exemplaire de ses mots de passe mais également une utilisation simple et agréable du gestionnaire qu’il utilise.

Jusqu’en 2016, Kyle Spearrin utilisait Lastpass (qui permettait d’utiliser de manière synchrone sur le web ses mots de passe) mais ce logiciel gratuit fut racheté par LogMeIn. C’est alors que nombre d’utilisateurs préfèrent se tourner vers des solutions alternatives open source.

C’est hélas sans succès et Kyle Spearrin ne trouva pas son bonheur malgré Keepass, un gestionnaire de mots de passe très réputé mais qui a le désavantage d’être (selon M. Spearrin) doté d’une interface ne permettant pas une utilisation simple.

C’est ainsi que Spearrin décida de développer sa propre solution en travaillant de nuit pendant presque une année : le projet Bitwarden débuta. Pour parvenir à ses fins, ce développeur acharné se reposa sur le crowdfunding via Kickstarter qui, de part cette campagne de financement participatif, récolta 7 016 dollars pour développer son logiciel.

L’accent fut évidemment mis sur la sécurisation des données : chiffrement AES-256, salage et application de la norme PBKDF2, ce ne fut pas les seules manières de rendre Bitwarden exemplaire. Les serveurs abritant les mots de passe (le coffre-fort Web) n’utilisent alors que des données chiffrées : si des pirates s’emparaient des accès aux serveurs, ceux-ci ne pourraient utiliser les données contenues dessus puisque étant chiffrées (cryptées).

Se remémorant la déception du rachat de Lastpass par LogMeIn, Spearrin décida de ne pas prendre en otage les utilisateurs de Bitwarden en proposant des solutions d’exportation des données (les mots de passe) vers d’autres solutions logicielles.

Ceci apporta également le grand avantage de ne pas se reposer uniquement sur les serveurs backend de Bitwarden qui, s’ils étaient hors-ligne suite à des actes de piratages ou à une panne, de pouvoir tout de même se tourner vers des solutions alternatives.

À l’écoute de ses utilisateurs, Spearrin modifia assez rapidement une sécurité majeure concernant l’utilisation du mot de passe maître : souvenez-vous que le mot de passe maître doit être fort et donc complexe.

Bitwarden ne laissait dans ses premières versions alors pas d’autres choix que de contenir au minimum un caractère spécial ou un numéro. Cette mesure de sécurité était un inconvénient majeur pour un grand nombre d’utilisateurs et Spearrin modifia cela en conséquence.

En dernier lieu, Bitwarden est exemplaire en ce qui concerne sa « philosophie open source » puisque toutes les ressources sont disponibles et ouvertes à toutes et tous, de l’application cliente aux serveurs daemons. Vous pouvez donc utiliser l’application Bitwarden sans aucun souci pour l’intégrer à vos projets personnels. L’autre avantage de bénéficier d’une telle ouverture du code source est de permettre à quiconque de tester la sécurité de Bitwarden sans avoir à en demander la permission.

Mais comment un logiciel utilisant des serveurs peut-il rester gratuit ?

Cette question légitime fut posée dès 2016 par de nombreux utilisateurs : si le succès était au rendez-vous, comment Spearrin et sa société 8bit Solutions pourraient supporter les coûts de la maintenance des serveurs qui deviendraient beaucoup plus importants ? En utilisant deux plans tarifaires.

C’est ainsi qu’aujourd’hui il existe plusieurs options pour une utilisation personnelle ou professionnelle. Comme le dit si bien le site officiel de Bitwarden, la version pour un usage personnel est réellement gratuite et non un « faux essai gratuit ».

Pour un usage personnel ou familial

Gratuit à vie, vous pourrez utiliser seul Bitwarden afin d’utiliser toutes ses versions applicatives, synchroniser tous vos périphériques tels que vos ordinateurs, smartphones et tablettes tactiles, utiliser une double authentification (gage d’une sécurité renforcée) et même de la possibilité d’héberger vous-même votre propre coffre-fort Web sur votre serveur.

Pour une utilisation familiale, vous pourrez monter à 5 utilisateurs différents pour la modique somme de 1 dollar par mois. Vous bénéficierez en outre d’un espace de stockage chiffré de 1Go ainsi que de « rapports de santé » de votre coffre-fort pour savoir si vos mots de passe sont suffisamment forts.

Une version Premium est également disponible pour seulement 10 dollars annuels et qui vous permettra de bénéficier en supplément de méthodes d’authentification encore plus poussées, tels que Duo, YubiKey et U2F.

A cela s’y ajoute une nouvelle option Premium nommée « TOTP authenticator » calquée sur Google authenticator qui permet une double authentification pour se connecter via des QR-code : une application mobile Bitwarden vous permettra ainsi d’utiliser l’appareil photo numérique de votre smartphone afin de scanner un QRcode permettant de vous connecter via cette sécurité supplémentaire (double authentification) à votre coffre-fort de mots de passe.

Voici un QRcode reçu sur mobile pour une double authentification.

Pour un usage professionnel

Retrouvez une version totalement gratuite pour 2 utilisateurs, puis une offre à seulement 5 dollars mensuels pour 5 utilisateurs (+ 2 dollars par utilisateurs supplémentaires si besoin) ainsi qu’une offre « Entreprise » proposant un tarif unique de 3 dollars mensuels par utilisateurs.

Les fonctions de Bitwarden pour un usage professionnel sont très nombreuses et idéales pour tous types d’organisations :

Partage en équipe : Partagez en toute confiance vos logins et mots de passe avec vos collaborateurs
Stockage de fichiers : Stockez et partagez sans risque vos fichiers les plus sensibles tels que vos clés privées et certificats mais aussi vos photos et autres documents sensibles
Contrôle d’accès renforcé : Mettez en place des politiques de contrôle d’accès selon différents types de profils utilisateurs pour votre coffre-fort
Groupes d’utilisateurs : Utilisez des groupes d’utilisateurs pour permettre un contrôle accru entre les différents services et équipes de votre organisation
Authentification multi-facteurs (double authentification) : Renforcez votre politique multi-facteurs de connexions de vos utilisateurs grâce à la double authentification en intégrant Duo Security (ou d’autres)
Politiques globales d’entreprises : Forcez la double authentification pour tous vos collaborateurs et ainsi garantir une parfaite sécurisation de votre organisation
Rapports de santé de votre coffre-fort : Auditez simplement votre coffre-fort pour savoir si les mots de passe utilisés par votre entreprise sont assez forts
Logs d’évènements : Surveillez efficacement les différentes actions et modifications effectuées par les utilisateurs de votre entreprise au travers des journaux logs détaillés
Synchronisation avec Active Directory : Synchronisez vos groupes d’utilisateurs existants sous Active Directory (LDAP et autres), Azure, G Suite, OneLogin et Okta
Accès API : Une API très flexible vous permettra d’intégrer Bitwarden à vos outils et systèmes existants
Hébergement on-site : Hébergez et déployez facilement Bitwarden sur vos serveurs sans aucune dépendance avec des services externes de Cloud

Il est à noter qu’en version Entreprise vous bénéficiez automatiquement de toutes les options Premium ainsi que d’un support technique prioritaire.

Bitwarden – Toutes Plateformes

Bitwarden VS LastPass : est-ce qu’un gestionnaire open source peut être meilleur ?

Dans les différents choix qui s’offrent aux utilisateurs en matière de gestionnaires de mots de passe, il y a bien évidemment Bitwarden mais également LastPass. Depuis son rachat par LogMeIn, ce dernier a bénéficié d’un développement encore plus soutenu mais qu’en est-il si l’on devait mettre en concurrence un logiciel propriétaire (et donc payant) comme LastPass avec un logiciel open source gratuit comme Bitwarden ? Quel est le logiciel qui sera le plus sécurisé pour vos mots de passe ?

Pour répondre à cette dernière question, il est important de comprendre que même si ces deux concurrents ont basiquement pour objectif de proposer la même chose, il existe d’énormes différences entre eux.

Fonctionnalités basiques des deux logiciels

Bitwarden ne dispose pas forcément d’autant d’options que LastPass, cependant et puisqu’il est open source il est probable qu’un informaticien ait déjà développé ce que vous recherchez sous forme d’add-on. Vous pouvez donc être assuré que Bitwarden continuera de gagner en fonctionnalités grâce aux nombreuses idées et demandes de sa communauté d’utilisateurs. De plus, si Bitwarden dispose de moins d’options, il dispose tout de même de plus de fonctionnalités réellement importantes dans sa version gratuite alors qu’il vous faudra payer pour LastPass.

Les fonctionnalités gratuites de Bitwarden sont :

Un générateur de mot de passe
La synchronisation à un nombre illimité de différents périphériques
Un stockage sans limite de vos mots de passe
La possibilité de remplir automatiquement les formulaires de connexion par Bitwarden

Pour ce qui est des options payantes, vous aurez l’avantage de bénéficier (entre autres) de :

Rapports sur la santé de votre coffre-fort pour vérifier la sécurité des mots de passe que vous utilisez quotidiennement (sans les voir puisque c’est le mot de passe maître que vous utiliserez tous les jours)
1 Go de stockage sur un espace chiffré et donc ultra-sécurisé pour vos documents et fichiers les plus sensibles

LastPass dispose des mêmes fonctionnalités gratuites. Pour ce qui est des fonctionnalités payantes en Premium, la principale différence réside en la possibilité de partager ses mots de passe avec un nombre illimité d’utilisateurs, ce qui est possible avec Bitwarden mais en version Entreprise (payante).

Pour y voir plus clair sur leurs différences, voici un tableau récapitulatif de ce que proposent (et/ou ne proposent pas) les deux logiciels :

	Bitwarden	LastPass
Double Authentification		
Chiffrement	AES 256-bit	AES 256-bit
Synchronisation sur plusieurs périphériques	 Gratuitement	 Payant
Sauvegardes & Restaurations	 Version Cloud	
Application mobile	 Android, iOS & Windows	 Android, iOS & Windows
Générateur de mots de passe		
Extensions de navigateurs web	Chrome, Firefox, Linux, Safari, Microsoft Edge, Opera, Vivaldi, Brave & Tor Browser	Chrome, Firefox, Linux, Safari, Internet Explorer & Microsoft Edge
Auto-Importation de mots de passe		
Remplissage automatique dans les formulaires de connexion		
Email		
Support par Chat		
Support par téléphone		
FAQ		
Langues disponibles	Anglaise ( + traductions de bénévoles)	Anglaise
Support 24/7		

Revenons un peu plus en détail sur différentes fonctionnalités principales ô combien importantes pour un gestionnaire de mots de passe digne de ce nom :

Double Authentification (ou Authentification Multi-Facteurs)

La double authentification ou vérification en deux étapes, ou encore authentification multi-facteurs (two-factor authentification ou 2FA mais aussi multi-factor authentification ou MFA) désigne une méthode d’authentification forte afin de se connecter après avoir présenté deux preuves d’identités distinctes. Ainsi, un seul mot de passe ne sera pas suffisant puisqu’il faudra une seconde manière de s’authentifier, comme par exemple en renseignant un code à durée de validation limitée reçue sur votre mobile par SMS ou un QRcode.

Les versions gratuites de Bitwarden et de LastPass proposent toutes le support de la double authentification, ajoutant ainsi une couche supplémentaire de protection : même avec un mot de passe dévoilé à un pirate, celui-ci ne pourrait s’authentifier sans posséder votre smartphone (et son mot de passe s’il y en a un).

Bitwarden propose donc la double authentification via les solutions YubiKey, Fido U2F et Duo. LastPass propose quant à lui dans sa version Premium (Payante) un peu plus de méthodes telles que Yubikey, Sesame, Duo, Google Authenticator, Microsoft Authenticator ainsi que l’identification biométrique (par empreinte digitale via votre smartphone par exemple).

Extensions pour navigateurs web

Les deux logiciels proposent de remplir automatiquement les champs login et mot de passe sur votre navigateur web. Lorsque vous visitez une page internet qui affiche une boîte de dialogue pour vous connecter, Bitwarden ou LastPass vous proposeront de remplir pour vous les informations nécessaires pour vous connecter après avoir renseigné votre mot de passe maître (pour rappel, le seul dont vous devez absolument vous souvenir, tous les autres mots de passe étant pris en charge automatiquement par ces logiciels).

Si vous disposez de plusieurs comptes, vous pourrez choisir avec lequel vous connecter.

L’avantage est clairement en faveur de Bitwarden par rapport à son concurrent en proposant une prise en charge de plusieurs autres navigateurs web. De plus, si LastPass propose étonnamment le support d’Internet Explorer aujourd’hui désuet puisque remplacé par Edge (que Bitwarden prend en charge), ce dernier propose également une extension pour le navigateur Tor qui est réputé être le plus fiable en matière de protection pour votre vie privée (il est d’ailleurs surtout connu pour permettre un accès anonyme au réseau caché « Darknet »).

Générateur de mots de passe

Facilement accessible depuis les extensions pour navigateurs web, les deux gestionnaires de mot de passe sont exemplaires à leurs manières pourtant distinctes :

Le générateur de mot de passe de LastPass par exemple vous permettra de générer des mots de passe « simples à mémoriser » grâce à ses options « simple à prononcer » ou « simple à lire ». Selon nous, il s’agit d’une aberration car en matière de sécurité, rien de pire que de ne pas laisser une très large place aux caractères spéciaux et à la génération totalement aléatoire et donc non humaine d’un mot de passe. Pourtant, beaucoup de sites placent cette fonction comme l’une des meilleures de LastPass par rapport à ses concurrents.

De son côté, le générateur de mots de passe de Bitwarden est également très avancé puisqu’en plus de choisir vous-même vos mots de passe vous pourrez en générer des énormes avec des « passphrases » qui vont jusqu’à 20 mots. Bitwarden est également capable de conserver un historique de vos anciens mots de passe ce qui peut vous aider pour récupérer un mot de passe oublié.

Hébergez vous-même votre coffre-fort de mots de passe

L’une des fonctionnalités les plus importantes de Bitwarden est de permettre à ses utilisateurs d’héberger eux-mêmes leurs données sans passer par le Cloud et donc une solution tierce dont ils n’ont pas un contrôle total.

Vous pouvez donc stocker vos données chiffrées sur le serveur de votre choix plutôt que d’être obligé de les mettre sur les serveurs d’une compagnie. Cela vous permettra donc de ne pas compromettre vos données sensibles si jamais des failles de sécurité étaient exploitées sur les serveurs de Bitwarden (bien que les différents audits aient démontré la robustesse de l’infrastructure réseau de Bitwarden et que même si cela était le cas, les données seraient inutilisables en raison du chiffrement de celles-ci).

Bien évidemment, mettre en place un serveur n’est pas à la portée de tous et il vous faudra avoir certaines compétences techniques, bien que cette solution soit grandement simplifiée grâce à l’utilisation de « Docker ». Docker est un logiciel open source permettant l’empaquetage d’une application et de ses dépendances dans un conteneur isolé pouvant être exécuté sur n’importe quel serveur. À ce titre, Docker n’est pas une solution de virtualisation mais plutôt de conteneurisation.

LastPass de son côté ne propose aucune solution pour héberger soi-même ses données.

A noter que les équipes techniques de Bitwarden ainsi que ses développeurs n’ont accès à vos données même s’ils le voulaient puisque toutes les données sont chiffrées.

Tarifs

Il est toujours bon de pouvoir également comparer les tarifs même si, comme nous allons le voir, ceux-ci sont intimement liés aux fonctionnalités techniques par rapport à vos besoins.

Tout comme Bitwarden, LastPass propose une offre gratuite et une offre Premium payante, mais pour autant ce dernier est bien sous licence propriétaire et ne fait pas parti du monde des logiciels libres (open source) : son code est fermé, ce qui signifie que vous n’avez aucun droit de regard sur le code que vous ne pouvez tester, modifier et donc améliorer.

Vous retrouverez avec LastPass dans son offre gratuite, le stockage de vos mots de passe, la possibilité de partager vos mots de passe avec d’autres utilisateurs, la double authentification, le remplissage automatique des identifiants de connexion dans les formulaires ainsi qu’une fonction « Security Challenge » permettant de procéder à un audit rapide de la robustesse des mots de passe que vous utilisez.

En Premium, l’offre est plus complexe puisqu’en plus d’une version familiale s’y ajoute 4 plans différents pour des offres Business. Ces plans business diffèrent surtout par rapport au nombre d’utilisateurs qui pourront utiliser la licence LastPass quand Bitwarden préfère tout simplement ajouter un montant très faible par utilisateurs supplémentaires.

D’ailleurs, Bitwarden offre une très forte valeur ajoutée à ses offres Premium en incluant un espace de stockage chiffré de 1 Go, ou encore en proposant une authentification TOTP qui reste l’une des méthodes de sécurité des plus puissantes à l’heure actuelle.

En comparant ce qui est comparable, Bitwarden s’en sort haut la main avec son offre gratuite qui offre bien plus d’options et de fonctionnalités que LastPass.

Prise en main et utilisation

LastPass a la réputation d’être très simple à utiliser, mais peut-être trop simple en vulgarisant un domaine qui, même s’il semble complexe, est assez simple à prendre en main. Tout comme Bitwarden, il permet d’importer ses mots de passe existants après installation et création de son mot de passe maître.

Bitwarden à l’inverse ne se veut pas forcement être le plus simple parce qu’il souhaite proposer les meilleures fonctionnalités à ses utilisateurs qui sont soucieux de posséder une sécurité maximale. A trop simplifier, il arrive que l’on y perde en sécurisation (voire l’exemple de la génération de mots de passe facile à retenir de LastPass).

Contrairement à ce qui est dit sur beaucoup de sites, Bitwarden n’en est pas moins très simple d’utilisation dans ses fonctions basiques et il vous appartiendra de décider si vous souhaitez essayer les fonctionnalités avancées. D’ailleurs, LastPass ne possède pas d’interface en ligne de commande, ce qui est très dommageable pour les utilisateurs plus expérimentés qui ne pourront créer leurs propres scripts.

Le type de difficultés qui sont décriées sur de nombreux sites sont du genre « Bitwarden nécessite un export de vos mots de passe des autres logiciels avant de pouvoir les importer en son sein ». Aucune difficulté à cela puisqu’il s’agit de simplement enregistrer vos mots de passe existants en provenance d’autres logiciels au format CSV. En comparaison, nous pourrions dire que n’importe quel traitement de texte est très compliqué car il faut enregistrer un fichier ! Cette mauvaise foi ne fait pas honneur à LastPass, bien que son interface gratuite épurée en fait le parfait gestionnaire de mots de passe « plug-and-play ».

Si vous aimez la technique, vous risquez de trouver décevant LastPass. Si vous êtes débutant, vous ne devrez heureusement pas être rebuté par l’utilisation de Bitwarden qui reste très simple. Certes, il dispose de plus de fonctionnalités avancées, mais c’est justement là sa grande force face à son concurrent direct.

Sécurité

Il arrive de tomber sur des comparatifs affirmant que LastPass serait plus sécurisé dans son chiffrement en utilisant l’algorithme AES 256-bit qui offre une sécurisation d’un niveau militaire. C’est exactement le cas de Bitwarden et de nombreux autres logiciels. Il est encore une fois malhonnête d’affirmer que LastPass est plus sécurisé que Bitwarden.

Le chiffrement AES 256-bit qu’utilisent les deux logiciels est effectivement d’un niveau de sécurisation militaire puisque même la NSA est encore aujourd’hui incapable de déchiffrer du contenu chiffré par cet algorithme puissant. L’AES-256 est d’ailleurs l’algorithme de chiffrement recommandé pour nos administrations tels que les ministères, en particulier celui de la Défense.

LastPass possède néanmoins un avantage sur Bitwarden : il propose plus de méthodes de double authentification.

Cependant, LastPass a souffert de lacunes et de failles de sécurité par le passé, dont une qui permettait à des pirates de récupérer et de manipuler vos mots de passe stockés. Cette faille absolument désastreuse concernait toutes les extensions pour navigateurs web mais, bien heureusement, fut comblée dans les 24h après sa découverte.

L’autre grand désavantage de LastPass, c’est qu’il n’est pas open source, ce qui signifie que vous êtes obligé de faire confiance en l’équipe qui gère le logiciel. Bitwarden de son côté n’a même pas accès à vos données puisqu’elles sont toutes chiffrées sur leurs serveurs. Un point de distinction important est que Bitwarden laisse la possibilité d’héberger vous-même vos données sur votre serveur, alors qu’avec LastPass vous êtes obligé de laisser vos données à une compagnie dont l’objectif est évidemment de faire du profit.

Ajoutez manuellement un mot de passe à votre coffre-fort si nécessaire.

Support technique

L’avantage va très clairement à Bitwarden en ce qui concerne toute l’aide dont vous pourriez avoir besoin, mais cela n’est pas étonnant dans le monde des logiciels open source où le partage et l’entraide font partie d’une philosophie.

La FAQ de LastPass est moindre quand celle de Bitwarden est très conséquente et surtout très simple à comprendre. Lorsque vous envoyez un mail au support technique de LastPass, vous devrez bien souvent attendre 3 jours ouvrés quand pour Bitwarden vous obtiendrez une réponse dans les 24 heures.

Les forums des deux logiciels sont bien souvent les meilleures sources d’aide. Etant open source, Bitwarden prend une fois de plus l’avantage sur son concurrent puisque c’est une communauté active d’utilisateurs qui échangent à propos du logiciel.

Conclusion du comparatif Bitwarden VS LastPass

Pour les utilisateurs expérimentés, les grandes organisations, tous ceux qui veulent une sécurisation maximale et plein d’options, c’est bien Bitwarden qui remporte la bataille. Si vous souhaitez quelque chose d’ultra-simplifié, qui fait presque tout tous seul, LastPass devrait vous combler.

Aucun de ces deux logiciels n’est meilleur que l’autre si l’on veut généraliser, tout dépend de vos besoins, de vos attentes et de votre budget dans certains cas.

Pour rester juste dans notre analyse, nous pouvons reconnaître que la très grande force de LastPass réside en son interface graphique extrêmement agréable et simplifiée au maximum pour ses extensions web.

Bitwarden proposera non pas le gestionnaire de mot de passe le plus simple (bien que nous ayons du mal à comprendre où se situent les difficultés liées à l’utilisation mais prenons en compte les arguments des utilisateurs), toutefois il sera le logiciel qui offre le plus de possibilités pour une sécurisation absolument maximale. Les utilisateurs plus expérimentés se réjouiront de posséder ce qui se fait de mieux dans l’arsenal de l’informaticien soucieux de bénéficier d’une sécurisation irréprochable.

N’oublions pas que LastPass est intimement lié au développement de Bitwarden puisque c’est le rachat de LastPass par la société LogMeIn qui poussa le créateur de Bitwarden à développer ce gestionnaire de mots de passe.

Ce qui nous plaît le plus c’est qu’avec Bitwarden nous ne sommes pas pris en otage : même si les serveurs ou l’infrastructure réseau de Bitwarden étaient attaqués avec succès (ce qui n’est gagné même pour les équipes de hackeurs les plus compétentes au monde), vous aurez toujours des alternatives pour ne jamais avoir de souci avec vos différents accès à vos logiciels et sites internet.

Mieux encore : Bitwarden a été audité de la manière la plus virulente possible et sur tous ses aspects (dont son code source) afin d’en découvrir ses failles et des utilisateurs (et hackeurs) chevronnés s’attèlent à continuer de vérifier que la sécurisation du logiciel est tout simplement optimale.

LastPass quant à lui a souffert en Juin 2015 d’une attaque qui a permis à des pirates de récupérer les adresses des comptes mail de ses utilisateurs, leurs mails de renvoi de mots de passe, la liste « server-per-user » ainsi que les hashs d’authentification. Autant dire qu’il s’agissait alors d’une véritable catastrophe pour l’image de marque du logiciel même s’il n’y a aucune preuve que le moindre mot de passe ait été dévoilé.

Pire encore, il ne s’agissait pas de la première attaque fructueuse puisqu’une toute autre attaque de hackers était déjà à déplorer en 2011. Le site lemondeinformatique.fr qualifia alors le logiciel de « service pratique mais vulnérable », ce qui nous semble être une parfaite conclusion en ce qui concerne LastPass.

Si vous souhaitez le meilleur des meilleurs des gestionnaires de mots de passe, le plus robuste et le plus complet en version gratuite, c’est bien Bitwarden qui gagne haut la main face à ses concurrents (même payants).