Bitwarden VS LastPass : est-ce qu’un gestionnaire open source peut être meilleur ?

Dans les différents choix qui s’offrent aux utilisateurs en matière de gestionnaires de mots de passe, il y a bien évidemment Bitwarden mais également LastPass. Depuis son rachat par LogMeIn, ce dernier a bénéficié d’un développement encore plus soutenu mais qu’en est-il si l’on devait mettre en concurrence un logiciel propriétaire (et donc payant) comme LastPass avec un logiciel open source gratuit comme Bitwarden ? Quel est le logiciel qui sera le plus sécurisé pour vos mots de passe ?

Pour répondre à cette dernière question, il est important de comprendre que même si ces deux concurrents ont basiquement pour objectif de proposer la même chose, il existe d’énormes différences entre eux.

Fonctionnalités basiques des deux logiciels

Bitwarden ne dispose pas forcément d’autant d’options que LastPass, cependant et puisqu’il est open source il est probable qu’un informaticien ait déjà développé ce que vous recherchez sous forme d’add-on. Vous pouvez donc être assuré que Bitwarden continuera de gagner en fonctionnalités grâce aux nombreuses idées et demandes de sa communauté d’utilisateurs. De plus, si Bitwarden dispose de moins d’options, il dispose tout de même de plus de fonctionnalités réellement importantes dans sa version gratuite alors qu’il vous faudra payer pour LastPass.

Les fonctionnalités gratuites de Bitwarden sont :

  • Un générateur de mot de passe

  • La synchronisation à un nombre illimité de différents périphériques

  • Un stockage sans limite de vos mots de passe

  • La possibilité de remplir automatiquement les formulaires de connexion par Bitwarden

Pour ce qui est des options payantes, vous aurez l’avantage de bénéficier (entre autres) de :

  • Rapports sur la santé de votre coffre-fort pour vérifier la sécurité des mots de passe que vous utilisez quotidiennement (sans les voir puisque c’est le mot de passe maître que vous utiliserez tous les jours)

  • 1 Go de stockage sur un espace chiffré et donc ultra-sécurisé pour vos documents et fichiers les plus sensibles

LastPass dispose des mêmes fonctionnalités gratuites. Pour ce qui est des fonctionnalités payantes en Premium, la principale différence réside en la possibilité de partager ses mots de passe avec un nombre illimité d’utilisateurs, ce qui est possible avec Bitwarden mais en version Entreprise (payante).

Pour y voir plus clair sur leurs différences, voici un tableau récapitulatif de ce que proposent (et/ou ne proposent pas) les deux logiciels :

Bitwarden

LastPass

Double Authentification

Chiffrement

AES 256-bit

AES 256-bit

Synchronisation sur plusieurs périphériques

Gratuitement

Payant

Sauvegardes & Restaurations

Version Cloud

Application mobile

Android, iOS & Windows

Android, iOS & Windows

Générateur de mots de passe

Extensions de navigateurs web

Chrome, Firefox, Linux, Safari, Microsoft Edge, Opera, Vivaldi, Brave & Tor Browser

Chrome, Firefox, Linux, Safari, Internet Explorer & Microsoft Edge

Auto-Importation de mots de passe

Remplissage automatique dans les formulaires de connexion

Email

Support par Chat

Support par téléphone

FAQ

Langues disponibles

Anglaise ( + traductions de bénévoles)

Anglaise

Support 24/7

Revenons un peu plus en détail sur différentes fonctionnalités principales ô combien importantes pour un gestionnaire de mots de passe digne de ce nom :

Double Authentification (ou Authentification Multi-Facteurs)

La double authentification ou vérification en deux étapes, ou encore authentification multi-facteurs (two-factor authentification ou 2FA mais aussi multi-factor authentification ou MFA) désigne une méthode d’authentification forte afin de se connecter après avoir présenté deux preuves d’identités distinctes. Ainsi, un seul mot de passe ne sera pas suffisant puisqu’il faudra une seconde manière de s’authentifier, comme par exemple en renseignant un code à durée de validation limitée reçue sur votre mobile par SMS ou un QRcode.

Les versions gratuites de Bitwarden et de LastPass proposent toutes le support de la double authentification, ajoutant ainsi une couche supplémentaire de protection : même avec un mot de passe dévoilé à un pirate, celui-ci ne pourrait s’authentifier sans posséder votre smartphone (et son mot de passe s’il y en a un).

Bitwarden propose donc la double authentification via les solutions YubiKey, Fido U2F et Duo. LastPass propose quant à lui dans sa version Premium (Payante) un peu plus de méthodes telles que Yubikey, Sesame, Duo, Google Authenticator, Microsoft Authenticator ainsi que l’identification biométrique (par empreinte digitale via votre smartphone par exemple).

Extensions pour navigateurs web

Les deux logiciels proposent de remplir automatiquement les champs login et mot de passe sur votre navigateur web. Lorsque vous visitez une page internet qui affiche une boîte de dialogue pour vous connecter, Bitwarden ou LastPass vous proposeront de remplir pour vous les informations nécessaires pour vous connecter après avoir renseigné votre mot de passe maître (pour rappel, le seul dont vous devez absolument vous souvenir, tous les autres mots de passe étant pris en charge automatiquement par ces logiciels).

Si vous disposez de plusieurs comptes, vous pourrez choisir avec lequel vous connecter.

L’avantage est clairement en faveur de Bitwarden par rapport à son concurrent en proposant une prise en charge de plusieurs autres navigateurs web. De plus, si LastPass propose étonnamment le support d’Internet Explorer aujourd’hui désuet puisque remplacé par Edge (que Bitwarden prend en charge), ce dernier propose également une extension pour le navigateur Tor qui est réputé être le plus fiable en matière de protection pour votre vie privée (il est d’ailleurs surtout connu pour permettre un accès anonyme au réseau caché « Darknet »).

Générateur de mots de passe

Facilement accessible depuis les extensions pour navigateurs web, les deux gestionnaires de mot de passe sont exemplaires à leurs manières pourtant distinctes :

Le générateur de mot de passe de LastPass par exemple vous permettra de générer des mots de passe « simples à mémoriser » grâce à ses options « simple à prononcer » ou « simple à lire ». Selon nous, il s’agit d’une aberration car en matière de sécurité, rien de pire que de ne pas laisser une très large place aux caractères spéciaux et à la génération totalement aléatoire et donc non humaine d’un mot de passe. Pourtant, beaucoup de sites placent cette fonction comme l’une des meilleures de LastPass par rapport à ses concurrents.

De son côté, le générateur de mots de passe de Bitwarden est également très avancé puisqu’en plus de choisir vous-même vos mots de passe vous pourrez en générer des énormes avec des « passphrases » qui vont jusqu’à 20 mots. Bitwarden est également capable de conserver un historique de vos anciens mots de passe ce qui peut vous aider pour récupérer un mot de passe oublié.

Hébergez vous-même votre coffre-fort de mots de passe

L’une des fonctionnalités les plus importantes de Bitwarden est de permettre à ses utilisateurs d’héberger eux-mêmes leurs données sans passer par le Cloud et donc une solution tierce dont ils n’ont pas un contrôle total.

Vous pouvez donc stocker vos données chiffrées sur le serveur de votre choix plutôt que d’être obligé de les mettre sur les serveurs d’une compagnie. Cela vous permettra donc de ne pas compromettre vos données sensibles si jamais des failles de sécurité étaient exploitées sur les serveurs de Bitwarden (bien que les différents audits aient démontré la robustesse de l’infrastructure réseau de Bitwarden et que même si cela était le cas, les données seraient inutilisables en raison du chiffrement de celles-ci).

Bien évidemment, mettre en place un serveur n’est pas à la portée de tous et il vous faudra avoir certaines compétences techniques, bien que cette solution soit grandement simplifiée grâce à l’utilisation de « Docker ». Docker est un logiciel open source permettant l’empaquetage d’une application et de ses dépendances dans un conteneur isolé pouvant être exécuté sur n’importe quel serveur. À ce titre, Docker n’est pas une solution de virtualisation mais plutôt de conteneurisation.

LastPass de son côté ne propose aucune solution pour héberger soi-même ses données.

A noter que les équipes techniques de Bitwarden ainsi que ses développeurs n’ont accès à vos données même s’ils le voulaient puisque toutes les données sont chiffrées.

Tarifs

Il est toujours bon de pouvoir également comparer les tarifs même si, comme nous allons le voir, ceux-ci sont intimement liés aux fonctionnalités techniques par rapport à vos besoins.

Tout comme Bitwarden, LastPass propose une offre gratuite et une offre Premium payante, mais pour autant ce dernier est bien sous licence propriétaire et ne fait pas parti du monde des logiciels libres (open source) : son code est fermé, ce qui signifie que vous n’avez aucun droit de regard sur le code que vous ne pouvez tester, modifier et donc améliorer.

Vous retrouverez avec LastPass dans son offre gratuite, le stockage de vos mots de passe, la possibilité de partager vos mots de passe avec d’autres utilisateurs, la double authentification, le remplissage automatique des identifiants de connexion dans les formulaires ainsi qu’une fonction « Security Challenge » permettant de procéder à un audit rapide de la robustesse des mots de passe que vous utilisez.

En Premium, l’offre est plus complexe puisqu’en plus d’une version familiale s’y ajoute 4 plans différents pour des offres Business. Ces plans business diffèrent surtout par rapport au nombre d’utilisateurs qui pourront utiliser la licence LastPass quand Bitwarden préfère tout simplement ajouter un montant très faible par utilisateurs supplémentaires.

D’ailleurs, Bitwarden offre une très forte valeur ajoutée à ses offres Premium en incluant un espace de stockage chiffré de 1 Go, ou encore en proposant une authentification TOTP qui reste l’une des méthodes de sécurité des plus puissantes à l’heure actuelle.

En comparant ce qui est comparable, Bitwarden s’en sort haut la main avec son offre gratuite qui offre bien plus d’options et de fonctionnalités que LastPass.

Prise en main et utilisation

LastPass a la réputation d’être très simple à utiliser, mais peut-être trop simple en vulgarisant un domaine qui, même s’il semble complexe, est assez simple à prendre en main. Tout comme Bitwarden, il permet d’importer ses mots de passe existants après installation et création de son mot de passe maître.

Bitwarden à l’inverse ne se veut pas forcement être le plus simple parce qu’il souhaite proposer les meilleures fonctionnalités à ses utilisateurs qui sont soucieux de posséder une sécurité maximale. A trop simplifier, il arrive que l’on y perde en sécurisation (voire l’exemple de la génération de mots de passe facile à retenir de LastPass).

Contrairement à ce qui est dit sur beaucoup de sites, Bitwarden n’en est pas moins très simple d’utilisation dans ses fonctions basiques et il vous appartiendra de décider si vous souhaitez essayer les fonctionnalités avancées. D’ailleurs, LastPass ne possède pas d’interface en ligne de commande, ce qui est très dommageable pour les utilisateurs plus expérimentés qui ne pourront créer leurs propres scripts.

Le type de difficultés qui sont décriées sur de nombreux sites sont du genre « Bitwarden nécessite un export de vos mots de passe des autres logiciels avant de pouvoir les importer en son sein ». Aucune difficulté à cela puisqu’il s’agit de simplement enregistrer vos mots de passe existants en provenance d’autres logiciels au format CSV. En comparaison, nous pourrions dire que n’importe quel traitement de texte est très compliqué car il faut enregistrer un fichier ! Cette mauvaise foi ne fait pas honneur à LastPass, bien que son interface gratuite épurée en fait le parfait gestionnaire de mots de passe « plug-and-play ».

Si vous aimez la technique, vous risquez de trouver décevant LastPass. Si vous êtes débutant, vous ne devrez heureusement pas être rebuté par l’utilisation de Bitwarden qui reste très simple. Certes, il dispose de plus de fonctionnalités avancées, mais c’est justement là sa grande force face à son concurrent direct.

Sécurité

Il arrive de tomber sur des comparatifs affirmant que LastPass serait plus sécurisé dans son chiffrement en utilisant l’algorithme AES 256-bit qui offre une sécurisation d’un niveau militaire. C’est exactement le cas de Bitwarden et de nombreux autres logiciels. Il est encore une fois malhonnête d’affirmer que LastPass est plus sécurisé que Bitwarden.

Le chiffrement AES 256-bit qu’utilisent les deux logiciels est effectivement d’un niveau de sécurisation militaire puisque même la NSA est encore aujourd’hui incapable de déchiffrer du contenu chiffré par cet algorithme puissant. L’AES-256 est d’ailleurs l’algorithme de chiffrement recommandé pour nos administrations tels que les ministères, en particulier celui de la Défense.

LastPass possède néanmoins un avantage sur Bitwarden : il propose plus de méthodes de double authentification.

Cependant, LastPass a souffert de lacunes et de failles de sécurité par le passé, dont une qui permettait à des pirates de récupérer et de manipuler vos mots de passe stockés. Cette faille absolument désastreuse concernait toutes les extensions pour navigateurs web mais, bien heureusement, fut comblée dans les 24h après sa découverte.

L’autre grand désavantage de LastPass, c’est qu’il n’est pas open source, ce qui signifie que vous êtes obligé de faire confiance en l’équipe qui gère le logiciel. Bitwarden de son côté n’a même pas accès à vos données puisqu’elles sont toutes chiffrées sur leurs serveurs. Un point de distinction important est que Bitwarden laisse la possibilité d’héberger vous-même vos données sur votre serveur, alors qu’avec LastPass vous êtes obligé de laisser vos données à une compagnie dont l’objectif est évidemment de faire du profit.

Ajoutez manuellement un mot de passe à votre coffre-fort si nécessaire.

Support technique

L’avantage va très clairement à Bitwarden en ce qui concerne toute l’aide dont vous pourriez avoir besoin, mais cela n’est pas étonnant dans le monde des logiciels open source où le partage et l’entraide font partie d’une philosophie.

La FAQ de LastPass est moindre quand celle de Bitwarden est très conséquente et surtout très simple à comprendre. Lorsque vous envoyez un mail au support technique de LastPass, vous devrez bien souvent attendre 3 jours ouvrés quand pour Bitwarden vous obtiendrez une réponse dans les 24 heures.

Les forums des deux logiciels sont bien souvent les meilleures sources d’aide. Etant open source, Bitwarden prend une fois de plus l’avantage sur son concurrent puisque c’est une communauté active d’utilisateurs qui échangent à propos du logiciel.

Conclusion du comparatif Bitwarden VS LastPass

Pour les utilisateurs expérimentés, les grandes organisations, tous ceux qui veulent une sécurisation maximale et plein d’options, c’est bien Bitwarden qui remporte la bataille. Si vous souhaitez quelque chose d’ultra-simplifié, qui fait presque tout tous seul, LastPass devrait vous combler.

Aucun de ces deux logiciels n’est meilleur que l’autre si l’on veut généraliser, tout dépend de vos besoins, de vos attentes et de votre budget dans certains cas.

Pour rester juste dans notre analyse, nous pouvons reconnaître que la très grande force de LastPass réside en son interface graphique extrêmement agréable et simplifiée au maximum pour ses extensions web.

Bitwarden proposera non pas le gestionnaire de mot de passe le plus simple (bien que nous ayons du mal à comprendre où se situent les difficultés liées à l’utilisation mais prenons en compte les arguments des utilisateurs), toutefois il sera le logiciel qui offre le plus de possibilités pour une sécurisation absolument maximale. Les utilisateurs plus expérimentés se réjouiront de posséder ce qui se fait de mieux dans l’arsenal de l’informaticien soucieux de bénéficier d’une sécurisation irréprochable.

N’oublions pas que LastPass est intimement lié au développement de Bitwarden puisque c’est le rachat de LastPass par la société LogMeIn qui poussa le créateur de Bitwarden à développer ce gestionnaire de mots de passe.

Ce qui nous plaît le plus c’est qu’avec Bitwarden nous ne sommes pas pris en otage : même si les serveurs ou l’infrastructure réseau de Bitwarden étaient attaqués avec succès (ce qui n’est gagné même pour les équipes de hackeurs les plus compétentes au monde), vous aurez toujours des alternatives pour ne jamais avoir de souci avec vos différents accès à vos logiciels et sites internet.

Mieux encore : Bitwarden a été audité de la manière la plus virulente possible et sur tous ses aspects (dont son code source) afin d’en découvrir ses failles et des utilisateurs (et hackeurs) chevronnés s’attèlent à continuer de vérifier que la sécurisation du logiciel est tout simplement optimale.

LastPass quant à lui a souffert en Juin 2015 d’une attaque qui a permis à des pirates de récupérer les adresses des comptes mail de ses utilisateurs, leurs mails de renvoi de mots de passe, la liste « server-per-user » ainsi que les hashs d’authentification. Autant dire qu’il s’agissait alors d’une véritable catastrophe pour l’image de marque du logiciel même s’il n’y a aucune preuve que le moindre mot de passe ait été dévoilé.

Pire encore, il ne s’agissait pas de la première attaque fructueuse puisqu’une toute autre attaque de hackers était déjà à déplorer en 2011. Le site lemondeinformatique.fr qualifia alors le logiciel de « service pratique mais vulnérable », ce qui nous semble être une parfaite conclusion en ce qui concerne LastPass.

Si vous souhaitez le meilleur des meilleurs des gestionnaires de mots de passe, le plus robuste et le plus complet en version gratuite, c’est bien Bitwarden qui gagne haut la main face à ses concurrents (même payants).