Quoi de plus naturel que de vous questionner sur la robustesse de Bitwarden en ce qui concerne la sécurisation de vos données et mots de passe ? Le célèbre gestionnaire de mots de passe utilise les dernières technologies de pointe en matière de sécurité et toutes vos questions sur le fonctionnement de Bitwarden trouveront réponse dans cette section qui en intéressera plus d’un.
Est-ce que les développeurs ou l’équipe technique de Bitwarden peuvent voir mes mots de passe ou données ?
Non.
Puisque vos données sont totalement chiffrées et ou « hashées » avant même de quitter votre appareil pour se rendre dans le coffre-fort Bitwarden, personne ne peut voir, lire, modifier ou tenter une attaque de type « reverse engineering » sur vos données. Le reverse engineering (ou rétro-ingénierie en français) est une activité qui consiste en l’étude du fonctionnement d’un système pour se l’approprier, et techniquement dans notre cas cela pourrait se faire en étudiant ce qui se passe au sein même de votre mémoire vive à un niveau de langage bas (le plus proche du langage matériel de votre appareil).
Si vous désirez en savoir plus sur la manière dont vos données sont chiffrées puis transmises, vous pouvez lire cet article (en anglais). Ne vous laissez surtout pas abuser par des articles sur le net laissant planer un doute sur cette sécurisation puisque de nombreux audits ont bien certifiés que le chiffrage des données se fait de bout en bout sur toute l’architecture réseau.
Il ne s’agit aucunement d’une grande prouesse technique mais bien d’un choix du développeur principal de Bitwarden, contrairement à bien d’autres logiciels de gestion de mots de passe.
Est-ce que Bitwarden utilise un salage cryptographique pour mes mots de passe ?
Derrière le terme salage se cache une méthode permettant de renforcer la sécurité de vos données qui seront alors hachées en y ajoutant des données supplémentaires afin de brouiller les pistes pour les pirates. Les informations résultantes d’un salage sont toujours différentes et ne permettent pas à des hackeurs d’identifier une même « empreinte ».
Bitwarden utilise aussi bien le salage que le hash de votre mot de passe maître et de son adresse mail associé sur votre ordinateur ou appareil mobile avant même d’être transmis sur leurs serveurs. Une fois que le serveur recevra le mot de passe hashé, il procédera à un nouveau salage en ajoutant une valeur aléatoire et cryptographiée, puis procédera encore à un nouveau hashage, puis sera enfin stocké dans la base de données du coffre-fort.
Cette fonction de hashage ne fonctionne que dans un seul sens. C’est pourquoi le reverse engineering est rendu impossible et que même les équipes de Bitwarden ne peuvent retrouver votre mot de passe maître en cas de perte.
Dans le cas où des pirates arriveraient à s’introduire sur les serveurs de Bitwarden, vos données contenues dessus ne peuvent avoir aucune valeur pour eux puisque illisibles.
A notre connaissance, très peu de logiciels peuvent s’enorgueillir d’une telle sécurisation de données, et certainement pas son concurrent LastPass qui aime pourtant bien laisser planner le doute sur la véracité de l’impossibilité pour les équipes de développeurs de Bitwarden d’accéder à vos données.
Comment les serveurs Bitwarden dans le Cloud sont-ils protégés ?
Bitwarden stocke toutes ses données dans le Cloud de « Microsoft Azure Cloud » en utilisant des services chapotés directement par les développeurs de l’équipe Microsoft. Puisque Bitwarden n’utilise que des services fournis par Azure, il n’y a aucune infrastructure à maintenir ou à surveiller.
Le temps de disponibilité, les évolutions techniques et les mises à jour de sécurité sont garanties par les équipes de Microsoft grâce à leur infrastructure de Cloud réputée comme l’une des meilleures au monde.
Vous ne faites pas confiance au géant Microsoft et en son Cloud ? Cela n’est pas une nécessité pour utiliser Bitwarden ! C’est là toute la beauté du monde de l’open source : vous pouvez tout à fait héberger sur vos propres serveurs l’intégralité des services de Bitwarden. Vous contrôlerez ainsi de bout en bout toutes vos données.
Comment mes données sont-elles transmises puis stockées sur les serveurs de Bitwarden ?
Bitwarden a toujours considéré la sécurité de vos données comme l’objectif numéro un. Vos données ne sont jamais transmises sur les serveurs Bitwarden dans le Cloud sans être chiffrées auparavant sur vos appareils et cela en utilisant l’algorithme de chiffrement AES-256 bit. Ainsi, à aucun moment Bitwarden ne stocke des données qui seraient mal protégées.
Le chiffrement AES-256 (AES pour « Advanced Encryption Standard », soit « norme de chiffrement avancé ») est massivement employé par les différentes administrations américaines dont la NSA (la National Security Agency) en tant qu’algorithme cryptographique de sa suite B (la suite B signifiant que les données chiffrées sont hautement à risque puisque classées comme top-secrètes). Il s’agit donc actuellement d’un des algorithmes les plus puissants au monde et réputé inviolable.
Lorsque votre appareil ou ordinateur se synchronise avec les serveurs de Bitwarden, une copie de vos données est chiffrée puis téléchargée afin d’être stockée sur votre appareil d’une manière totalement sécurisée. Même dans le cas où vous utiliseriez une application ou une extension de Bitwarden, vos données sont déchiffrées uniquement à l’aide de la mémoire nécessaire pour cette tâche. Aucune donnée n’est jamais stockée d’une manière déchiffrée sur les serveurs Bitwarden ou sur vos appareils.
Est-ce que Bitwarden a été audité ?
Oui.
En utilisant un code source 100% disponible pour tous car sous licence open source GPLv3, le logiciel jouit d’une transparence exemplaire et il est donc possible de tester ou d’auditer tous les services, toutes les infrastructures ou fonctionnalités de Bitwarden.
Mais être open source assure également que de très nombreux développeurs (des milliers) peuvent très rapidement identifier de potentielles failles ainsi que de vérifier d’eux-mêmes la qualité des méthodes et solutions employées par Bitwarden. Quoi qu’il en soit, il est bon de profiter de l’expertise de personnes totalement indépendantes du projet. Bitwarden a subi un audit extrêmement poussé de la part d’une firme spécialisée en cybersécurité qui est totalement indépendante. Si vous désirez consulter les conclusions de cet audit, elles sont disponibles à cette adresse.
Enfin, Bitwarden interagi de manière active avec des chercheurs indépendants en cybersécurité grâce à un programme public nommé « Bug Bounty Program » via la plateforme HackerOne.
Quel chiffrement est utilisé par Bitwarden ?
Nous avons déjà évoqué à maintes reprises sur notre site l’utilisation du chiffrement par l’algorithme AES-256 et pourtant, Bitwarden utilise également le chiffrement PBKDF2 afin de protéger vos données.
PBKDF2 SHA-256 est utilisé pour encrypter la clef de chiffrement de votre mot de passe maître. Cette clef est ensuite salée puis hashée. Le nombre d’itérations par défaut utilisé par PBKDF2 est de 100 001 itérations sur le client (vous pouvez d’ailleurs configurer ce nombre d’itérations via les paramètres de votre compte Bitwarden), auxquelles s’y ajoutent 100 000 itérations supplémentaires sur les serveurs.
Bitwarden n’écrit aucun code cryptographique et ne conçoit aucun algorithme de chiffrement. Il utilise ce qui se fait de meilleur dans le monde de la cryptographie en utilisant des librairies existantes écrites et maintenues par des experts en cryptographie. Voici les différentes librairies utilisées :
-
En JavaScript (pour les versions web, extensions de navigateurs, versions desktop et le coffre-fort CLI) :
-
WebCrypto
-
Node.js Crypto
-
Forge
-
-
En C# (pour le coffre-fort « mobile ») :
-
CommonCrypto (iOS, Apple)
-
Javax.Crypto (Android, Oracle)
-
BountyCastle (Android)
-
Il est absolument impossible de récupérer la moindre donnée depuis les serveurs de Bitwarden qui ne serait pas chiffrée puisqu’aucune donnée non chiffrée n’est stockée (idem sur vos différents appareils).
Que se passerait-il si Bitwarden était piraté ?
Bitwarden prend et prendra toujours les mesures les plus extrêmes pour assurer la sécurité de ses sites, applications ou serveurs dans le Cloud.
Imaginons cependant, même si cela est hautement improbable, que les plus grands génies de ce monde en hacking parviennent tout de même à pirater Bitwarden et ainsi exposer vos données : vos données restent encore protégées ! Cela est rendu possible grâce à la très forte méthode de chiffrement et au salage et hashage de vos données.
Tant que vous utilisez un mot de passe maître « fort », vos données sont protégées et en sécurité, peu importe qui détient ces données.
Où sont stockées mes données sur mon ordinateur ou mon mobile ?
Vos données sont automatiquement synchronisées avec les serveurs de Bitwarden. Dans le cas où vous devriez récupérer vos données à cause d’un bug, il vous suffira tout simplement de procéder à une réinstallation de Bitwarden et de vous connecter via votre mot de passe maître pour que vos données se resynchronisent.
Toutes vos données sensibles stockées sur votre ordinateur, votre smartphone ou tablette tactile sont chiffrées. Cependant, ces données peuvent être trouvées (bien qu’inutilisables car chiffrées) aux endroits suivants :
Versions Desktop
-
Windows :
-
Installations standards et Store : %AppData%Bitwarden
-
Portable : .bitwarden-appdata
-
-
MacOS :
-
Installations standards : ~/Library/Application Support/Bitwarden
- Mac App Store : ~/Library/Containers/com.bitwarden.desktop/Data/Library/Application Support/Bitwarden
-
-
Linux :
-
Installations standards : ~/.config/Bitwarden
-
Snap : ~/snap/bitwarden/current/.config/Bitwarden
-
Il est possible de forcer le stockage des données de l’application desktop de Bitwarden à d’autres emplacements en modifiant la variable d’environnement BITWARDEN_APPDATA_DIR avec un chemin d’accès absolu.
Extensions pour navigateurs web
WINDOWS
-
- Chrome :
%LocalAppData%GoogleChromeUser DataDefaultLocal Extension Settingsnngceckbapebfimnlniiiahkandclblb
-
- Firefox :
%AppData%MozillaFirefoxProfilesyour_profilestoragedefaultmoz-extension+++[UUID]^userContextId=[integer]
-
- Opera :
%AppData%Opera SoftwareOpera StableLocal Extension Settingsccnckbpmaceehanjmeomladnmlffdjgn
-
- Vivaldi:
%LocalAppData%VivaldiUser DataDefaultLocal Extension Settingsnngceckbapebfimnlniiiahkandclblb
-
- Brave :
%AppData%braveLocal Extension Settingsnngceckbapebfimnlniiiahkandclblb
-
- Edge :
%LocalAppData%PackagesMicrosoft.MicrosoftEdge_8wekyb3d8bbweACMicrosoftEdgeExtensionsStorage
Vous pouvez utiliser via la barre d’adresse la commande about:debugging#/runtime/this-firefox pour localiser l’UUID de votre extension de Bitwarden.
MACOS
-
- Chrome :
~/Library/Application Support/Google/Chrome/Default/Local Extension Settings/nngceckbapebfimnlniiiahkandclblb
-
- Firefox :
~/Library/Application Support/Firefox/Profiles/your_profile/storage/default/moz-extension+++[UUID]^userContextID=[integer]
-
- Safari :
~/Library/Safari/Databases
LINUX
-
- Chrome :
~/.config/google-chrome/Default/Local Extension Settings/nngceckbapebfimnlniiiahkandclblb
-
- Firefox :
~/.mozilla/firefox/your_profile/storage/default/moz-extension+++[UUID]^userContextID=[integer]
APPLICATIONS MOBILE
- iOS : app group for group.com.8bit.bitwarden
- Android : /data/data/com.x8bit.bitwarden/
VERSIONS CLI
- Windows : %AppData%Bitwarden CLI
- macOS : ~/Library/Application Support/Bitwarden CLI
- Linux : ~/.config/Bitwarden CLI
Il est possible de forcer le stockage des données de l’application CLI de Bitwarden à d’autres emplacements en modifiant la variable d’environnement BITWARDENCLI_APPDATA_DIR en chemin d’accès absolu.
Pourquoi devrais-je faire confiance en Bitwarden ?
-
Bitwarden est un logiciel 100% open-source. Son code source est hébergé sur la plateforme GitHub et est gratuitement accessible à tous. Des milliers de développeurs suivent les différentes évolutions du code source du projet.
-
Bitwarden est audité par des firmes indépendantes reconnues dans le monde de la cybersécurité ainsi que par des chercheurs indépendants en sécurité informatique.
-
Bitwarden ne stocke pas vos mots de passe. Bitwarden stocke uniquement des versions chiffrées de vos mots de passe que seul vous pouvez déchiffrer. Toutes vos informations sensibles sont ainsi chiffrées sur vos appareils avant d’être transmises aux serveurs de Bitwarden.
-
Bitwarden jouit d’une excellente réputation. C’est un gestionnaire de mots de passe utilisé par des millions d’utilisateurs et d’entreprises. Si jamais Bitwarden avait le malheur de se risquer à des pratiques douteuses, cela signerait son arrêt de mort, car la sécurité est un enjeu vital pour un logiciel… de sécurité !