FAQ BITWARDEN : vos questions liées à la sécurité

Quoi de plus naturel que de vous questionner sur la robustesse de Bitwarden en ce qui concerne la sécurisation de vos données et mots de passe ? Le célèbre gestionnaire de mots de passe utilise les dernières technologies de pointe en matière de sécurité et toutes vos questions sur le fonctionnement de Bitwarden trouveront réponse dans cette section qui en intéressera plus d’un.

Est-ce que les développeurs ou l’équipe technique de Bitwarden peuvent voir mes mots de passe ou données ?

Non.

Puisque vos données sont totalement chiffrées et ou « hashées » avant même de quitter votre appareil pour se rendre dans le coffre-fort Bitwarden, personne ne peut voir, lire, modifier ou tenter une attaque de type « reverse engineering » sur vos données. Le reverse engineering (ou rétro-ingénierie en français) est une activité qui consiste en l’étude du fonctionnement d’un système pour se l’approprier, et techniquement dans notre cas cela pourrait se faire en étudiant ce qui se passe au sein même de votre mémoire vive à un niveau de langage bas (le plus proche du langage matériel de votre appareil).

Si vous désirez en savoir plus sur la manière dont vos données sont chiffrées puis transmises, vous pouvez lire cet article (en anglais). Ne vous laissez surtout pas abuser par des articles sur le net laissant planer un doute sur cette sécurisation puisque de nombreux audits ont bien certifiés que le chiffrage des données se fait de bout en bout sur toute l’architecture réseau.

Il ne s’agit aucunement d’une grande prouesse technique mais bien d’un choix du développeur principal de Bitwarden, contrairement à bien d’autres logiciels de gestion de mots de passe.

Est-ce que Bitwarden utilise un salage cryptographique pour mes mots de passe ?

Derrière le terme salage se cache une méthode permettant de renforcer la sécurité de vos données qui seront alors hachées en y ajoutant des données supplémentaires afin de brouiller les pistes pour les pirates. Les informations résultantes d’un salage sont toujours différentes et ne permettent pas à des hackeurs d’identifier une même « empreinte ».

Bitwarden utilise aussi bien le salage que le hash de votre mot de passe maître et de son adresse mail associé sur votre ordinateur ou appareil mobile avant même d’être transmis sur leurs serveurs. Une fois que le serveur recevra le mot de passe hashé, il procédera à un nouveau salage en ajoutant une valeur aléatoire et cryptographiée, puis procédera encore à un nouveau hashage, puis sera enfin stocké dans la base de données du coffre-fort.

Cette fonction de hashage ne fonctionne que dans un seul sens. C’est pourquoi le reverse engineering est rendu impossible et que même les équipes de Bitwarden ne peuvent retrouver votre mot de passe maître en cas de perte.

Dans le cas où des pirates arriveraient à s’introduire sur les serveurs de Bitwarden, vos données contenues dessus ne peuvent avoir aucune valeur pour eux puisque illisibles.

A notre connaissance, très peu de logiciels peuvent s’enorgueillir d’une telle sécurisation de données, et certainement pas son concurrent LastPass qui aime pourtant bien laisser planner le doute sur la véracité de l’impossibilité pour les équipes de développeurs de Bitwarden d’accéder à vos données.

Comment les serveurs Bitwarden dans le Cloud sont-ils protégés ?

Bitwarden stocke toutes ses données dans le Cloud de « Microsoft Azure Cloud » en utilisant des services chapotés directement par les développeurs de l’équipe Microsoft. Puisque Bitwarden n’utilise que des services fournis par Azure, il n’y a aucune infrastructure à maintenir ou à surveiller.

Le temps de disponibilité, les évolutions techniques et les mises à jour de sécurité sont garanties par les équipes de Microsoft grâce à leur infrastructure de Cloud réputée comme l’une des meilleures au monde.

Vous ne faites pas confiance au géant Microsoft et en son Cloud ? Cela n’est pas une nécessité pour utiliser Bitwarden ! C’est là toute la beauté du monde de l’open source : vous pouvez tout à fait héberger sur vos propres serveurs l’intégralité des services de Bitwarden. Vous contrôlerez ainsi de bout en bout toutes vos données.

Comment mes données sont-elles transmises puis stockées sur les serveurs de Bitwarden ?

Bitwarden a toujours considéré la sécurité de vos données comme l’objectif numéro un. Vos données ne sont jamais transmises sur les serveurs Bitwarden dans le Cloud sans être chiffrées auparavant sur vos appareils et cela en utilisant l’algorithme de chiffrement AES-256 bit. Ainsi, à aucun moment Bitwarden ne stocke des données qui seraient mal protégées.

Le chiffrement AES-256 (AES pour « Advanced Encryption Standard », soit « norme de chiffrement avancé ») est massivement employé par les différentes administrations américaines dont la NSA (la National Security Agency) en tant qu’algorithme cryptographique de sa suite B (la suite B signifiant que les données chiffrées sont hautement à risque puisque classées comme top-secrètes). Il s’agit donc actuellement d’un des algorithmes les plus puissants au monde et réputé inviolable.

Lorsque votre appareil ou ordinateur se synchronise avec les serveurs de Bitwarden, une copie de vos données est chiffrée puis téléchargée afin d’être stockée sur votre appareil d’une manière totalement sécurisée. Même dans le cas où vous utiliseriez une application ou une extension de Bitwarden, vos données sont déchiffrées uniquement à l’aide de la mémoire nécessaire pour cette tâche. Aucune donnée n’est jamais stockée d’une manière déchiffrée sur les serveurs Bitwarden ou sur vos appareils.

Est-ce que Bitwarden a été audité ?

Oui.

En utilisant un code source 100% disponible pour tous car sous licence open source GPLv3, le logiciel jouit d’une transparence exemplaire et il est donc possible de tester ou d’auditer tous les services, toutes les infrastructures ou fonctionnalités de Bitwarden.

Mais être open source assure également que de très nombreux développeurs (des milliers) peuvent très rapidement identifier de potentielles failles ainsi que de vérifier d’eux-mêmes la qualité des méthodes et solutions employées par Bitwarden. Quoi qu’il en soit, il est bon de profiter de l’expertise de personnes totalement indépendantes du projet. Bitwarden a subi un audit extrêmement poussé de la part d’une firme spécialisée en cybersécurité qui est totalement indépendante. Si vous désirez consulter les conclusions de cet audit, elles sont disponibles à cette adresse.

Enfin, Bitwarden interagi de manière active avec des chercheurs indépendants en cybersécurité grâce à un programme public nommé « Bug Bounty Program » via la plateforme HackerOne.

Quel chiffrement est utilisé par Bitwarden ?

Nous avons déjà évoqué à maintes reprises sur notre site l’utilisation du chiffrement par l’algorithme AES-256 et pourtant, Bitwarden utilise également le chiffrement PBKDF2 afin de protéger vos données.

PBKDF2 SHA-256 est utilisé pour encrypter la clef de chiffrement de votre mot de passe maître. Cette clef est ensuite salée puis hashée. Le nombre d’itérations par défaut utilisé par PBKDF2 est de 100 001 itérations sur le client (vous pouvez d’ailleurs configurer ce nombre d’itérations via les paramètres de votre compte Bitwarden), auxquelles s’y ajoutent 100 000 itérations supplémentaires sur les serveurs.

Bitwarden n’écrit aucun code cryptographique et ne conçoit aucun algorithme de chiffrement. Il utilise ce qui se fait de meilleur dans le monde de la cryptographie en utilisant des librairies existantes écrites et maintenues par des experts en cryptographie. Voici les différentes librairies utilisées :

En JavaScript (pour les versions web, extensions de navigateurs, versions desktop et le coffre-fort CLI) :
- WebCrypto
- Node.js Crypto
- Forge
En C# (pour le coffre-fort « mobile ») :
- CommonCrypto (iOS, Apple)
- Javax.Crypto (Android, Oracle)
- BountyCastle (Android)

Il est absolument impossible de récupérer la moindre donnée depuis les serveurs de Bitwarden qui ne serait pas chiffrée puisqu’aucune donnée non chiffrée n’est stockée (idem sur vos différents appareils).

Que se passerait-il si Bitwarden était piraté ?

Bitwarden prend et prendra toujours les mesures les plus extrêmes pour assurer la sécurité de ses sites, applications ou serveurs dans le Cloud.

Imaginons cependant, même si cela est hautement improbable, que les plus grands génies de ce monde en hacking parviennent tout de même à pirater Bitwarden et ainsi exposer vos données : vos données restent encore protégées ! Cela est rendu possible grâce à la très forte méthode de chiffrement et au salage et hashage de vos données.

Tant que vous utilisez un mot de passe maître « fort », vos données sont protégées et en sécurité, peu importe qui détient ces données.

Où sont stockées mes données sur mon ordinateur ou mon mobile ?

Vos données sont automatiquement synchronisées avec les serveurs de Bitwarden. Dans le cas où vous devriez récupérer vos données à cause d’un bug, il vous suffira tout simplement de procéder à une réinstallation de Bitwarden et de vous connecter via votre mot de passe maître pour que vos données se resynchronisent.

Toutes vos données sensibles stockées sur votre ordinateur, votre smartphone ou tablette tactile sont chiffrées. Cependant, ces données peuvent être trouvées (bien qu’inutilisables car chiffrées) aux endroits suivants :

Versions Desktop

Windows :
- Installations standards et Store : %AppData%Bitwarden
- Portable : .bitwarden-appdata

MacOS :
- Installations standards : ~/Library/Application Support/Bitwarden
- Mac App Store : ~/Library/Containers/com.bitwarden.desktop/Data/Library/Application Support/Bitwarden

Linux :
- Installations standards : ~/.config/Bitwarden
- Snap : ~/snap/bitwarden/current/.config/Bitwarden

Il est possible de forcer le stockage des données de l’application desktop de Bitwarden à d’autres emplacements en modifiant la variable d’environnement BITWARDEN_APPDATA_DIR avec un chemin d’accès absolu.

Extensions pour navigateurs web

WINDOWS

- Chrome :

 %LocalAppData%GoogleChromeUser DataDefaultLocal Extension Settingsnngceckbapebfimnlniiiahkandclblb

- Firefox :

 %AppData%MozillaFirefoxProfilesyour_profilestoragedefaultmoz-extension+++[UUID]^userContextId=[integer]

- Opera :

%AppData%Opera SoftwareOpera StableLocal Extension Settingsccnckbpmaceehanjmeomladnmlffdjgn

- Vivaldi:

 %LocalAppData%VivaldiUser DataDefaultLocal Extension Settingsnngceckbapebfimnlniiiahkandclblb

- Brave :

%AppData%braveLocal Extension Settingsnngceckbapebfimnlniiiahkandclblb

- Edge :

%LocalAppData%PackagesMicrosoft.MicrosoftEdge_8wekyb3d8bbweACMicrosoftEdgeExtensionsStorage

Afin d’améliorer la sécurité, Firefox utilise dans son extension pour ses dossiers de stockage des UUID (Universally Unique Identifiers).
Vous pouvez utiliser via la barre d’adresse la commande about:debugging#/runtime/this-firefox pour localiser l’UUID de votre extension de Bitwarden.

MACOS

- Chrome :

~/Library/Application Support/Google/Chrome/Default/Local Extension Settings/nngceckbapebfimnlniiiahkandclblb

- Firefox :

~/Library/Application Support/Firefox/Profiles/your_profile/storage/default/moz-extension+++[UUID]^userContextID=[integer]

- Safari :

~/Library/Safari/Databases

LINUX

- Chrome :

 ~/.config/google-chrome/Default/Local Extension Settings/nngceckbapebfimnlniiiahkandclblb

- Firefox :

 ~/.mozilla/firefox/your_profile/storage/default/moz-extension+++[UUID]^userContextID=[integer]

APPLICATIONS MOBILE

iOS : app group for group.com.8bit.bitwarden
Android : /data/data/com.x8bit.bitwarden/

VERSIONS CLI

Windows : %AppData%Bitwarden CLI
macOS : ~/Library/Application Support/Bitwarden CLI
Linux : ~/.config/Bitwarden CLI

Il est possible de forcer le stockage des données de l’application CLI de Bitwarden à d’autres emplacements en modifiant la variable d’environnement BITWARDENCLI_APPDATA_DIR en chemin d’accès absolu.

Pourquoi devrais-je faire confiance en Bitwarden ?

Bitwarden est un logiciel 100% open-source. Son code source est hébergé sur la plateforme GitHub et est gratuitement accessible à tous. Des milliers de développeurs suivent les différentes évolutions du code source du projet.
Bitwarden est audité par des firmes indépendantes reconnues dans le monde de la cybersécurité ainsi que par des chercheurs indépendants en sécurité informatique.
Bitwarden ne stocke pas vos mots de passe. Bitwarden stocke uniquement des versions chiffrées de vos mots de passe que seul vous pouvez déchiffrer. Toutes vos informations sensibles sont ainsi chiffrées sur vos appareils avant d’être transmises aux serveurs de Bitwarden.
Bitwarden jouit d’une excellente réputation. C’est un gestionnaire de mots de passe utilisé par des millions d’utilisateurs et d’entreprises. Si jamais Bitwarden avait le malheur de se risquer à des pratiques douteuses, cela signerait son arrêt de mort, car la sécurité est un enjeu vital pour un logiciel… de sécurité !

Bitwarden VS LastPass : est-ce qu’un gestionnaire open source peut être meilleur ?

Dans les différents choix qui s’offrent aux utilisateurs en matière de gestionnaires de mots de passe, il y a bien évidemment Bitwarden mais également LastPass. Depuis son rachat par LogMeIn, ce dernier a bénéficié d’un développement encore plus soutenu mais qu’en est-il si l’on devait mettre en concurrence un logiciel propriétaire (et donc payant) comme LastPass avec un logiciel open source gratuit comme Bitwarden ? Quel est le logiciel qui sera le plus sécurisé pour vos mots de passe ?

Pour répondre à cette dernière question, il est important de comprendre que même si ces deux concurrents ont basiquement pour objectif de proposer la même chose, il existe d’énormes différences entre eux.

Fonctionnalités basiques des deux logiciels

Bitwarden ne dispose pas forcément d’autant d’options que LastPass, cependant et puisqu’il est open source il est probable qu’un informaticien ait déjà développé ce que vous recherchez sous forme d’add-on. Vous pouvez donc être assuré que Bitwarden continuera de gagner en fonctionnalités grâce aux nombreuses idées et demandes de sa communauté d’utilisateurs. De plus, si Bitwarden dispose de moins d’options, il dispose tout de même de plus de fonctionnalités réellement importantes dans sa version gratuite alors qu’il vous faudra payer pour LastPass.

Les fonctionnalités gratuites de Bitwarden sont :

Un générateur de mot de passe
La synchronisation à un nombre illimité de différents périphériques
Un stockage sans limite de vos mots de passe
La possibilité de remplir automatiquement les formulaires de connexion par Bitwarden

Pour ce qui est des options payantes, vous aurez l’avantage de bénéficier (entre autres) de :

Rapports sur la santé de votre coffre-fort pour vérifier la sécurité des mots de passe que vous utilisez quotidiennement (sans les voir puisque c’est le mot de passe maître que vous utiliserez tous les jours)
1 Go de stockage sur un espace chiffré et donc ultra-sécurisé pour vos documents et fichiers les plus sensibles

LastPass dispose des mêmes fonctionnalités gratuites. Pour ce qui est des fonctionnalités payantes en Premium, la principale différence réside en la possibilité de partager ses mots de passe avec un nombre illimité d’utilisateurs, ce qui est possible avec Bitwarden mais en version Entreprise (payante).

Pour y voir plus clair sur leurs différences, voici un tableau récapitulatif de ce que proposent (et/ou ne proposent pas) les deux logiciels :

	Bitwarden	LastPass
Double Authentification		
Chiffrement	AES 256-bit	AES 256-bit
Synchronisation sur plusieurs périphériques	 Gratuitement	 Payant
Sauvegardes & Restaurations	 Version Cloud	
Application mobile	 Android, iOS & Windows	 Android, iOS & Windows
Générateur de mots de passe		
Extensions de navigateurs web	Chrome, Firefox, Linux, Safari, Microsoft Edge, Opera, Vivaldi, Brave & Tor Browser	Chrome, Firefox, Linux, Safari, Internet Explorer & Microsoft Edge
Auto-Importation de mots de passe		
Remplissage automatique dans les formulaires de connexion		
Email		
Support par Chat		
Support par téléphone		
FAQ		
Langues disponibles	Anglaise ( + traductions de bénévoles)	Anglaise
Support 24/7		

Revenons un peu plus en détail sur différentes fonctionnalités principales ô combien importantes pour un gestionnaire de mots de passe digne de ce nom :

Double Authentification (ou Authentification Multi-Facteurs)

La double authentification ou vérification en deux étapes, ou encore authentification multi-facteurs (two-factor authentification ou 2FA mais aussi multi-factor authentification ou MFA) désigne une méthode d’authentification forte afin de se connecter après avoir présenté deux preuves d’identités distinctes. Ainsi, un seul mot de passe ne sera pas suffisant puisqu’il faudra une seconde manière de s’authentifier, comme par exemple en renseignant un code à durée de validation limitée reçue sur votre mobile par SMS ou un QRcode.

Les versions gratuites de Bitwarden et de LastPass proposent toutes le support de la double authentification, ajoutant ainsi une couche supplémentaire de protection : même avec un mot de passe dévoilé à un pirate, celui-ci ne pourrait s’authentifier sans posséder votre smartphone (et son mot de passe s’il y en a un).

Bitwarden propose donc la double authentification via les solutions YubiKey, Fido U2F et Duo. LastPass propose quant à lui dans sa version Premium (Payante) un peu plus de méthodes telles que Yubikey, Sesame, Duo, Google Authenticator, Microsoft Authenticator ainsi que l’identification biométrique (par empreinte digitale via votre smartphone par exemple).

Extensions pour navigateurs web

Les deux logiciels proposent de remplir automatiquement les champs login et mot de passe sur votre navigateur web. Lorsque vous visitez une page internet qui affiche une boîte de dialogue pour vous connecter, Bitwarden ou LastPass vous proposeront de remplir pour vous les informations nécessaires pour vous connecter après avoir renseigné votre mot de passe maître (pour rappel, le seul dont vous devez absolument vous souvenir, tous les autres mots de passe étant pris en charge automatiquement par ces logiciels).

Si vous disposez de plusieurs comptes, vous pourrez choisir avec lequel vous connecter.

L’avantage est clairement en faveur de Bitwarden par rapport à son concurrent en proposant une prise en charge de plusieurs autres navigateurs web. De plus, si LastPass propose étonnamment le support d’Internet Explorer aujourd’hui désuet puisque remplacé par Edge (que Bitwarden prend en charge), ce dernier propose également une extension pour le navigateur Tor qui est réputé être le plus fiable en matière de protection pour votre vie privée (il est d’ailleurs surtout connu pour permettre un accès anonyme au réseau caché « Darknet »).

Générateur de mots de passe

Facilement accessible depuis les extensions pour navigateurs web, les deux gestionnaires de mot de passe sont exemplaires à leurs manières pourtant distinctes :

Le générateur de mot de passe de LastPass par exemple vous permettra de générer des mots de passe « simples à mémoriser » grâce à ses options « simple à prononcer » ou « simple à lire ». Selon nous, il s’agit d’une aberration car en matière de sécurité, rien de pire que de ne pas laisser une très large place aux caractères spéciaux et à la génération totalement aléatoire et donc non humaine d’un mot de passe. Pourtant, beaucoup de sites placent cette fonction comme l’une des meilleures de LastPass par rapport à ses concurrents.

De son côté, le générateur de mots de passe de Bitwarden est également très avancé puisqu’en plus de choisir vous-même vos mots de passe vous pourrez en générer des énormes avec des « passphrases » qui vont jusqu’à 20 mots. Bitwarden est également capable de conserver un historique de vos anciens mots de passe ce qui peut vous aider pour récupérer un mot de passe oublié.

Hébergez vous-même votre coffre-fort de mots de passe

L’une des fonctionnalités les plus importantes de Bitwarden est de permettre à ses utilisateurs d’héberger eux-mêmes leurs données sans passer par le Cloud et donc une solution tierce dont ils n’ont pas un contrôle total.

Vous pouvez donc stocker vos données chiffrées sur le serveur de votre choix plutôt que d’être obligé de les mettre sur les serveurs d’une compagnie. Cela vous permettra donc de ne pas compromettre vos données sensibles si jamais des failles de sécurité étaient exploitées sur les serveurs de Bitwarden (bien que les différents audits aient démontré la robustesse de l’infrastructure réseau de Bitwarden et que même si cela était le cas, les données seraient inutilisables en raison du chiffrement de celles-ci).

Bien évidemment, mettre en place un serveur n’est pas à la portée de tous et il vous faudra avoir certaines compétences techniques, bien que cette solution soit grandement simplifiée grâce à l’utilisation de « Docker ». Docker est un logiciel open source permettant l’empaquetage d’une application et de ses dépendances dans un conteneur isolé pouvant être exécuté sur n’importe quel serveur. À ce titre, Docker n’est pas une solution de virtualisation mais plutôt de conteneurisation.

LastPass de son côté ne propose aucune solution pour héberger soi-même ses données.

A noter que les équipes techniques de Bitwarden ainsi que ses développeurs n’ont accès à vos données même s’ils le voulaient puisque toutes les données sont chiffrées.

Tarifs

Il est toujours bon de pouvoir également comparer les tarifs même si, comme nous allons le voir, ceux-ci sont intimement liés aux fonctionnalités techniques par rapport à vos besoins.

Tout comme Bitwarden, LastPass propose une offre gratuite et une offre Premium payante, mais pour autant ce dernier est bien sous licence propriétaire et ne fait pas parti du monde des logiciels libres (open source) : son code est fermé, ce qui signifie que vous n’avez aucun droit de regard sur le code que vous ne pouvez tester, modifier et donc améliorer.

Vous retrouverez avec LastPass dans son offre gratuite, le stockage de vos mots de passe, la possibilité de partager vos mots de passe avec d’autres utilisateurs, la double authentification, le remplissage automatique des identifiants de connexion dans les formulaires ainsi qu’une fonction « Security Challenge » permettant de procéder à un audit rapide de la robustesse des mots de passe que vous utilisez.

En Premium, l’offre est plus complexe puisqu’en plus d’une version familiale s’y ajoute 4 plans différents pour des offres Business. Ces plans business diffèrent surtout par rapport au nombre d’utilisateurs qui pourront utiliser la licence LastPass quand Bitwarden préfère tout simplement ajouter un montant très faible par utilisateurs supplémentaires.

D’ailleurs, Bitwarden offre une très forte valeur ajoutée à ses offres Premium en incluant un espace de stockage chiffré de 1 Go, ou encore en proposant une authentification TOTP qui reste l’une des méthodes de sécurité des plus puissantes à l’heure actuelle.

En comparant ce qui est comparable, Bitwarden s’en sort haut la main avec son offre gratuite qui offre bien plus d’options et de fonctionnalités que LastPass.

Prise en main et utilisation

LastPass a la réputation d’être très simple à utiliser, mais peut-être trop simple en vulgarisant un domaine qui, même s’il semble complexe, est assez simple à prendre en main. Tout comme Bitwarden, il permet d’importer ses mots de passe existants après installation et création de son mot de passe maître.

Bitwarden à l’inverse ne se veut pas forcement être le plus simple parce qu’il souhaite proposer les meilleures fonctionnalités à ses utilisateurs qui sont soucieux de posséder une sécurité maximale. A trop simplifier, il arrive que l’on y perde en sécurisation (voire l’exemple de la génération de mots de passe facile à retenir de LastPass).

Contrairement à ce qui est dit sur beaucoup de sites, Bitwarden n’en est pas moins très simple d’utilisation dans ses fonctions basiques et il vous appartiendra de décider si vous souhaitez essayer les fonctionnalités avancées. D’ailleurs, LastPass ne possède pas d’interface en ligne de commande, ce qui est très dommageable pour les utilisateurs plus expérimentés qui ne pourront créer leurs propres scripts.

Le type de difficultés qui sont décriées sur de nombreux sites sont du genre « Bitwarden nécessite un export de vos mots de passe des autres logiciels avant de pouvoir les importer en son sein ». Aucune difficulté à cela puisqu’il s’agit de simplement enregistrer vos mots de passe existants en provenance d’autres logiciels au format CSV. En comparaison, nous pourrions dire que n’importe quel traitement de texte est très compliqué car il faut enregistrer un fichier ! Cette mauvaise foi ne fait pas honneur à LastPass, bien que son interface gratuite épurée en fait le parfait gestionnaire de mots de passe « plug-and-play ».

Si vous aimez la technique, vous risquez de trouver décevant LastPass. Si vous êtes débutant, vous ne devrez heureusement pas être rebuté par l’utilisation de Bitwarden qui reste très simple. Certes, il dispose de plus de fonctionnalités avancées, mais c’est justement là sa grande force face à son concurrent direct.

Sécurité

Il arrive de tomber sur des comparatifs affirmant que LastPass serait plus sécurisé dans son chiffrement en utilisant l’algorithme AES 256-bit qui offre une sécurisation d’un niveau militaire. C’est exactement le cas de Bitwarden et de nombreux autres logiciels. Il est encore une fois malhonnête d’affirmer que LastPass est plus sécurisé que Bitwarden.

Le chiffrement AES 256-bit qu’utilisent les deux logiciels est effectivement d’un niveau de sécurisation militaire puisque même la NSA est encore aujourd’hui incapable de déchiffrer du contenu chiffré par cet algorithme puissant. L’AES-256 est d’ailleurs l’algorithme de chiffrement recommandé pour nos administrations tels que les ministères, en particulier celui de la Défense.

LastPass possède néanmoins un avantage sur Bitwarden : il propose plus de méthodes de double authentification.

Cependant, LastPass a souffert de lacunes et de failles de sécurité par le passé, dont une qui permettait à des pirates de récupérer et de manipuler vos mots de passe stockés. Cette faille absolument désastreuse concernait toutes les extensions pour navigateurs web mais, bien heureusement, fut comblée dans les 24h après sa découverte.

L’autre grand désavantage de LastPass, c’est qu’il n’est pas open source, ce qui signifie que vous êtes obligé de faire confiance en l’équipe qui gère le logiciel. Bitwarden de son côté n’a même pas accès à vos données puisqu’elles sont toutes chiffrées sur leurs serveurs. Un point de distinction important est que Bitwarden laisse la possibilité d’héberger vous-même vos données sur votre serveur, alors qu’avec LastPass vous êtes obligé de laisser vos données à une compagnie dont l’objectif est évidemment de faire du profit.

Ajoutez manuellement un mot de passe à votre coffre-fort si nécessaire.

Support technique

L’avantage va très clairement à Bitwarden en ce qui concerne toute l’aide dont vous pourriez avoir besoin, mais cela n’est pas étonnant dans le monde des logiciels open source où le partage et l’entraide font partie d’une philosophie.

La FAQ de LastPass est moindre quand celle de Bitwarden est très conséquente et surtout très simple à comprendre. Lorsque vous envoyez un mail au support technique de LastPass, vous devrez bien souvent attendre 3 jours ouvrés quand pour Bitwarden vous obtiendrez une réponse dans les 24 heures.

Les forums des deux logiciels sont bien souvent les meilleures sources d’aide. Etant open source, Bitwarden prend une fois de plus l’avantage sur son concurrent puisque c’est une communauté active d’utilisateurs qui échangent à propos du logiciel.

Conclusion du comparatif Bitwarden VS LastPass

Pour les utilisateurs expérimentés, les grandes organisations, tous ceux qui veulent une sécurisation maximale et plein d’options, c’est bien Bitwarden qui remporte la bataille. Si vous souhaitez quelque chose d’ultra-simplifié, qui fait presque tout tous seul, LastPass devrait vous combler.

Aucun de ces deux logiciels n’est meilleur que l’autre si l’on veut généraliser, tout dépend de vos besoins, de vos attentes et de votre budget dans certains cas.

Pour rester juste dans notre analyse, nous pouvons reconnaître que la très grande force de LastPass réside en son interface graphique extrêmement agréable et simplifiée au maximum pour ses extensions web.

Bitwarden proposera non pas le gestionnaire de mot de passe le plus simple (bien que nous ayons du mal à comprendre où se situent les difficultés liées à l’utilisation mais prenons en compte les arguments des utilisateurs), toutefois il sera le logiciel qui offre le plus de possibilités pour une sécurisation absolument maximale. Les utilisateurs plus expérimentés se réjouiront de posséder ce qui se fait de mieux dans l’arsenal de l’informaticien soucieux de bénéficier d’une sécurisation irréprochable.

N’oublions pas que LastPass est intimement lié au développement de Bitwarden puisque c’est le rachat de LastPass par la société LogMeIn qui poussa le créateur de Bitwarden à développer ce gestionnaire de mots de passe.

Ce qui nous plaît le plus c’est qu’avec Bitwarden nous ne sommes pas pris en otage : même si les serveurs ou l’infrastructure réseau de Bitwarden étaient attaqués avec succès (ce qui n’est gagné même pour les équipes de hackeurs les plus compétentes au monde), vous aurez toujours des alternatives pour ne jamais avoir de souci avec vos différents accès à vos logiciels et sites internet.

Mieux encore : Bitwarden a été audité de la manière la plus virulente possible et sur tous ses aspects (dont son code source) afin d’en découvrir ses failles et des utilisateurs (et hackeurs) chevronnés s’attèlent à continuer de vérifier que la sécurisation du logiciel est tout simplement optimale.

LastPass quant à lui a souffert en Juin 2015 d’une attaque qui a permis à des pirates de récupérer les adresses des comptes mail de ses utilisateurs, leurs mails de renvoi de mots de passe, la liste « server-per-user » ainsi que les hashs d’authentification. Autant dire qu’il s’agissait alors d’une véritable catastrophe pour l’image de marque du logiciel même s’il n’y a aucune preuve que le moindre mot de passe ait été dévoilé.

Pire encore, il ne s’agissait pas de la première attaque fructueuse puisqu’une toute autre attaque de hackers était déjà à déplorer en 2011. Le site lemondeinformatique.fr qualifia alors le logiciel de « service pratique mais vulnérable », ce qui nous semble être une parfaite conclusion en ce qui concerne LastPass.

Si vous souhaitez le meilleur des meilleurs des gestionnaires de mots de passe, le plus robuste et le plus complet en version gratuite, c’est bien Bitwarden qui gagne haut la main face à ses concurrents (même payants).