Je ne recommande pas Bitwarden

 (マリウス.com)
1 points par GN⁺ 1 일 전 | 2 commentaires | Partager sur WhatsApp
  • Après plusieurs années d’usage en auto-hébergement, Bitwarden est devenu un choix difficile à recommander en raison de la lourdeur du serveur officiel, d’une orientation open source devenue plus opaque, de la faible qualité des clients et de problèmes de sécurité répétés
  • Alors que le serveur officiel Bitwarden repose sur une pile lourde centrée sur un backend C# et MSSQL Express, le serveur compatible non officiel basé sur Rust, Vaultwarden, est plus simple et plus léger, ce qui le rend préféré pour les déploiements de petite et moyenne taille
  • La licence restrictive de @bitwarden/sdk-internal, introduite dans les clients en 2024, a été relicenciée en GPLv3 après un retour de bâton, mais elle a renforcé les inquiétudes sur une évolution davantage centrée sur l’abonnement SaaS que sur la partie gratuite et open source
  • Côté clients Bitwarden, les problèmes s’accumulent : échecs d’import de coffre-fort, absence de déplacement d’éléments entre coffre-fort organization et coffre-fort individual, contournements via export JSON en clair, impossibilité d’accéder au coffre après des mises à jour automatiques, UI lente et expérience d’autoremplissage peu pratique
  • Plutôt que de confier tous ses identifiants à un seul coffre-fort, il est plus pertinent de segmenter entre projets professionnels ou clients, comptes contenant des PII, comptes sans PII, infrastructure et secrets à usage unique, en s’appuyant sur des outils comme un gestionnaire de mots de passe SaaS, la famille KeePass, HashiCorp Vault ou pass

Pourquoi je ne recommande plus Bitwarden

  • Il y a presque quatre ans, l’auteur a publié comment auto-héberger l’équivalent de LastPass sur un OpenBSD durci, avec une configuration consistant à déployer Vaultwarden sur une instance OpenBSD ou un Raspberry Pi bare metal et à l’utiliser comme backend pour les applications clientes Bitwarden
  • Après avoir lui-même utilisé pendant des années une approche similaire, il en est maintenant arrivé à la conclusion qu’il ne recommande plus l’usage de Bitwarden
  • Les principaux problèmes se résument à la lourdeur du serveur officiel, au manque de clarté de l’orientation open source, à la qualité et à l’UX des applications clientes, à des problèmes de sécurité répétés et au risque structurel qu’implique le fait de confier tous ses identifiants à un seul gestionnaire de mots de passe

Un gestionnaire de mots de passe premium à double licence

  • Wikipedia décrit Bitwarden comme un service premium open source de gestion de mots de passe permettant de stocker des informations sensibles, détenu et développé par Bitwarden, Inc.
  • Bitwarden développe le serveur officiel et les applications clientes pour la plupart des plateformes, et propose aussi un produit SaaS pour les utilisateurs qui ne souhaitent pas s’auto-héberger
  • Le produit hébergé affiche des tarifs comparables à ceux de ses concurrents, avec des différences fonctionnelles, mais les applications clientes sont les mêmes que l’on utilise l’hébergement Bitwarden ou l’auto-hébergement
  • En 2022, Bitwarden a reçu un investissement de croissance de 100 millions de dollars mené par PSG, avec la participation de Battery Ventures
  • Il y a une différence entre un gestionnaire de mots de passe qui cherche à préserver l’open source et un gestionnaire de mots de passe dont le conseil d’administration inclut des investisseurs attendant un retour sur 100 millions de dollars, et à partir de là le produit peut plus facilement commencer à servir les investisseurs plutôt que les utilisateurs

Contraste entre le serveur officiel et Vaultwarden

  • Dès qu’on cherche à auto-héberger Bitwarden, on tombe assez vite dans ce que certains décrivent comme l’enfer du logiciel d’entreprise
  • Le déploiement standard du serveur Bitwarden repose sur un backend C# lourd, livré avec MSSQL Express, et ne fonctionne pas avec des bases de données plus naturelles dans un environnement Linux comme PostgreSQL ou MariaDB
  • Selon l’échelle du déploiement et les exigences de haute disponibilité, il peut être nécessaire d’utiliser Kubernetes, ce qui ajoute de l’overhead et de la complexité
  • Pour des déploiements de petite ou moyenne taille, beaucoup préfèrent Vaultwarden
    • Vaultwarden est un serveur compatible Bitwarden non officiel, écrit en Rust
    • Il est plus simple et plus léger que le serveur officiel Bitwarden, ce qui fait une vraie différence pour les administrateurs
    • Le fait qu’il semble avoir environ trois fois plus d’étoiles GitHub que l’implémentation officielle amène à s’interroger sur la manière dont les utilisateurs techniques de Bitwarden perçoivent aujourd’hui la direction de la pile officielle
  • Pour une entreprise ayant levé 100 millions de dollars en Series B, il aurait été envisageable d’intégrer à l’optimisation et à l’accélération de la pile officielle les personnes qui ont construit une implémentation backend bien plus réussie

Bitwarden lite et l’orientation open source

  • Au lieu d’intégrer Vaultwarden comme projet officiel, Bitwarden semble avoir embauché son principal développeur puis publié Bitwarden lite, une version plus légère du backend existant
  • Bitwarden lite reste un service basé sur .NET de Microsoft, et il est jugé nécessiter plus de trois fois la RAM habituellement consommée par une instance Vaultwarden
  • La nature open source de Bitwarden est devenue plus floue au cours de l’année écoulée
    • Fin 2024, des utilisateurs ont découvert une nouvelle dépendance @bitwarden/sdk-internal dans les clients
    • La licence indiquait que ce SDK ne pouvait pas être utilisé dans un logiciel autre que Bitwarden, dans une implémentation incompatible avec Bitwarden, ni pour développer un autre SDK
  • Pour un produit qui se présente comme open source, ce type de clause de licence a été perçu comme un tournant important
  • Après une forte contestation de la communauté, Bitwarden a parlé d’un « bug de packaging », puis a fini par relicencier le SDK en GPLv3
  • Techniquement, le problème a été résolu, mais philosophiquement il reste l’impression que la partie gratuite et open source sert d’appât, que le vrai produit est l’abonnement SaaS et que la communauté est surtout là pour fournir des issues et des traductions
  • On peut aussi citer la critique connexe The freeware parts are bait

Les applications clientes sont le vrai problème

  • Même en laissant de côté le backend, le plus gros problème de Bitwarden reste les applications clientes
  • Des fonctionnalités mises en avant ne marchent pas comme attendu, des fonctions de base manquent encore après dix ans de produit, et l’interface utilisateur est jugée médiocre comparée à des alternatives de prix similaire
  • Si Bitwarden n’était qu’un effort communautaire FOSS pur, ces défauts pourraient être plus faciles à excuser, mais il est plus difficile d’appliquer ce même standard à une entreprise financée par du capital-risque
  • Le fait que la communauté semble enfermée dans des procédures bureaucratiques montre aussi que Bitwarden est moins un effort communautaire qu’un produit d’entreprise

Problèmes de migration de coffre-fort

  • Il y a environ un an, l’auteur a aidé un utilisateur à quitter un produit concurrent pour passer à Bitwarden, avec l’idée de soutenir un logiciel open source via un abonnement annuel plutôt qu’une plateforme propriétaire
  • Des problèmes sont apparus lors de l’import du coffre-fort depuis l’ancien gestionnaire de mots de passe vers un nouveau compte Bitwarden et, d’après ce rapport de bug GitHub, au moins un coffre-fort nécessitait un contournement technique important pour réussir l’import
  • Les fonctions de migration et d’import étaient pourtant mises en avant dans plusieurs supports marketing et dans la documentation de Bitwarden, et plusieurs utilisateurs avaient déjà rencontré le même problème
  • Malgré cela, Bitwarden a été perçu comme demandant d’ouvrir une nouvelle discussion sur le forum communautaire plutôt que de traiter le problème
  • Ce type de bureaucratie d’entreprise ne correspond pas à l’idée qu’on se fait d’un logiciel open source et il est difficile de le justifier lorsqu’une fonctionnalité promue, dans un logiciel open source comme dans un produit payant, ne fonctionne tout simplement pas
  • Quand le même import a été testé sur des alternatives propriétaires à Bitwarden, il a fonctionné sans problème

Absence de déplacement d’éléments entre coffres

  • Le problème de migration ne se limite pas à l’import initial
  • Même en essayant de déplacer des éléments entre un coffre organization et un coffre individual dans Bitwarden, il n’existe toujours pas de véritable fonction permettant de déplacer les éléments sélectionnés vers un autre emplacement
  • S’il n’y a que quelques identifiants, on peut les dupliquer et les modifier, mais lorsqu’il faut réorganiser des centaines d’éléments, quitter une organisation ou fusionner plusieurs organisations, le travail répétitif devient excessif
  • La solution de contournement officielle recommandée par le support Bitwarden et un fil de discussion communautaire consiste à exporter le coffre source en JSON non chiffré, à modifier le fichier, puis à le réimporter dans le coffre cible
  • Ce processus crée un risque de sécurité, car plus de 500 identifiants peuvent se retrouver en clair dans ~/Downloads ou dans un répertoire synchronisé dans le cloud comme Dropbox, OneDrive ou iCloud
  • L’export omet les pièces jointes, ainsi que les éléments de corbeille, l’historique des mots de passe et les horodatages
  • C’est une approche difficilement acceptable pour les organisations qui dépendent de pièces jointes comme des fichiers de clés SSH, des clés de licence, des codes de récupération sous forme d’image, ou de l’historique des mots de passe pour la conformité et l’audit
  • Le fait qu’un produit censé être la source unique de vérité des identifiants ne propose toujours pas, au bout de 10 ans, un bouton permettant de déplacer intégralement 500 éléments vers un autre coffre en dit long sur les priorités d’ingénierie

Les mises à jour client qui cassent des fonctionnalités

  • Bitwarden déploie des mises à jour client sans préavis aux utilisateurs, et ces mises à jour peuvent parfois rendre le coffre inaccessible côté client
  • Pendant un voyage, F-Droid a mis à jour Bitwarden pendant la nuit alors que le téléphone était branché, et le lendemain matin il était impossible d’accéder au coffre dans l’application Bitwarden, pourtant nécessaire pour se connecter à la banque
  • Il a fallu du temps pour identifier la cause, puis confirmer la situation via une issue bitwarden/android et une discussion Vaultwarden
  • Le pire a été évité grâce à l’UPDC qui hébergeait le backend Bitwarden
  • La manière dont une mise à jour semblant introduire un changement de protocole incompatible entre le client et le backend a été poussée a paru irresponsable, et a conduit à la conclusion qu’on ne pouvait pas faire confiance à Bitwarden pour les utilisateurs qui doivent pouvoir compter sur un gestionnaire de mots de passe en mode hors ligne
  • Par la suite, les mises à jour automatiques du client Bitwarden ont été désactivées, et un instantané à jour de tous les mots de passe a été exporté vers des sauvegardes locales basées sur KeePassChi, KeePassXC et KeePassDX
  • Ce problème ne semble pas être propre à Vaultwarden, contrairement à ce qu’affirment des employés de Bitwarden
    • Le dépôt bitwarden/android contient plusieurs signalements similaires
    • La régression de la version 2025.12.x a donné lieu à des signalements indiquant qu’après connexion, le mot de passe maître était demandé deux fois et que l’application plantait
    • La version 2025.6.0 a, selon des signalements, provoqué un plantage immédiat au démarrage pour plusieurs utilisateurs
  • L’application Android a été entièrement réécrite en Kotlin natif depuis .NET MAUI en 2024, et elle est jugée sujette à des régressions à chaque sortie trimestrielle depuis la publication de v2024.10.1

Expérience utilisateur et qualité des applications desktop et mobile

  • Bitwarden est jugé, subjectivement, comme l’une des pires applications sur mobile et sur desktop du point de vue de l’interface
  • Même après des années d’utilisation, ouvrir l’extension ungoogled-chromium ou les applications desktop et mobile restait quelque chose qu’on rechignait à faire
  • Construire l’application desktop basée sur Electron depuis les sources est très fastidieux, et le Flatpak précompilé ne fonctionne pas correctement sous Wayland
  • Les clients et extensions prennent en charge l’utilisation hors ligne, mais ne semblent pas conçus autour de cet usage
    • À l’ouverture de l’application mobile ou de l’extension navigateur, une latence se produit, comme si le backend tentait d’être contacté
    • Dans une configuration où le backend n’est pas exposé sur l’Internet public, cette latence peut durer de quelques secondes à plusieurs minutes
    • Il ne semble pas exister de moyen de désactiver la synchronisation au déverrouillage du coffre pour éviter ces attentes inutiles
  • La liste des connexions du Vault dans l’extension navigateur est également peu pratique
    • En général, les autres gestionnaires de mots de passe remplissent le formulaire de connexion lorsqu’on clique sur un élément de la liste
    • Dans Bitwarden, cliquer sur toute la ligne ouvre l’écran de détails, et il faut appuyer sur le petit bouton Fill à droite pour lancer l’auto-remplissage
    • Au survol, le grand élément de liste est mis en évidence, mais l’auto-remplissage n’est en réalité lié qu’au petit bouton, ce qui rend la manipulation difficile
    • Il ne semble pas non plus y avoir de réglage permettant de faire en sorte que le clic sur un élément de liste déclenche l’auto-remplissage et que le petit bouton ouvre les détails
  • Des problèmes similaires reviennent régulièrement sur Hacker News et dans la communauté
  • Même des demandes de fonctionnalités comme un simple historique d’édition par élément, présentes sur le forum communautaire depuis 2021, n’ont pas été traitées, et des revendeurs MSP ont publiquement dénoncé un « développement des fonctionnalités lent comme un glacier »

L’interface dangereuse de la CLI Bitwarden

  • La CLI Bitwarden est elle aussi jugée dotée d’une mauvaise interface utilisateur
  • La commande list de l’outil bw affiche tous les détails des éléments, y compris les mots de passe et les codes TOTP, même sans indicateur supplémentaire comme --show-credentials
  • Cette conception est critiquée pour ne pas suffisamment prendre en compte le risque d’exposer involontairement tous les identifiants si bw list est envoyé par erreur dans un pipe vers un autre emplacement
  • Le fait que la CLI Bitwarden soit un outil terminal construit en TypeScript est également pointé du doigt
    • Il implique de nombreux composants d’exécution et dépendances
    • La pile JavaScript est jugée ne plus être un choix anodin à exécuter sans y penser dans un environnement de CI

Historique de sécurité

  • Le rôle central d’un gestionnaire de mots de passe est de protéger les utilisateurs et de conserver leurs identifiants en sécurité
  • En tant que produit existant depuis 2016, Bitwarden est considéré comme ayant connu un nombre non négligeable de problèmes de sécurité déployés en production réelle
  • Cela ne signifie pas que chaque incident pris isolément était catastrophique, mais son approche de la sécurité axée sur la réaction après coup, ses réponses du type « comportement intentionnel » face à des découvertes embarrassantes, la dépendance de sa CLI critique pour la sécurité à une toolchain Node.js, ainsi qu’un schéma de traitement tardif de problèmes signalés à l’avance par des chercheurs externes, sont pointés du doigt

  • 2023 : KDF

    • En janvier 2023, juste après la compromission de LastPass, le chercheur en sécurité Wladimir Palant a publié une analyse montrant que les 200,001 itérations PBKDF2 annoncées par Bitwarden étaient en pratique plus proches de 100,000
    • La raison est que les itérations supplémentaires côté serveur n’étaient appliquées qu’au hachage du mot de passe maître utilisé pour la connexion, et non à la clé de chiffrement protégeant les données du coffre
    • Il en a résulté l’évaluation selon laquelle un attaquant ayant accès à un coffre divulgué pouvait contourner complètement le serveur, et que le niveau de sécurité effectif devenait alors identique à celui de LastPass
    • Le nombre d’itérations client par défaut n’était lui aussi que de 100,000, en dessous des recommandations OWASP de l’époque, et cette inquiétude avait été soulevée dès 2020
    • Bitwarden a finalement porté la valeur par défaut à 600,000 et ajouté la prise en charge d’Argon2, mais ce changement initial ne s’appliquait qu’aux nouveaux comptes, les utilisateurs existants devant modifier eux-mêmes les paramètres KDF

  • 2023 : contournement de Windows Hello

    • En 2023, RedTeam Pentesting a révélé une vulnérabilité du client desktop Windows, “Bitwarden Heist”
    • Cette vulnérabilité, CVE-2023-27706, permettait à un attaquant disposant de privilèges d’administrateur de domaine d’extraire la clé de déchiffrement du coffre depuis le stockage local DPAPI sans Windows Hello ni demande du mot de passe maître
    • Les chercheurs ont expliqué que n’importe quel processus exécuté dans une session utilisateur à faibles privilèges pouvait demander à DPAPI les identifiants permettant de déverrouiller le coffre
    • Le correctif n’a été inclus que plusieurs mois après la divulgation initiale, dans la version 2023.4.0

  • 2023 : remplissage automatique inter-origines

    • La même année, CVE-2023-27974 a été divulgué
    • L’extension navigateur de Bitwarden proposait le remplissage des identifiants même dans des iframes inter-domaines intégrées à une page de confiance, tant que le domaine de base correspondait
    • Par exemple, si trusted.com incluait une iframe attacker.trusted.com et que ce sous-domaine était contrôlé par un tiers, les identifiants pouvaient être volés
    • Bitwarden a répondu que ce traitement des iframes était nécessaire pour des raisons de compatibilité, et que “Auto-fill on page load” n’était pas activé par défaut
    • Pour les utilisateurs ayant activé cette option, cela offrait peu de réconfort

  • 2025 : clickjacking basé sur le DOM

    • En août 2025, le chercheur en sécurité Marek Tóth a révélé un type d’attaque de clickjacking basée sur le DOM permettant, depuis une page malveillante, de faire remplir automatiquement par l’extension navigateur Bitwarden les informations de carte bancaire et les données personnelles en un seul clic
    • La vulnérabilité avait été signalée en avril 2025, soit quatre mois avant sa divulgation, mais Bitwarden l’a classée comme “moderate severity”
    • Le correctif a été inclus dans la version 2025.8.2, déployée le jour même de la fin de l’embargo du chercheur

  • 2026 : Shai-Hulud

    • Quelques jours avant la rédaction de ce texte, le client CLI officiel de Bitwarden 2026.4.0 a été compromis dans l’attaque de supply chain Checkmarx en cours
    • La version affectée du package semble être @bitwarden/cli2026.4.0, et le code malveillant a été publié dans bw1.js, inclus dans le package
    • L’attaque semble avoir exploité une GitHub Action compromise dans le pipeline CI/CD de Bitwarden, conformément au mode opératoire observé dans d’autres dépôts touchés par cette campagne
    • Les organisations ayant installé le package npm malveillant de Bitwarden doivent traiter cela comme un incident d’exposition d’identifiants et de compromission CI/CD
    • Le payload télécharge le runtime Bun, déchiffre ensuite le ver Shai-Hulud de second niveau, puis collecte les tokens GitHub et npm, les clés SSH, l’historique shell, les identifiants AWS, GCP et Azure, les secrets GitHub Actions, ainsi que les fichiers de configuration MCP utilisés par les outils d’IA
    • Les données volées sont exfiltrées en créant automatiquement un dépôt public sur le propre compte GitHub de la victime puis en les y téléversant
    • Le pipeline de publication npm de Bitwarden est resté compromis pendant environ 19 heures, laissant à 334 développeurs le temps de télécharger le package malveillant
    • La position officielle de Bitwarden a insisté sur le fait que les données de coffre des utilisateurs finaux n’avaient pas été accessibles, mais les utilisateurs ayant exécuté bw dans leur pipeline CI ont en pratique livré aux attaquants d’autres secrets présents sur cette machine
    • Selon cette analyse, si bw avait été un binaire unique à liaison statique, comme c’est courant dans les écosystèmes Go ou Rust, le rayon d’explosion propre au format npm n’aurait pas existé
    • Même si les attaques de supply chain augmentent aussi dans les écosystèmes Go et Rust, la barre pour mener une attaque réussie y est toujours considérée comme plus élevée

Approche à venir : diviser et isoler

  • J’en suis arrivé à la conclusion qu’il n’existe pas de gestionnaire de mots de passe unique qui réponde parfaitement à tous les usages et toutes les configurations
  • Dans la vie personnelle, il n’est pas nécessaire de partager un coffre ou des mots de passe individuels avec d’autres personnes, alors que c’est courant dans le travail
  • Les connexions aux comptes bancaires ou aux portails d’assurance n’ont pas besoin d’être utilisées dans des outils CLI, mais doivent rester accessibles sur plusieurs appareils
  • Les secrets de stockage cloud ou les clés privées SSH de déploiement n’ont pas besoin d’être synchronisés sur un téléphone, mais doivent être accessibles depuis un outil en ligne de commande pouvant être invoqué de manière programmatique
  • Au lieu d’essayer de tout résoudre avec un seul logiciel ou une seule plateforme, il est plus raisonnable de mieux compartimenter les ensembles d’identifiants
  • Du point de vue de la sécurité également, répartir les groupes de mots de passe entre différents logiciels et services permet de réduire l’étendue de l’impact en cas de fuite de données

Classification des identifiants et choix des outils

  • Groupe A : projets professionnels et clients

    • Le groupe A correspond aux identifiants de projets professionnels et clients, comme les connexions aux plateformes
    • J’utilise un gestionnaire de mots de passe SaaS qui offre un partage de coffre approprié, une intégration avec les outils réellement utilisés par les clients, le SSO, des extensions de navigateur sur les appareils d’entreprise, des journaux d’audit, et évite la charge d’hébergement
    • La plateforme est propriétaire, ce que je ne préférerais normalement pas, mais comme le périmètre de ce groupe est limité au travail client, j’accepte ce compromis

  • Groupe B : comptes contenant des PII

    • Le groupe B correspond aux identifiants de comptes contenant des PII, comme les comptes bancaires ou les boutiques en ligne
    • Ces comptes contiennent déjà des données personnelles comme le nom, l’adresse, la date de naissance et les informations de paiement, et ces services eux-mêmes subissent régulièrement des fuites, comme on peut aussi le vérifier sur Have I Been Pwned
    • Je considère qu’une compromission du gestionnaire de mots de passe n’élargit pas de manière significative les informations déjà connues par un attaquant
    • En présence de TOTP et de Passkeys, l’important ici est la disponibilité inter-appareils, la fiabilité et le fonctionnement hors ligne
    • J’utilise un deuxième gestionnaire de mots de passe cloud séparé, d’un autre fournisseur, afin qu’il ne soit pas compromis automatiquement avec le groupe A, avec un mot de passe maître différent et un mécanisme de récupération différent
    • Comme je prévois d’exécuter l’application mobile sur au moins un appareil GrapheneOS, je privilégie une solution qui ne dépend pas de Google Play Services et qui fournit, si possible, des clients open source ou à code source disponible

  • Groupe C : comptes sans PII

    • Le groupe C inclut les forums internet, les sites web, les services respectueux de la vie privée et les comptes qui ne détiennent pas de PII
    • Ce groupe n’a pas besoin de services cloud, et je n’en veux pas non plus
    • J’utilise KeePassChi, KeePassXC et KeePassDX, et je place les fichiers de base de données dans un dossier synchronisé entre appareils par Syncthing
    • Cette approche a aussi été abordée auparavant dans un article sur la création d’un Dropbox décentralisé avec Syncthing
    • Le fichier .kdbx lui-même étant chiffré, même si Syncthing était compromis et qu’un attaquant obtenait le fichier, il devrait encore casser le chiffrement de KeePassChi/KeePassXC pour obtenir des informations utiles
    • Sur mobile, KeePassDX sur Android lit le même fichier sans problème

  • Groupe D : infrastructure

    • Le groupe D correspond aux identifiants d’infrastructure, comme les connexions aux serveurs et les clés SSH
    • Je stocke les identifiants personnels de la même manière que pour le groupe C
    • Pour les identifiants réellement utilisés par des scripts, des tâches CI et des serveurs distants, j’utilise HashiCorp Vault
    • HashiCorp Vault est un outil que j’exploitais déjà dans une configuration OpenBSD à des fins de PKI
    • C’est un peu excessif pour un utilisateur seul, mais il fournit des politiques d’accès, une authentification par jeton pour les agents d’automatisation, des identifiants à courte durée de vie lorsque c’est pris en charge, et des journaux d’audit
    • Infisical est également à l’étude

  • Groupe E : identifiants à usage unique

    • Le groupe E correspond aux clés API, aux personal access tokens et aux secrets arbitraires utilisés uniquement en ligne de commande
    • J’utilise l’ancien utilitaire pass
    • pass stocke chaque secret sous la forme d’un fichier chiffré GPG individuel dans un dépôt Git
    • La structure est simple, facile à auditer, et s’intègre bien avec les scripts shell et les dotfiles
    • Le dépôt Git est hébergé sur ma propre infrastructure, pas sur GitHub, et je ne le synchronise manuellement que lorsqu’un accès réel depuis une autre machine est nécessaire

Conclusion du passage d’un coffre unique à plusieurs outils

  • Pour les utilisateurs venant d’un monde à coffre unique, cela peut sembler complexe et excessif, avec beaucoup de pièces mobiles
  • Après avoir utilisé Bitwarden pendant des années comme solution universelle, j’en suis arrivé à considérer que one size fits all revenait en réalité à one size fits poorly
  • Répartir les identifiants entre plusieurs outils a été bien moins pénible que prévu au départ, parce que chaque outil convenait mieux à une tâche spécifique
  • Même si l’un des outils est compromis, le rayon d’impact est limité à une catégorie de secrets au lieu de concerner l’ensemble des identifiants

Jugement final

  • Après avoir auto-hébergé Bitwarden pendant des années, j’estime que le produit s’est progressivement éloigné de ce que j’en attendais au départ
  • Une architecture pensée d’abord pour l’entreprise qui tient tout juste sur un Raspberry Pi, une tentative incomplète de backend léger, la controverse autour de la licence du SDK, la lenteur dans le traitement des fonctionnalités, des problèmes d’UX non corrigés pendant des années, et des problèmes de sécurité qui n’auraient jamais dû être mis en production composent ensemble un tableau qui ne correspond pas au récit du « gestionnaire de mots de passe open source pour tout le monde »
  • Cela ne signifie pas que les alternatives sont globalement meilleures ou exemptes de problèmes
  • Les gestionnaires de mots de passe sont intrinsèquement difficiles, et tous les acteurs de ce domaine ont leurs propres problèmes
  • Il faut examiner avec rigueur à quel point on confie tous ses identifiants à un seul logiciel, et si ce pari reste encore le bon ; dans ce cas, j’en suis arrivé à la conclusion que ce n’était plus le bon choix

Discussions associées

À lire aussi

2 commentaires

 
GN⁺ 1 일 전
Avis sur Lobste.rs

  • Le message flash désactivez JavaScript qui apparaît après avoir changé d’onglet est agaçant, et le titre d’onglet qui change l’est aussi
    Je ne vais pas désactiver JavaScript par défaut. Trop de sites se cassent la figure sinon
    Pour la plupart des sites que je visite régulièrement, un bloqueur de pub suffit, et je n’utilise NoScript que pour quelques sites pénibles ; celui-ci semble avoir rejoint la liste

    • Je déteste vraiment que l’exécution de code arbitraire soit considérée comme l’attente par défaut pour lire un texte sur Internet
      Je compatis, mais il faut bien que quelqu’un fasse quelque chose. Comme tu l’as dit, la commodité de laisser JavaScript activé partout l’emporte encore sur ce seul site, mais un jour cette commodité finira par dépasser le point critique
    • J’évite volontairement ce site depuis qu’au bureau il a affiché “steve ballmer nude pics” comme <title> “drôle”
    • C’est juste que ce style d’écriture n’est pas mon truc
    • Je vois ce que tu veux dire, et en pratique je suis d’accord puisque moi aussi je laisse JavaScript activé par défaut
      En revanche, je ne fais pas d’exception pour les sites pénibles : je les supprime de mon historique et j’essaie de ne plus y retourner
      En même temps, je comprends aussi l’intention de l’auteur. On dirait qu’il n’essaie pas juste de troller, mais plutôt de dire : “Oui, c’est mesquin. Mais est-ce normal que sur le Web, n’importe quel site puisse par défaut faire ça, ou bien pire encore ?”
      JavaScript a rendu possible une grande partie de ma carrière, mais le fait qu’une page composée seulement de texte ou d’images puisse exécuter du code arbitraire sans aucun avertissement ni indice, et utiliser sans limite le CPU, la bande passante et d’autres ressources, ça me paraît quand même assez dingue

  • KeePassXC me laisse aussi une impression mitigée
    Je crains que l’usage d’outils d’IA n’accélère l’ajout de fonctions non souhaitées et non nécessaires dans les gestionnaires de mots de passe. Pour l’instant, ça semble surtout servir à corriger des bugs, mais une fois que la plupart des bugs seront réglés, on voit bien ce qui viendra ensuite. La tentation est trop forte
    Récemment, ils ont ajouté “plus de formats de fichiers pris en charge dans le visualiseur de pièces jointes intégré (images, HTML, Markdown), ainsi que la modification des pièces jointes de type fichier texte”, et je n’ai aucune envie d’avoir ce genre de code dans un gestionnaire de mots de passe. Il existe déjà des éditeurs de texte et des applis pour consulter des fichiers
    Ils sont en concurrence directe avec 1Password, donc ils n’ont qu’à se concentrer sur la meilleure expérience utilisateur possible. Et je ne suis toujours pas prêt à faire confiance aux développeurs de KeePassX ? KeePassChi ? ChiPass ?

  • Presque partout ailleurs, je préfère les logiciels libres et open source, mais pour les gestionnaires de mots de passe, j’utilise 1Password depuis un bon moment
    J’ai décidé de ne pas mégoter sur ce sujet, et le modèle par abonnement me fait penser que le business model de l’entreprise consiste à vendre un produit qui fonctionne vraiment, plutôt qu’à faire de l’upsell depuis une offre gratuite
    J’aimerais que ce soit open source, mais indépendamment de ça, la synchronisation entre appareils est fiable et l’extension navigateur fait son travail sans problème

    • J’ai longtemps été un grand fan de 1Password, je l’ai utilisé pendant plus de 10 ans
      Le moment où ils ont pratiquement empêché la possibilité d’apporter son propre moyen de synchronisation, au lieu de stocker mes données sur leurs serveurs, a été la goutte de trop
      À l’époque, leurs clients non Apple n’étaient pas terribles non plus, et le fait que j’utilise de plus en plus de plateformes non Apple a aussi joué. J’ai l’impression que ça s’est amélioré ces dernières années, mais je n’ai pas réessayé
      Je ne suis pas parti pour une question d’argent. Aujourd’hui, j’auto-héberge le stockage des données avec VaultWarden tout en payant Bitwarden
      Je préfère les logiciels libres et open source, mais pour ce genre d’outils, le critère absolu reste de contrôler l’endroit où les données sont stockées
    • Dans certains cas, la synchronisation échoue encore
      Si je modifie des identifiants ailleurs que sur mon appareil Android, alors la première fois que j’utilise 1Password sur Android ensuite, il remplit les anciens identifiants avant que la nouvelle valeur soit synchronisée
      La première connexion échoue, puis quand je comprends la raison et que je réessaie une deuxième fois, ça marche parce que la synchro a eu le temps de se faire entre-temps. C’est agaçant à chaque fois

  • Je suis globalement d’accord avec les arguments contre Bitwarden, mais une bonne partie des problèmes soulevés n’est pas si grave, et certains semblent venir de configurations personnalisées comme VaultWarden ou GrapheneOS
    J’utilise Bitwarden depuis 5 ou 6 ans, et le seul problème que j’ai eu, c’est la lenteur pendant un moment après la refonte de l’interface de l’extension navigateur. Je m’en suis sorti en revenant à une ancienne version de l’extension depuis les releases GitHub pendant quelques mois
    S’il allait écrire un texte aussi long, j’aurais aimé qu’il cite au moins de vraies alternatives SaaS vers lesquelles migrer. Au final, si le lecteur fait lui-même ses recherches, il trouvera peut-être un gestionnaire de mots de passe SaaS plus adapté à son cas, mais ça reste pénible
    J’aimerais bien entendre parler d’autres gestionnaires de mots de passe qui proposent un hébergement gratuit, un support hors ligne, une synchro cloud automatique, une extension navigateur avec raccourci clavier pour l’auto-remplissage, et une appli mobile, de préférence en open source
    Après quelques recherches, il semble que Proton Pass remplisse toutes ces conditions pour ceux qui cherchent une alternative. J’essaierai peut-être un jour, mais pour l’instant Bitwarden me convient bien

    • Je n’ai utilisé que la configuration officielle de Bitwarden, et sur un point la critique me paraît juste
      Organiser les éléments dans Bitwarden relève presque de la folie
      Rien qu’un glisser-déposer entre colonnes pour déplacer des éléments d’une organisation à l’autre serait formidable, mais aujourd’hui il ne reste qu’un système limité
      C’est ridicule que, dans un logiciel payant, la seule vraie solution soit de fabriquer soi-même des outils d’administration
    • Sur Firefox, c’est toujours extrêmement lent, au point que j’ai abandonné l’extension pour utiliser l’application desktop
    • Tous les problèmes liés à la ligne de commande sont résolus par rbw
      Je l’ai découvert assez récemment et j’ai complètement basculé dessus

  • pass, le “gestionnaire de mots de passe UNIX standard”, est bien aussi. Je l’utilise depuis plus de 10 ans
    https://www.passwordstore.org/

    • Malheureusement, l’appli Android associée a été abandonnée, ce qui rend son usage partout plus difficile : https://github.com/android-password-store/Android-Password-Store/…
      Il existe des forks qui semblent actifs, mais je ne les ai pas encore testés. Ça n’a pas l’air d’être sur Google Play, mais c’est présent sur F-Droid

  • J’utilise Bitwarden, donc j’espérais que cet article me convaincrait d’arrêter et proposerait une meilleure approche
    Mais si quelqu’un a pris le temps d’écrire un texte aussi long et qu’au final il n’a guère plus que des reproches très mineurs, sans proposer quoi que ce soit de nettement meilleur, ça me rassure plutôt sur Bitwarden

    • C’en est presque décevant
      Bitwarden permet de déverrouiller le coffre avec des passkeys. C’était le dernier secret que je devais encore mémoriser
      Une alternative doit au moins être capable de faire ça

  • En tant qu’utilisateur de Bitwarden, je le recommande
    Ce n’est pas cher, ça offre tout ce qu’il faut, et c’est un logiciel libre et open source
    Je n’ai pas le temps d’utiliser 5 solutions de gestion de mots de passe, 4 outils en ligne de commande et 3 mots de passe maîtres. Bitwarden est franchement très bien
    1Password dégage une aura complètement maléfique, et je n’ai pas envie d’avoir affaire à ça

    • Je suis passé de Chrome, puis d’une synchro KeePass auto-hébergée, puis de Firefox, à Bitwarden
      Pour migrer et partager avec la famille, c’était clairement le plus simple. Et l’abonnement coûte vraiment peu

  • Existe-t-il d’autres solutions open source qui prennent en charge le partage d’identifiants comme Bitwarden ?
    J’utilise KeePass/KeePassXC depuis plus de 15 ans, mais lorsqu’il faut partager des lots d’identifiants avec des membres d’équipe non développeurs ou avec la famille, je n’ai jamais trouvé mieux que Bitwarden
    Je n’ai jamais particulièrement aimé Bitwarden, mais pour le stockage d’identifiants ainsi que le partage et la synchronisation, ça a toujours été l’option la moins mauvaise

    • J’ai découvert Passbolt[0] il n’y a pas longtemps
      Comme Bitwarden, ça fait très orienté entreprise, mais ça a l’air intéressant. Je ne sais pas si c’est réellement bien, mais ça semble pouvoir faire office d’alternative à Bitwarden
      [0]: https://www.passbolt.com/
    • On peut aussi migrer tous ses mots de passe vers un autre gestionnaire qu’on préfère, et garder Bitwarden uniquement pour les identifiants partagés

  • Ça fait un moment que j’utilise keepassXC et keepassDX. Leurs noms sont vraiment idiots
    J’espère qu’un jour on migrera vers ChiPass

  • Si c’est du GPG… alors c’est probablement un système où l’on chiffre pour soi-même en RSA ?
    Mieux vaut utiliser age
 
ndrgrd 1 일 전

C’est un article agaçant. Le problème commence avec le site lui-même, qui masque le contenu avec une popup parce que JavaScript est activé, et l’article en lui-même est aussi pauvre sur le fond.

Pour le problème d’export, l’argument est qu’après l’export il faut faire quelques petites modifications, et que si ce fichier est ensuite téléversé dans le cloud, cela crée un problème de sécurité… Mais on peut exporter et importer en local, alors pourquoi le téléverser dans le cloud ? Et les autres produits qui ne nécessitent pas de modification ne s’exportent et ne s’importent-ils pas eux aussi via un fichier ? Dans ce cas, le même problème de sécurité se poserait. Et puis, qui synchronise son dossier Downloads avec le cloud, au juste ?

Le reste concerne soit des problèmes survenus au fil des améliorations et désormais en grande partie résolus, soit des affirmations qui extrapolent à partir d’expériences strictement personnelles. Pour le problème lié à Wayland, à lire l’issue, cela ressemble au problème de quelques compositeurs. Dans mon environnement Wayland, cela fonctionne très bien.
Je comprends tout à fait l’idée que le client laisse à désirer, mais je ne pense pas que cela suffise à justifier une conclusion aussi extrême que « je ne le recommande pas ».

La partie liée à la sécurité concerne des points qui ont été corrigés rapidement, malgré la longueur du texte, et le problème de 2026 n’est pas non plus un problème propre à Bitwarden.

Ensuite, il reste l’argument selon lequel ce ne serait pas un projet FOSS et qu’il reçoit des investissements de capital-risque… et là, franchement, ma seule réaction c’est : et alors ? Ce n’est pas le genre de chose à dire quand des projets FOSS existent déjà sur le marché ? Parce qu’un projet reçoit des investissements de capital-risque mais propose des clients open source, il faudrait l’abandonner pour utiliser un projet mené de façon 100 % fermée ?

Au final, la conclusion de l’article est : « je vais répartir le stockage entre plusieurs choses, et dans la plupart des cas j’utiliserai d’autres services tiers », sans même préciser de quels services il s’agit. Après avoir attaqué plus haut avec des formules comme « Bitwarden vend en réalité du SaaS » ou « pourquoi être open source si l’on a reçu des investissements de capital-risque », la conclusion serait donc d’utiliser un SaaS tiers. On ne peut pas dire si c’est open source ou non, mais on va utiliser un service de remplacement. Qu’est-ce qu’on est censé en faire ?

Et puis, dans l’ensemble du texte, il y a en filigrane cette idée absurde qui relie subtilement le choix du langage aux performances ou à l’usage mémoire, ce qui est assez ridicule. Genre, si cela avait été écrit en Rust, cela aurait été à l’abri des attaques sur la supply chain. Ou bien : c’est fait en Microsoft .NET, donc la consommation mémoire est trois fois plus élevée… Ni les attaques sur la supply chain ni l’usage mémoire n’ont grand-chose à voir avec le langage. .NET en particulier peut très bien être utilisé sans heap ni GC selon la manière dont on s’en sert. On dirait simplement qu’il répète mot pour mot ce que racontent les fanboys de Rust. C’est consternant.