La refonte discrète de Bitwarden

 (blog.ppb1701.com)
5 points par GN⁺ 6 시간 전 | 2 commentaires | Partager sur WhatsApp
  • Bitwarden a doublé le prix de Premium et supprimé la mention « Always free », montrant une tendance à modifier ses conditions via des changements sur le site web et dans les contenus existants plutôt que par des annonces officielles
  • Le CEO de longue date Michael Crandell est passé en février à un rôle de conseiller, et Michael Sullivan, qui a un historique de fusions-acquisitions chez Acquia et Insightsoftware, lui a succédé au poste de CEO
  • La mention « Always free » a disparu de la page grand public à la mi-avril, et les valeurs GRIT sont passées de Inclusion et Transparency à Innovation et Trust
  • Ni le blog ni les communiqués de presse n’annoncent séparément le changement de CEO, la modification des valeurs ou la suppression de la promesse de gratuité, et certains anciens articles sont désormais contradictoires entre les nouvelles valeurs et les anciennes explications
  • Les utilisateurs de Vaultwarden doivent surveiller si la publication open source du client Bitwarden et la liberté de connexion au serveur sont maintenues, tandis que la licence Apache 2.0 laisse ouverte la possibilité d’un fork

Les changements discrets chez Bitwarden

  • En mars, Bitwarden a doublé le prix de Premium tout en l’affichant comme un prix mensuel pour un produit qui n’a jamais proposé de paiement mensuel, et les clients existants n’ont été avertis que 15 jours avant le renouvellement
  • Lors d’échanges contradictoires sur Mastodon à propos de la hausse des prix, des faits clés ont été confirmés, puis les opérations de l’entreprise et le texte du site web ont continué à changer
  • Les changements ne se sont pas faits via une grande annonce, mais de manière peu visible, par modification de contenus existants, mise à jour d’informations sur LinkedIn et suppression de formulations sur le site web

Changement de direction

  • Selon un article de Fast Company, Michael Crandell, CEO historique, est passé en février à un rôle de conseiller, sans annonce officielle de l’entreprise
  • Crandell était chez Bitwarden depuis 2019 et a dirigé l’entreprise pendant la période où des utilisateurs, après les changements chez LastPass, se tournaient vers Bitwarden comme alternative
  • Son successeur au poste de CEO est Michael Sullivan, ancien CEO d’Acquia et d’Insightsoftware
  • Le LinkedIn de Sullivan met en avant « tous les aspects des M&A, avec une expérience directe auprès de grands fonds de PE »
  • Sullivan a dirigé en 2019 le rachat d’Acquia pour 1 milliard de dollars par Vista Equity Partners et en 2021 l’investissement de 1 milliard de dollars de Hg dans Insightsoftware
  • Le CFO Stephen Morrison a lui aussi quitté l’entreprise en avril, remplacé par Michael Shenkman, ancien CEO d’InVision
  • Kyle Spearrin a commencé Bitwarden en 2015 comme projet personnel, inquiet de la manière dont LastPass évoluerait sous un nouveau propriétaire, et il reste aujourd’hui CTO

Changements sur le site web et dans les valeurs affichées

  • Sur la page du gestionnaire de mots de passe personnel de Bitwarden, la mention « Always free » a disparu à la mi-avril
  • L’offre gratuite existe toujours, mais la promesse de gratuité durable qui figurait auparavant sous la zone de sélection des offres a été supprimée
  • GRIT, qui représentait les valeurs culturelles de Bitwarden, signifiait à l’origine Gratitude, Responsibility, Inclusion, Transparency
  • Depuis le 4 mai, GRIT signifie Gratitude, Responsibility, Innovation, Trust
  • Inclusion et Transparency ont disparu, tandis que Innovation et Trust ont été ajoutés, avec une réécriture du texte des valeurs

Des contenus modifiés sans annonce officielle

  • Le blog de Bitwarden ne contient aucun billet sur le nouveau CEO, le changement de valeurs ou la suppression de la promesse « Always free »
  • L’espace des communiqués de presse ne contient pas non plus d’annonce distincte sur ces changements
  • L’article de 2022 écrit par Crandell, « Defining and sustaining value for Bitwarden users », a été modifié discrètement
  • Dans le corps de cet article, la liste GRIT a été remplacée par les nouvelles valeurs Innovation et Trust, mais le paragraphe explicatif en bas parle encore des anciennes valeurs Inclusion et Transparency
  • Le nom de Crandell est resté tel quel, et le contenu de l’article est devenu contradictoire en lui-même
  • Comme lors de la hausse de prix, la méthode consistant à enfouir les changements dans des contenus existants pour éviter l’attention se répète
  • Dans une interview accordée à Fast Company en 2024, Crandell décrivait le niveau gratuit comme « un engagement ferme à l’échelle de l’entreprise. Entièrement fonctionnel, gratuit pour toujours », mais il occupe désormais un rôle de conseiller et la mention « Always free » a disparu de la page

Pourquoi quitter le cloud Bitwarden

  • Une instance Vaultwarden fonctionne depuis janvier, et le compte cloud Bitwarden a été fermé au moment où le précédent article sur la hausse de prix a été publié
  • L’inquiétude actuelle porte moins sur le coffre-fort de mots de passe personnel que sur un schéma répétitif consistant à créer de la confiance et de la dépendance, puis à modifier discrètement les conditions
  • Ce schéma ne prend pas la forme d’une annonce spectaculaire, mais de plusieurs petites couches de changements
  • Exemples : un article fonctionnel intégrant un changement de prix, des informations LinkedIn modifiées sans communiqué de presse, et une page de valeurs différente de celle de la semaine précédente
  • Pour les utilisateurs qui continuent d’utiliser le cloud Bitwarden, ces changements constituent une raison de s’arrêter pour réfléchir
  • Le cas GitHub, abordé en mars, suivait une trajectoire faite d’une plateforme open source de confiance, d’une promesse d’indépendance, de plusieurs années d’érosion discrète, puis d’une phase 3, et la ressemblance avec Bitwarden renforce l’inquiétude
  • Comme option pour posséder directement son coffre de mots de passe, le processus d’auto-hébergement de Vaultwarden est proposé
  • Le parcours de Sullivan est lié à la mise en condition d’une entreprise pour une vente, et peut se lire comme un scénario de maximisation des revenus, de nettoyage des états financiers, d’amélioration de l’attractivité des chiffres et de recherche d’un acquéreur
  • Les acheteurs potentiels pourraient être de grandes entreprises technologiques, des concurrents comme 1Password, ou des sociétés cherchant une base d’utilisateurs ou des contrats d’entreprise
  • Si une telle acquisition se produisait réellement, elle pourrait déclencher un mouvement de fork bien plus fort que le mécontentement provoqué par la hausse des prix

Ce que doivent surveiller les utilisateurs de Vaultwarden

  • La viabilité à long terme de Vaultwarden dépend du fait que le client Bitwarden continue d’être publié en open source et ne limite pas le choix du serveur
  • Aujourd’hui, Vaultwarden implémente l’API serveur publique de Bitwarden, et les applications officielles ne font pas la différence
  • Rien ne garantit que, sous la nouvelle direction, Bitwarden maintiendra le client open source et la liberté de connexion au serveur
  • L’élément qui retarde le pire scénario est que l’auto-hébergement est explicitement présenté comme une fonctionnalité entreprise et génère de vrais revenus
  • Supprimer l’auto-hébergement reviendrait à braquer des clients entreprises payants, ce qui constitue une contrainte importante pour Bitwarden
  • Toutefois, ce que Bitwarden vend aux entreprises, c’est la pile serveur officielle, pas Vaultwarden
  • Vaultwarden existe dans un espace que Bitwarden a toléré, mais qu’il n’a jamais officiellement soutenu
  • Si les calculs changent, l’API pourrait évoluer petit à petit sans annonce séparée, et la compatibilité pourrait se dégrader naturellement
  • Cela ne semble pas imminent, mais même dans une situation où la promesse « Always free » paraissait solide, cette mention a déjà disparu de la page

Le véritable filet de sécurité et la possibilité d’un fork

  • Le client Bitwarden est sous licence Apache 2.0, ce qui fournit une base permettant un fork communautaire
  • Un fork devrait changer de nom et d’interface pour éviter les problèmes de marque, mais il serait possible d’utiliser le même moteur
  • Le coffre web fonctionne dans le navigateur indépendamment des changements dans les applications, de sorte que, dans le pire des cas, on pourrait seulement perdre temporairement le remplissage automatique
  • Cet inconvénient n’est pas fatal, et Vaultwarden lui-même prouve que ce modèle fonctionne
  • Le point principal à surveiller est la publication du client
  • Si le client devient fermé, la communauté s’en rendra vite compte, et un fork suivra probablement

À lire aussi

2 commentaires

 
GN⁺ 1 시간 전
Avis sur Lobste.rs

  • Vista Equity est la société qui a racheté Citrix en 2022, et c’est au final la raison pour laquelle j’ai quitté mon poste là-bas
    Je ne vois pas comment cela pourrait bien se terminer, donc je le prends comme un signal qu’il faut commencer à chercher activement des alternatives à leur service cloud

  • Les gestionnaires de mots de passe sont désormais assez mûrs, et c’est une catégorie de produits avec une réputation d’encshittification qui s’accumule de façon régulière, donc un coopérative d’ingénierie logicielle qui hébergerait proprement, contre paiement, un gestionnaire de mots de passe FOSS me semble envisageable
    Il faudrait une entreprise dont les statuts limitent la détention de parts aux seules personnes qui y travaillent réellement
    Sans ce genre de garde-fou, un investisseur extérieur finit toujours par arriver avec une offre trop difficile à refuser

  • J’utilise aussi vaultwarden, donc si un fork communautaire voyait le jour, je l’accueillerais volontiers
    J’ai déjà eu des problèmes de compatibilité entre certains clients Bitwarden officiels et mon serveur vaultwarden, et les calendriers de publication n’étaient pas bien alignés
    Dans un fork communautaire, ce genre de problème pourrait être mieux traité, avec à la clé une meilleure stabilité
    Bien sûr, si on perd l’ampleur des contributions des ingénieurs salariés de Bitwarden, le développement de nouvelles fonctionnalités pourrait quasiment s’arrêter, mais pour un gestionnaire de mots de passe, cela me semblerait acceptable

  • J’ai migré vers 1Password aujourd’hui même, avant d’apprendre tout cela, et ce n’était pas une décision prise à la légère
    Mais l’expérience utilisateur de Bitwarden était assez pénible : coffres qui ne se synchronisent pas, gestion des secrets inutilement complexe, mauvais partage, extensions incohérentes
    Après avoir lu ceci, je me sens encore plus conforté dans ma décision

    • Oui. La refonte de l’expérience utilisateur était vraiment mauvaise

  • J’utilise Bitwarden actuellement, mais j’envisage depuis longtemps de passer au gestionnaire de mots de passe intégré d’Apple
    Je n’ai pas vraiment de grief contre Bitwarden lui-même, mais la solution d’Apple est mieux intégrée au système d’exploitation
    Cela dit, deux points me freinent. Je me demande comment exporter ou sauvegarder mes mots de passe pour ne pas perdre l’accès à mes comptes si je cesse un jour d’utiliser Apple, et s’il est possible d’exiger une authentification supplémentaire seulement pour certains mots de passe sensibles, alors qu’ils se synchronisent entre l’ordinateur portable et le téléphone et que le code du téléphone est relativement faible
    Mettre des comptes sensibles derrière le mot de passe de connexion du Mac me va, mais étendre ce niveau de confiance au téléphone me gêne. J’aimerais savoir s’il existe un moyen de concilier praticité et sécurité

    • Il me semble que sur macOS, on peut importer et exporter les mots de passe en CSV

  • J’ai commencé à utiliser Bitwarden à l’origine pour son côté open source, et cela ne me dérange absolument pas de payer
    C’est vraiment dommage, car je voudrais éviter les tracas de l’auto-hébergement
    Je vais quand même continuer à faire des exportations régulières, et si le service se dégrade vraiment, je compte être prêt à partir immédiatement
 
GN⁺ 6 시간 전
Avis sur Hacker News

  • Plus que la hausse de prix elle-même, ce qui m’inquiète, c’est que le nouveau CEO semble avoir une mentalité de fonds de capital-investissement
    On dirait que Bitwarden risque désormais de se concentrer sur l’extraction de valeur pendant que le produit stagne et que sa qualité baisse
    J’ai l’impression que c’est le moment de partir avant que la sécurité et la qualité ne se dégradent

    • Ce n’est pas mon projet, mais Vaultwarden est un backend open source alternatif à Bitwarden, écrit en Rust
      Il existe depuis assez longtemps et, à ma connaissance, il est toujours maintenu
      https://github.com/dani-garcia/vaultwarden
    • En tant qu’abonné payant, je peux accepter dans une certaine mesure la hausse de prix en elle-même
      En revanche, le fait que le changement de CEO et la suppression de la mention always free coïncident “par hasard” m’inquiète
    • J’avais justement quitté 1Password pour Bitwarden quand 1Password a fait exactement ce genre de chose avec sa nouvelle politique tarifaire, la boucle est bouclée
    • J’en ai vraiment assez du cycle de monétisation par dégradation de la qualité
      J’ai aussi été très déçu d’apprendre récemment les changements liés à la vérification Android et au CAPTCHA
      J’étais passé sur Android il y a quelques années parce que je le voyais comme une alternative plus ouverte qu’Apple, et à peu près à la même époque j’étais passé de LastPass à Bitwarden
      J’aimerais juste que ce type de services fondamentaux fonctionne discrètement pendant des années sans que j’aie à y penser, mais tant que le capitalisme continue, j’ai l’impression qu’il faut accepter que ce genre de chose arrive de plus en plus vite
    • PE ? Le capital-investissement, c’est une pente glissante vers une enshittification au grand jour

  • Quand j’ai découvert Bitwarden il y a environ 3 ans, j’ai tout de suite commencé à héberger Vaultwarden
    Aujourd’hui, j’exploite une instance personnelle et une autre pour l’entreprise d’un ami, et tout fonctionne de façon très fluide
    Si vous pouvez l’auto-héberger, mieux vaut gérer vous-même une instance Vaultwarden
    Si, comme moi, le fait que la base de code de Vaultwarden n’ait pas reçu de véritable audit de sécurité vous inquiète un peu, le placer derrière un VPN semble en général suffisant
    Je ne m’inquiète pas trop d’un éventuel déclin de Bitwarden. Il existe déjà une alternative open source bien établie
    Au pire, Bitwarden pourrait rendre ses clients incompatibles avec Vaultwarden, mais comme le dit aussi l’article, si cela arrivait la communauté le forkerait immédiatement

    • Certes, mais Vaultwarden n’est pas le genre de chose qu’on lance seul sans y réfléchir
      Vous hébergez des secrets qui doivent être conservés sur le long terme, donc si vous le déployez vous-même, il faut gérer sérieusement les sauvegardes et faire régulièrement des exercices de restauration
      Il faut vérifier que les sauvegardes fonctionnent réellement, qu’elles ne sont pas corrompues et qu’une copie est conservée hors site
    • Si j’utilise Vaultwarden, c’est parce que, d’un côté, j’aimerais bien pouvoir payer et laisser une entreprise gérer ce problème de mots de passe, mais que je ne sais pas à qui faire confiance pour ne pas exploiter un jour le fait qu’elle détient les clés de tout mon royaume
      Les critiques envers le capital-investissement sont légitimes, et avant cela il y avait déjà une mentalité de MBA de Harvard qui pousse à voir les clients non comme une relation à développer, mais comme une ressource à extraire
      Je n’aime pas qu’une entreprise me considère comme une ressource à exploiter, mais certaines sont plus dangereuses que d’autres de par la nature de la relation
      Je ne veux pas d’une entreprise qui lorgne avidement les mots de passe de ma banque, de Google ou de mes comptes de courtage, ou qui examine le lot de mots de passe que je lui ai confiés pour évaluer lesquels elle pourrait “intermédier” afin de gagner plus d’argent
      Je n’aime même pas l’idée qu’elle réfléchisse à la façon de saboter l’export pour extraire de la valeur de mes mots de passe
      Par exemple avec un truc du genre : “Désolé, les passkeys ne peuvent pas être exportées à cause de $SECURITY_BLATHER, vous ne pouvez donc pas migrer”
      Pour être juste, il me semble que Bitwarden a eu ce problème pendant un temps, mais plus maintenant, et à ma connaissance d’autres services continuent encore de verrouiller les passkeys
      Je ne peux pas confier mes mots de passe au capital-investissement ni à une mentalité de MBA de Harvard, et j’ai du mal à croire qu’une société de coffres-forts de mots de passe ne finira pas par être rachetée par un type PE/HMBA qui exploitera mes mots de passe
      Si on suit toute la chaîne de valeur jusqu’au bout, j’ai aussi du mal à faire confiance à une entreprise dont le modèle consiste à lever de la dette réelle en prenant mes mots de passe comme garantie implicite
      Eux touchent l’argent et moi je porte le risque, donc je refuse catégoriquement
      Alors oui, auto-héberger mon coffre de mots de passe ne me rend pas forcément heureux, mais à qui d’autre puis-je faire confiance ?
    • Je suis très satisfait de l’auto-hébergement de Vaultwarden
      J’en ai vraiment assez d’être un réfugié des gestionnaires de mots de passe
      C’était toujours soit les prix qui montaient, soit le service qui disparaissait, et Dropbox en est un bon exemple
    • Le client n’a pas l’air open source, si ?

  • J’ai quitté Bitwarden sur desktop pour KeepassXC
    Sur mobile, j’utilise KeepassDX, un client Android compatible avec KeepassXC, et dans le navigateur j’utilise l’extension KeepassXC Browser reliée au client desktop
    KeepassXC fonctionne avec un fichier unique, donc on peut synchroniser ce fichier entre appareils ou le stocker dans le cloud avec n’importe quel outil de synchronisation de système de fichiers
    Je suis très satisfait de cette migration
    [1]: https://keepassxc.org
    [2]: https://www.keepassdx.com

    • Je suis récemment passé à une configuration KeePass après la hausse des prix de 1Password, et j’aime bien cette impression d’avoir un contrôle total
    • KeePass est un trop grand recul en matière d’ergonomie et de fonctionnalités pour que je le considère même comme un concurrent
      Si je suis passé à 1Password, c’était justement pour éviter la facilité avec laquelle on peut perdre des données par erreur avec les clients KeePass
      Par exemple, l’un des clients que j’utilisais avait un bug temporaire qui supprimait entièrement les champs de notes
      Ça a été corrigé rapidement, mais j’ai subi un vrai préjudice
      J’utilise 1Password aujourd’hui, j’ai essayé presque tous les autres produits, et je pense toujours que c’est globalement le meilleur
      Dans cette catégorie, je suis prêt à payer le prix le plus élevé pour avoir le meilleur produit
    • Si je dois un jour quitter l’écosystème Apple, ce sera exactement mon plan aussi

  • Cet article m’a poussé à vérifier
    Depuis que Bitwarden a commencé l’an dernier à transformer l’expérience desktop pour la rendre semblable à tous les autres produits et beaucoup trop gourmande en espace, je le regarde avec suspicion
    Avant, c’était parfaitement adapté à l’autoremplissage dans le navigateur, très rapide et sans gêner
    Maintenant, c’est devenu un empilement de marges blanches gonflées, de lenteurs et d’éléments d’expérience utilisateur standardisés qui donnent l’impression d’un SaaS généré par IA
    Je vais sans doute regarder du côté de Vaultwarden, Proton Pass et Keepass
    C’est dommage de voir encore un outil qui fonctionnait parfaitement être ruiné pour avoir ignoré ses utilisateurs, comme LastPass, Authy ou Google Reader

    • Je ne pense pas du tout qu’une refonte de l’interface utilisateur corresponde au sens originel d’enshittification
      Bitwarden a de loin été la meilleure option gratuite pour la gestion des mots de passe depuis que j’ai commencé à l’utiliser il y a 8 ans
      Est-ce que j’aime les changements d’UI ? Pas vraiment, mais comme ce n’est pas une partie que j’utilise souvent, ça ne me dérange pas tant que ça

  • La plupart des gestionnaires de mots de passe ne semblent pas avoir de véritable fossé défensif sur l’import/export, donc je me rassure en me disant que si la situation se dégrade, je pourrai migrer rapidement vers Proton Pass ou Vaultwarden
    En revanche, je préférerais éviter l’auto-hébergement si possible
    Si la chose que j’héberge moi-même est la clé de ma vie entière, cela demande un tout autre niveau de rigueur pour gérer en continu l’application et l’environnement
    Il faudrait au minimum la placer derrière quelque chose comme un tunnel WireGuard vers une machine de confiance, mais cela ajoute alors des complications à l’usage quotidien

    • Proton Pass utilise un tunnel WireGuard ? Bitwarden aussi ? TLS devrait suffire, je pense
      Bien sûr, la machine qui héberge les mots de passe doit être correctement sécurisée
      On peut la garder physiquement chez soi et, si elle se trouve à un emplacement exposé à l’Internet public, ne proxifier que le port 443

  • Je regarde Bitwarden de près depuis que j’ai vu récemment dans le tracker GitHub que le problème de fuite mémoire dure depuis longtemps
    C’est une extension que j’utilise dans tous les navigateurs, mais dans Safari elle semble consommer anormalement beaucoup de RAM, et je me demande si ce n’est pas aussi la raison pour laquelle l’usage mémoire augmente sans fin dans MS Edge
    Globalement, si Bitwarden veut plus d’argent, ce n’est pas un problème en soi, mais remplacer la direction par une personne sortie du capital-investissement et augmenter les prix discrètement, c’est franchir une ligne
    Tant mieux si ce problème est mis en lumière, et cela me motive davantage à chercher une alternative appropriée et favorable au FOSS

  • Merde, je viens tout juste de migrer vers Bitwarden et de commencer à payer
    La raison principale, c’était les coffres partagés pour plusieurs utilisateurs et l’accès d’urgence aux coffres personnels
    J’espère vraiment qu’ils ne vont pas tout gâcher ou augmenter fortement les prix

  • Merci de m’avoir donné le coup de pouce nécessaire pour quitter Bitwarden
    Je l’utilisais depuis des années, mais je migrais lentement, et maintenant c’est fait

    • Je serais curieux de savoir vers quoi tu as migré

  • Bon article
    J’ai remplacé Bitwarden par la combinaison KeepassXC / KeepassDX / Syncthing sur téléphone Android, PC Linux et PC Windows
    C’était déjà ma configuration avant de passer initialement à Bitwarden, mais l’expérience KeePass est bien meilleure aujourd’hui
    L’import depuis Bitwarden est aussi très simple, donc je recommande

    • J’utilisais aussi cette configuration, puis je suis passé à Bitwarden en migrant vers iOS
      Sur Android, tu utilises quoi pour Syncthing ? Il y avait autrefois l’application officielle Syncthing pour Android, mais elle n’est plus maintenue, et le fork populaire a lui aussi été abandonné par son mainteneur
      J’ai aussi regardé du côté de Syncthing sur iOS, mais il n’y avait que Möbius Sync et il ne tournait pas en arrière-plan
      Donc j’ai fini par passer à Bitwarden, mais maintenant il faut que je réfléchisse de nouveau à la suite
    • Quelle variante de Keepass utilises-tu ?

  • De mon côté, le site affiche toujours Always free
    C’est le cas à la fois sur le site lui-même et sur la page de paiement liée dans l’article
    Cela dit, le changement de direction, le manque de transparence, l’augmentation de prix de 100 % et la modification discrète des valeurs fondamentales restent préoccupants
    J’étais satisfait de payer 10 dollars par an à Bitwarden, et 20 dollars restent acceptables, mais une graine de doute a été semée

    • En allant directement sur le site, je vois “Get Started Free”
      “Always Free” n’apparaît plus qu’en bas de la page tarifaire destinée aux particuliers
      Ce qui m’inquiète davantage, c’est qu’ils ont commencé à utiliser la même formulation qu’Adobe avait été critiquée pour employer, à savoir “$price/mois, facturé annuellement”
      Pour un produit à 20 dollars par an, cette formulation me paraît désormais étrange
      On ne parle ni de centaines ni de milliers de dollars, et ce ne sont pas non plus des clients entreprise mais des utilisateurs ordinaires
      Le manque de transparence et ces petits changements discrets me rendent méfiant
    • Dans la mise à jour, il est dit que la mention always free avait été retirée par erreur pendant la refonte du site et qu’elle a été rapidement rétablie
      J’imagine que cet article a été écrit entre-temps