S3 1 Tio
S3 1 Tio
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Bitwarden a abandonné ses valeurs d’inclusion, de transparence et temporairement de gratuité

Courage, fuyons !

Bitwarden a abandonné ses valeurs d’inclusion, de transparence et temporairement de gratuité

Illustration : Flock

L’entreprise derrière le gestionnaire de mots de passe a discrètement changé d’équipe dirigeante en début d’année. Depuis, certains termes ont disparu du site web de promotion de la solution open source, comme « inclusion » et « transparence » et même, temporairement, l’engagement de proposer une offre « toujours gratuite ».

Depuis le début de l’année, Bitwarden a fait quelques discrets changements dans son équipe dirigeante et sur son site web. Celles-ci inquiètent certains utilisateurs quant à la direction que prend le projet de gestionnaire de mots de passe open source : depuis 2021, il se démarquait de la concurrence en restant le dernier service d’ampleur à fournir gratuitement la synchronisation fixe/mobile.

Changement discret d’équipe de direction

En effet, comme l’a repéré Fast Company vendredi 15 mai, l’ancien CEO, Michael Crandell, a laissé la place à Michael Sullivan mais le changement n’avait été annoncé publiquement que par le changement de statut de leurs deux comptes LinkedIn. Ainsi, Michael Crandell est passé à un rôle de simple « conseiller » pendant que Michael Sullivan est arrivé en tant que CEO en février dernier après avoir quitté le même poste chez insightsoftware, explique-t-il sur son profil LinkedIn. Il y ajoute qu’il « possède une solide expérience dans tous les aspects des fusions et acquisitions, notamment une expérience directe auprès de grandes sociétés de capital-investissement ».

Sur LinkedIn aussi, le responsable financier de l’entreprise depuis 2019, Stephen Morrison, indique avoir quitté ses fonctions en avril dernier. Il est remplacé par Michael Shenkman.

Kyle Spearrin, qui a créé le projet, reste CTO depuis 2016. Mais la stabilité du fondateur ne semble pas s’accompagner de celles des valeurs mises en avant par le projet. Ainsi, plusieurs pages du site web du projet ont été modifiées.

Notamment, la mention du « always free » (en français, « toujours gratuit ») accompagnant la présentation de l’offre pour une utilisation « personnelle » gratuite a été, un temps, supprimée.

Suite à la publication de l’article de nos confrères, cette mention est réapparue. Sur le subreddit consacré à Bitwarden, un employé de l’entreprise affirme que celle-ci a été réintégrée et que c’était « un simple oubli de la part de l’équipe marketing ». L’entreprise a affirmé à Fast Company qu’elle « restait déterminée à proposer une offre gratuite solide qui apporte une réelle valeur ajoutée aux particuliers ».

Une notion fluide du courage

Mais d’autres changements ont été apportés au site du projet. Ainsi, la page « carrière » affichait jusque-là des valeurs de « Gratitude, responsabilité, inclusion et transparence » rassemblées sous l’acronyme GRIT (qui veut aussi dire « courage » en anglais).

Mais ce GRIT a été transformé récemment en un moins courageux « Gratitude, responsabilité, innovation et confiance ».

Là aussi, la page a encore été modifiée pour remettre le terme de transparence dans la définition de la confiance et celui d’« environnement inclusif » dans celle de la « gratitude ».

Juste avant le changement de direction, l’entreprise avait discrètement annoncé dans un billet de blog l’augmentation de ses tarifs premium. Ceux-ci sont passés à 19,80 dollars par an, alors qu’ils étaient encore à 10 dollars par an en début d’année.

Vaultwarden comme alternative ?

Toutes ces modifications inquiètent quant à la direction du projet. Ainsi, certains expliquent avoir déjà migré vers la solution Vaultwarden qui permet d’auto-héberger son gestionnaire de mots de passe et encouragent à le faire tant que « les clients Bitwarden sont open source et l’API du serveur est publique ».

Rappelons que Vaultwarden est compatible avec Bitwarden et peut donc accueillir directement les données qui y ont été stockées. Ajoutons aussi que le projet n’est « pas associé à Bitwarden » ou à l’entreprise, même si, selon la page GitHub, « l’un des mainteneurs actifs de Vaultwarden est employé par Bitwarden et est autorisé à contribuer au projet sur son temps libre. Ces contributions sont indépendantes de Bitwarden et examinées par d’autres mainteneurs ». Enfin, comme nous le disions, si Bitwarden est régulièrement audité, ce n’est pas le cas du projet Vaultwarden.

Suite à ces réactions, Mike Sullivan a, pour la première fois, pris la parole sur le blog de l’entreprise en tant que CEO. Il y assure que « l’open source est le fondement de tout ce que Bitwarden développe. La possibilité de vérifier le code, d’héberger soi-même ses données et de s’assurer de leur authenticité plutôt que de se contenter de croire en elles ne sont pas de simples atouts supplémentaires : ce sont les raisons pour lesquelles Bitwarden se distingue de toutes les autres solutions du secteur, et cela ne changera pas ». Il ajoute que l’engagement d’avoir une version gratuite de Bitwarden est « permanent ». Son billet ne revient par contre pas sur les notions de « transparence » et d’ « inclusivité » qui ne sont pas mentionnées.

Commentaires (61)

votre avatar
Sinon, on peut aussi avoir une cervelle et une stratégie de mots de passe qui permet qu'ils soient tous différents tout en sachant les reconstruire... ainsi on évite ces outils "aie confiance crois en moi..."
A 1'25": youtube.com YouTube
:non:
votre avatar
Et faire confiance à sa cervelle, c'est pas le meilleur des conseils non plus ...

On peut regarder du côté de vaultwarden justement pour garder le contrôle sur ses data et la stack technique. Sinon il y a tout un tas d'autres solutions opensource aussi.
votre avatar
Très mauvaise idée. Un gestionnaire de mot de passe sécurisé et des mots de passe complètement aléatoires sont bien plus sécurisés

Edit: oups je voulais répondre au message du dessus
votre avatar
Donc si quelqu'un capte comment tu construis tes mots de passe il capte comment avoir tous tes mots de passe, splendide :yes:
Et comment fais-tu pour des clés de sécurité serveur ? Pour allier complexité du mot de passe type et exigences diverses et variées de certains sites ? Tu ne partages aucun compte avec la famille et les copains (et donc une certaine notion de mot de passe partagé vs mot de passe 100% privé) ?
votre avatar
Pire conseil. Avoir un pattern, veut dire que quelqu'un peut aussi trouver le pattern si il a suffisamment d'information.
votre avatar
Ce genre d'attaque ciblée est hyper rare et n'arrive pas sans raison. Ce sera dans un domaine très précis, et dans ce cas on sait normalement déjà qu'on est une cible hors-norme dans ce domaine, donc on prend des précautions différentes sur ce compte-là.

Mais 99% des comptes qu'on utilise régulièrement n'ont pas du tout besoin d'un grand niveau de sécurité et encore moins d'être immunisé à ce type d'attaque car y accéder ne présente aucun bénéfice pour un tiers. Pour tous ceux-là autant privilégier la facilité, et pour les quelques vraiment importants, utiliser des mots de passe plus sécurisés et/ou la 2FA.

Vouloir imposer le plus haut niveau de sécurité tout le temps est le meilleur moyen de dégoûter les gens, car par définition il ne sera pas pratique.
votre avatar
Exactement, simple question de bénéfice/risque de base... et le pattern n'est pas simple et diffère selon la criticité de l'accès. Je n'ai personnellement aucune confiance dans ces outils plus encore synchronisés à l'extérieur et qui peuvent avec le temps poser pb, comme ici.
L'avantage est que je n'ai besoin que de ce qu'il y a dans ma tête...
votre avatar
Sauf que avec un gestionnaire de mdp meme tatie Danielle elle prend facilement l'habitude de générer un mdp par service. Vas lui apprendre à faire un pattern + variation. Bonne chance
votre avatar
Et ensuite elle t'appelle parce qu'elle a changé de PC, de téléphone, ou qu'elle est pas chez elle, ou que "ça marche plus" quelle que soit la raison... Ou dans ce cas-ci, que ça devient payant. J'ai pas envie de faire le support pour qu'elle puisse mettre un mot de passe de 50 caractères à son compte cdiscount.

Tu sous-estimes ses capacités de réflexion non technique et tu sur-estimes ses capacités techniques.
votre avatar
Vouloir imposer le plus haut niveau de sécurité tout le temps est le meilleur moyen de dégoûter les gens, car par définition il ne sera pas pratique.
TL;DR : Anectode.

Le pompon revient à une application sur mon téléphone pour payer mon parking, qui impose un mdp complexe et un code 2FA envoyé par mail... Bah oui, imaginons qu'un voleur vole ma voiture et mon téléphone, arrive à déverrouiller mon téléphone. Mais il est gentil, hein, le voleur, il parque ma voiture devant mon boulot, le seul jour de la semaine où je ne suis pas en télétravail, à l'heure habituelle où je parque ma voiture devant mon boulot. Et pour m'éviter des ennuis, il est prévenant assez que pour payer mon parking, ce serait dommage d'ajouter les petits frais aux gros (un bon point à qui a la ref). Mais attention hein ! Hola ! Ça pourrait ne pas être moi qui fais cette démarche ! Alors par sécurité on va m'envoyer un code à 6 chiffres pour vérifier que tout ça est légitime. Bien sûr, ce code on l'envoie sur le mail que je lis depuis le téléphone qui essaie justement de payer le parking...

Edit : je me rends compte que j'ai écrit "anectode" au lieu d'anecdote. Je le laisse, c'est fun...

Ça peut pas être dû au hasard, un gars a réfléchi à comment rendre ce truc absurde.
votre avatar
Pire conseil. Avoir un pattern, veut dire que quelqu'un peut aussi trouver le pattern si il a suffisamment d'information.
S'il a suffisamment d'information, un attaquant pourra tout aussi bien trouver le mot de passe maître du gestionnaire, qui lui, par définition, devra être mémorisable.
votre avatar
S'il a suffisamment d'information, un attaquant pourra tout aussi bien trouver le mot de passe maître du gestionnaire, qui lui, par définition, devra être mémorisable.
Le principe du pattern c'est justement d'avoir la possibilité de croiser plusieurs sources pour retrouver le pattern. Le mot de passe maître dois être mémorisable, mais c'est le seul effort à faire, avec des stratégies de phrase, les gens non technique arrive à faire des mots de passe de 25-30 caractères sans soucis.
Tu sous-estimes ses capacités de réflexion non technique et tu sur-estimes ses capacités techniques.
Non. Je te retourne exactement l'argument. Les gens ne veulent faire aucun effort de réflexion, ils utilisent toujours des trucs ultra-évident, duplique leur mdp sur tous les sites (oui même le truc obscure reçu par un spam sur Telegram). Quand on leur explique 2 minutes comment utiliser un gestionnaire de mdp pratique il le font. Si on leur explique comment retenir 50 mdp par la seul force de leur cerveau ils ne vont jamais le faire.

Et les gens qui sont passé sur Bitwarden dans mon entourage ne mon jamais appeler lors d'un changement de PC, il se sont reconnecté comme il le font chaque fois.
votre avatar
Non un attaquant ne trouvera pas le mot de passe maître du gestionnaire car il utilise normalement du hashage non réversible pour générer les mots de passe, ce qui ne permet pas de remonter au mot de passe maître.

Il y a pas mal de gens pour qui c'est l'utilisation d'éléments techniques qui les rebutent plus qu'un effort de réflexion purement mental qui n'est pas différent de ce qu'ils font déjà dans d'autres domaines. J'ai été surpris par des gens non technique qui ont eu tout seuls l'idée d'utiliser des patterns. Que cette méthode soit bonne ou mauvaise, elle est utilisée, et j'aurais bien de la peine à les convaincre d'utiliser quelque chose de technique à la place.

Vu la news, si personne ne t'a appelé pour le moment au sujet de Bitwarden, ça pourrait bien ne pas tarder, et tu as eu de la chance de ne pas avoir choisi un autre service où c'est devenu payant plus tôt ou qui se soit pris des casseroles.
votre avatar
Le principe du pattern c'est justement d'avoir la possibilité de croiser plusieurs sources pour retrouver le pattern.
Sauf si le mdp est généré par l'application d'un hash sécurisé sur le pattern. Si mon pattern est "Paswword.01" + url-du-site + UserName + Timestamp-de-création-du-pw le tout hashé par une méthode cryptographique, même en recoupant plusieurs passwords ainsi générés, aucun attaquant ne pourra retrouver le préfixe "Paswword.01" sans bruteforcer. Si le hash crypto est itéré pour être rendu "difficile" (ie prend 1 seconde à être calculé) suffit donc que ce préfixe soit suffisamment solide, comme tout password, pour que la sécurité soit assurée. À l'exception du préfixe, tout le reste est privé mais pas critique, et peut être donc stocké sur un support non protégé et répliqué un peu partout.

C'est sur ce principe que fonctionne LessPass par exemple.
votre avatar
Sauf si le mdp est généré par l'application d'un hash sécurisé sur le pattern.
Et quel serait l'avantage par rapport à un mdp full aléatoire ?
"Paswword.01" + url-du-site + UserName + Timestamp-de-création-du-pw
Et je suis sensé retenir l'URL du site au moment de mon inscription et le timestamp de la création ? Genre je dois me souvenir si mon compte à été crée sur PCInpact ou NextInpact ou Next ? Bref il me faut un password manager. Retour à la case numéro un, au quel est-ce que je fais confiance.
votre avatar
Pareil sur lesspass, il y a pleins de paramètres à retenir :

  • le nom d'utilisateur

  • le mot de passe maitre (identique pour tous les mots de passe)

  • les 4 options de caractères (lesquels sont autorisés ou pas)

  • la longueur du mot de passe

  • le compteur (au cas où on aurait besoin de changer de mot de passe, je pense)



Comparé à un gestionnaire de mots de passe :

  • le mot de passe maitre

votre avatar
Plein de paramètres à retenir
À l'exception du préfixe, tout le reste est privé mais pas critique, et peut être donc stocké sur un support non protégé et répliqué un peu partout.
votre avatar
Et je suis sensé retenir l'URL du site au moment de mon inscription
Ben si tu n'arrives pas à retenir l'adresse du site, ça va pas être simple pour t'y reconnecter la fois prochaine.
votre avatar
Oui, il faudrait vraiment que les navigateurs intègrent un moyen de garder certains sites "de côté", où l'on aurait juste à cliquer sur le nom du site ou le favicon (attention un indice se cache dans ce mot) pour y accéder sans devoir retaper tout l'url à la main. :roll:
votre avatar
T'as pas lu ce que j'ai écris. L'adresse au moment de mon inscription. Les sites changent d'URL.

On est sur next, l'adresse c'est next.ink, mais est-ce que je me suis inscrit quand l'adresse était nextinpact.com ou quand c'était pcinpact.com ?
votre avatar
Je suis d'accord avec tout ça, peut-petre que l'URL complète n'est pas ce qu'il faut, probablement qu'il faut automatiser tout cela, que ce que je propose est juste une idée de base et pas une application toute prête à l'emploi, mais néanmoins...

Un gestionnaire de mot de passe, il ne faut pas "juste" un mot de passe, il faut aussi qu'il sache sur quel site tu veux te logger (en utilisant ... quoi d'autre que l'URL ?) bref tout ça pour dire que si on a une extension similaire à un gestionnaire de mots de passe qui reconnaît le site sur lequel tu te logges, qui stocke toute l'information (username, sel, date de création etc.) MAIS qui au lieu de stocker une version chiffrée de ton mot de passe le regénère à partir de données locales + le "préfixe aka master password" que tu tapes, tout en synchronisant entre plusieurs clients, etc... comme n'importe quel gestionnaire de mot de passe sauf que ... il ne stocke pas, et donc ne doit pas synchroniser les mots de passe, tout ce qu'il synchronise peut être publié ou partagé par un qrcode, etc. tout ça pourrait être un standard ouvert...

Mais bon, je vois globalement une possibilité de solution, vous voyez juste toutes les objections, j'ai pas le temps de répondre à tout.
votre avatar
Mais bon, je vois globalement une possibilité de solution, vous voyez juste toutes les objections, j'ai pas le temps de répondre à tout.
C'est la même rengaine dans l'autre sens pour les gens qui ne veulent pas entendre parler des gestionnaires de mot de passe :yes:
votre avatar
Attention, les adresses de connexion des sites changent relativement assez souvent, je trouve.
On s'en rend compte lorsqu'on utilise un gestionnaire de mot de passe et que celui-ci ne retrouve pas le mdp automatiquement et qu'on est obligé de le rechercher manuellement l'entrée pour ensuite la mettre à jour.
Avec une méthode sans mots de passe, si on a oublié l'ancienne adresse, on est foutu…
votre avatar
anyway donner ses mots de passe à une cie americaine, faut être un peu maso… non ? quand pour un prix on ne peut plus minime (0 €) on peu aller en suisse (proton pass) ou rester à la maison (keepass)
votre avatar
Étant donnée que Proton à déjà prouvé par le passé qu'il collabore avec les USA, je vois pas la difference
votre avatar
Surtout que Bitwarden, comme Proton, n'ont pas accès aux mots de passe de leurs utilisateurs.
Je ne vois pas bien ou est le risque.
votre avatar
désolé, pour l'instant je n'ai lu que des bruits de chiottes concernant cette collaboration (c'est à dire des affirmation non sourcées).
En plus j'avais cru lire qu'il ne s'agissait pas des US mais de la France (en tout cas il y a un cas fortement instrumentalisé par d'aucuns et mélangeant joyeusement Proton pass, Proton VpN et ProtonMail ; et mélangeant aussi collaboration et demande judiciaire de droit suisse).
votre avatar
Pardon, je vais me corriger. Proton ne collabore pas avec les USA, Proton répond aux requêtes des autorités Suisse, qui collabore avec des pays étrangers dont les USA. Et c'est pas des rumeurs de bruits de quoique ce soit, c'est marqué sur le site.
votre avatar
mais ça sert d'arguments à certains pour zozos conseiller des solutions où le fournisseur peut avoir accès au contenu des messages : tu comprends, ce sont des gens sérieux, ils ne le feront pas.
votre avatar
Et c'est une des raisons qui, si j'ai bien compris, font que Proton réfléchit sérieusement à se délocaliser de la Suisse (à cause de ses récentes lois sur le sujet).
votre avatar
Non, il y a une réflexion sur une révision de la loi sur les télécoms qui, si elle est adoptée telle que proposée actuellement, obligerait les fournisseurs comme Proton et Threema de fournir des informations qu'ils n'ont pas dû au E2EE notamment. Si elle était adoptée, ça entrainerait la délocalisation d'une partie de Proton hors de Suisse (direction l'Allemagne je crois), car pas acceptable pour eux.
votre avatar
est-ce que cette critique est très fondée. Ce que j'avais vu, c'est qu'ils avaient répondus à une requête de la justice Suisse pour fournir les IP se connectant pour consulter une bal. Le contenu des mails (dont le stockage et l'échange entre clients proton sont protégés par du chiffrement de bout en bout) n'avais évidemment pas été transmis.

Aucune entreprise ne peut éviter de se soustraire à une requête légale des autorités judiciaires. La technique peut limiter les dégats ne limitant ce que l'entreprise connaît.

Quel est cet exemple de collaboration avec les États-Unis ?
votre avatar
Le nombre de gens qui stockent ça chez Google / Apple / Microsoft… via la sauvegarde dans le navigateur synchronisée avec le "cloud"…

Perso, autohébergé sur vaultwarden, mais utilisant les clients bitwarden, la news ne me rassure pas.

À noter également qu'ils (bitwarden) s'étaient fait véroler la CLI récemment :
next.ink Next
votre avatar
Même situation (client Bitwarden et serveur auto-hébergé VaultWarden), mais je pense que la communauté développerait fissa un client WaultWarden en cas de soucis.
votre avatar
Il y a Bitwarden EU aussi.
Mais bon, le principe de base c'est que le gestionnaire n'est accès à rien comme indiqué par d'autres avant.
votre avatar
Je suis bien content de selfhost vaultwarden, mais ça n'inspire pas confiance pour la suite. Bitwarden pourrait du jours au lendemain casser les frontend qui se connectent à des instances vaultwarden.
Si ça ne dépendait que de moi je me réfugierai sur KeePass avec Syncthing ou webdav pour la syncro. Mais j'ai une famille et on partage pas mal de comptes avec ma femme.

Bref, à suivre, et probablement se préparer pour une migration...
votre avatar
Après je pense que la communauté saura repartir d'une version du code des clients compatible avec vaultwarden et forker les clients en plus du backend. Je me fais un peu moins de souci ^^
votre avatar
Une solution open-source dont une version payante non-libre existe vit avec une épée de Damoclès au-dessus de la tête, que ce soit concernant son existence pure et simple, ou la continuité de son évolution.

C'est pour cela qu'un vrai modèle d'entreprise autour de l'open-source ne doit pas concerner l'outil lui-même, mais uniquement l'accompagnement d'entités lucratives.
votre avatar
C'est le problème de dépendre d'un service ou d'une API tierce. Si j'ai bien compris cela dépend en plus d'une connexion à internet ?

Pour ma part je tourne depuis ~15 ans avec ccrypt (un simple txt chiffré).
Sur mobile, j'ai le txt dans un conteneur cryptomator.
Pour l'instant je n'ai pas trouvé mieux. Et de toute façon, lr formatage du txt le rend non-interopérable avec tous les programmes modernes :-D
votre avatar
Ta solution serait-elle compatible KeePass (avec ton conteneur, je veux dire) ?
votre avatar
Il faut remplir les champs que Keypass propose, vu qu'au fil des années, j'ai adopté différentes syntaxes (le fichier fait plus de 6 000 lignes), ce n'est compatible avec rien d'autre que ma propre logique.

Ou alors il faudrait que je le reformate entièrement, pour l'exporter en csv, et là je pourrais l'intégrer à des outils tiers... Mais la masse de travail me déprime. Peut-être une IA pourrait faire ça, mais je n'ai pas confiance en elle.
votre avatar
Après tu peux le faire petit à petit :) Par exemple, que chaque nouveau compte soit stocké dans KP uniquement. Ainsi que les plus sensibles. Et pour la suite tu fais ça à ton rythme.

Ce sera plus sûr qu'un text file à mon avis 😅
votre avatar
En attendant, tu peux toujours créer une entrée KeePass, avec ton fichier de 6000 lignes dans le champs commentaire de cette entrée, puis migrer au fil de l'eau les entrées qui te sont utiles au quotidien.
votre avatar
Je pourrais mais je ne vois pas l'intérêt :| À part dire "j'utilise KeePass".
Si j'ai besoin de plusieurs mdps à la volée, je fais un Ctrl + F dans le txt, plutôt d'ouvrir plusieurs entrées dans KeePass.
votre avatar
Ça dépend de la connexion internet uniquement pour la synchronisation multi-périphériques
votre avatar
Perso je suis assez content de mon auto hebergement via vaultwarden (merci pour le tutaux de Next)
ca m'a permis de me former sur plein de notions et ca a été très pédagogique (j'ai fait une bonne doc au besoin)
au pire quand ca commencera à sentir pas bon, il me restera à faire un petit export dans un keypass
ou quand finalement ma vm Google devient payante (pour l'instant ca semble resister, bien que j'ai des centimes qui apparaisse bizarement)
votre avatar
Sachant que la boîte est aux USA, es-ce la disparition/réapparition des termes inclusion ne serait pas pour éviter les foudres de l'administration Trump II vis à vis des termes «wokes»?

Le fait que le nouveau CEO posséderait une solide expérience dans les fusions acquisitions ne m'inspire pas confiance pour l'indépendance de cette boîte.
votre avatar
Je me suis fait la même remarque. Si j'étais une boite US, sans rien changer à mes pratiques, je ferais probablement profil bas sur certains mots en attendant que ça passe au niveau politique :
votre avatar
Ce n'est pas comme si on manquait de gestionnaire de mot de passe : Psono, Mistikee, 1Password, Passwork...
votre avatar
Bitwarden forçait déjà le mode payant pour le TOTP. Je suis passé à Heylogin c'est pas mal leur système sans mot de passe maitre et c'est deutsche qualität.
votre avatar
Merci pour la découverte !
Malheureusement pas de solution abordable pour une famille.
votre avatar
C'est vrai que c'est le vrai problème.

J'utilise "pass" avec un repo git perso (en --bare donc un client ssh suffit), et la solution s'appuie sur gpg... C'est super mais bon, fait quand même maîtriser push/pull & merge :francais:

A mon avis ya un super potentiel avec une GUI étudiée... mais ça reste vachement trop complexe (par principe) :-(
votre avatar
Pour "pass", y a un frontend Linux "qtpass": un bouton pour pull, un pour push, etc..., ca cache git et gpg.

Pour Android, y a aussi une solution: OpenKeyChain couplées à "Password Store". Pareil que qtpass, ca cache git et gpg.
votre avatar
J'utilise "browserpass" sur firefox (et en CLI le reste du temps), et moyennant quelques contraintes de nommage des fichiers & de contenu, ça marche plutôt bien même si c'est certainement un apprentissage
votre avatar
Son billet ne revient par contre pas sur les notions de « transparence » et d’ « inclusivité » qui ne sont pas mentionnées.
C'est malheureusement dans ce genre d'attitude que l'on voit combien le trumpisme, et l'idéologie d'une partie de la Silicon Valley, infuse petit à petit dans le milieu de la Tech en général...
votre avatar
Tant qu'il y a des serveurs en Europe et que c'est open source, je reste.

Vaultwarden j'ai longtemps pratiqué, mais j'ai autre chose à faire que d'assurer la maintenance d'un logiciel aussi sensible... A 10€/an je délègue.
votre avatar
Et sinon Vaultwarden.net est-ce fiable ? Ca a l'air d'exister depuis 5 ans mais on trouve très peu de gens qui en parlent. Ca a l'air d'être une version toute installée de Vaultwarden donc l'équivalent gratuit d'un Bitwarden payant.
votre avatar
J'étais passé sur Vaultwarden en auto-hébergé. Suite à cette news j'ai installé le client compatible Bitwarden open-source Keyguard. Ils peuvent maintenant faire ce qu'ils veulent, je suis "safe" !
Client Bitwarden / Vaultwarden : Keyguard - github.com GitHub
votre avatar
Sinon il existe une alternative au gestionnaire classique, qui ne stocke rien et n'a donc pas besoin de synchro, et qui existe sous forme de site web à héberger soi-même, d'extension de navigateur, et d'application mobile : github.com GitHub

C'est un générateur de mots de passe reproductibles en fonction d'un mot de passe maître, du nom d'utilisateur et du nom du site, et de paramètres tels que la longueur et les caractères autorisés. Bien entendu c'est non inversable histoire de ne pas pouvoir faire le lien entre plusieurs mots de passe appartenant au même utilisateur.

Le seul point négatif selon moi est avec certains sites idiots qui ont des exigences maximales (plutôt qu'habituellement des exigences minimales) parce qu'il faut se souvenir (ou faire plusieurs tentatives) de devoir décocher certaines cases ou de réduire la longueur. Mais ça tend à disparaître je trouve, hormis les banques avec leurs codes à chiffres mais ça au moins c'est indiqué dessus.

On peut le tester sur https://lesspass.com, mais bien entendu si on veut utiliser la version web, il vaut mieux la faire tourner sur son propre hébergement.
votre avatar
Je ne connaissais pas lesspass, c'est super intéressant comme approche. Effectivement, l'inconvénient semble être la gestion des différentes restrictions imposées par les sites.

Visiblement, ils avaient proposé une base de données pour stocker ces restrictions par utilisateur, mais on se retrouve avec un compte centralisé, et on perd l'intérêt de la chose. Ils ont arrêté cette solution pour ces raisons.

Une autre approche serait une base de données publique et communautaire, où chacun pourrait contribuer les restrictions concernant tel site si ce n'est pas déjà présent dans la base. D'ailleurs un ticket sur leur github propose une solution un peu similaire, basée sur une liste en open source maintenue par Apple: .
votre avatar
Avec toutes ces entreprises qui ont visiblement un problème avec le mot "inclure", est-ce qu'on va finir par voir arriver des renommages dans les langages de prog ou le code des fonctions include et équivalentes ?