Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

BitWarden : inquiétudes autour d’un éloignement de l’open source

BitWarden : inquiétudes autour d’un éloignement de l’open source

Le 21 octobre à 10h50

BitWarden est l’un des gestionnaires de mots de passe les plus utilisés. Sa tarification Premium, particulièrement bon marché (10 dollars par an), couplée à une synchronisation mobile présente dès la version gratuite et sans limite d’appareils, le rendent très accessible. Il est également connu pour son code en partie open source et la possibilité de créer son propre serveur de synchronisation.

Chez Phoronix, on relève cependant des inquiétudes exprimées par certains utilisateurs sur GitHub au sujet d’un changement en approche. Dans une pull request, BitWarden introduit en effet une dépendance à bitwarden/sdk-internal pour compiler le client desktop. Or, la licence de kit de développement ne permet pas son utilisation pour d’autres implémentations du gestionnaire ou pour développer un autre SDK.

Sur GitHub, on peut lire un certain nombre de personnes s’en émouvant et critiquant le changement. Plusieurs indiquent qu’elles vont désormais chercher une alternative à BitWarden.

Si la discussion a été ouverte il y a plusieurs jours, Kyle Spearrin, fondateur et CEO de BitWarden, a fini par répondre hier. « Merci de nous avoir fait part de vos inquiétudes. Nous avons progressé dans l'utilisation de notre SDK [...]. Cependant, notre objectif est de nous assurer que le SDK est utilisé d'une manière qui maintient la compatibilité GPL », a-t-il indiqué.

Il précise plusieurs points. D’abord, que le « SDK et le client sont deux programmes distincts ». Ensuite, que le « code de chaque programme est dans des dépôts distincts ». Enfin, qu’une communication entre les deux programmes via des protocoles standards « ne signifie pas qu'ils sont un seul programme aux fins de la GPLv3 ». Le sujet a été fermé peu de temps après.

Le 21 octobre à 10h50

Commentaires (26)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Du coup, faut en penser quoi ??
votre avatar
Et c'est quoi l'intérêt de Bitwarden, de rendre le build d'un fork plus compliqué ?
votre avatar
J'utilise Bitwarden sur mes PC du boulot (stocké chez Bitwarden), Et Vaultwarden hébergé sur mon NAS Syno pour mes pc/smartphone/tablette perso.
J'ai peur que ce dernier ne vienne à disparaitre (ou ne soit plus maintenu :stress:)!
votre avatar
Vaultwarden est une réécriture complète et indépendante du serveur, ils n'ont pas de dépendances au SDK officiel. Le client Web qu'ils intègrent est d'ailleurs déjà une version modifiée et propre à eux. Je pense que rester là-dessus et voir des clients alternatifs (j'utilise Keyguard sur Android) est la meilleure option si on veut rester sur de l'Open Source.
votre avatar
Merci de l'info! Je pensais que Vaultwarden était simplement une adaptation de Bitwarden pour docker!
:merci:
votre avatar
Il est écrit en Rust et non en .net et est compatible avec plein de systèmes de base de données (sqlite, postgresql…) contrairement à Bitwarden qui ne fonctionne qu'avec SQL Server, il me semble que postgresql devait arriver, je n'ai pas regardé où ça en est.
votre avatar
Il n'y a pas d'abonnement pro/famille couplé avec Bitwarden ? Il me semblait que si, comme avec 1Password et LastPass d'ailleurs. Ceci-dit, le dernier exemple montre bien que même si un abonnement famille est proposé, il n'y a heureusement pas d'obligation à l'utiliser :nonnon:
votre avatar
Histoire d'approfondir le sujet, voici 2 entrées de la FAQ disponible sur le site gnu.org :
- https://www.gnu.org/licenses/gpl-faq.en.html#FSWithNFLibs
- https://www.gnu.org/licenses/gpl-faq.en.html#GPLIncompatibleLibs

En gros, lier un programme GPL a une bibliothèque non compatible avec la GPL, c'est pas impossible (mais pas recommandé). Par contre, le programme derrière ne pourrait pas être déployé en environnement libre et il pourra y avoir des contraintes d'ordres légales.

Ici, j'ai l'impression qu'ils savent ce qu'ils font et qu'il joue sur les "limites" du système (pas comme Winamp où Llama avait fait preuve d'amateurisme criant concernant la licence et la gestion du code source), d'autant plus qu'ils sont les copyright holder pour les deux projets.

Je ne me prononce pas sur les aspects moraux (à chacun son avis). D'un point de vue légal, à première vue, ça à l'air d'être plus ou moins correct.
votre avatar
Visiblement, la dépendance au SDK serait un "bug" :
Being able to build the app as you are trying to do here is an issue we plan to resolve and is merely a bug.
https://github.com/bitwarden/clients/issues/11611#issuecomment-2424865225

À suivre de près !
votre avatar
Sinon, il y a toujours Proton Pass, Open Source et Suisse :D (Chui fan !)
votre avatar
c'est pas le même prix malheureusement
votre avatar
Bah, en fait non, il y a l'offre gratuite qui offre pour un compte utilisateur, nb illimité d'enregistrements et d'appareils, 3 coffres dont 2 peuvent être partagés et prise en charge des clés d'accès.
J'ai commencé avec ça perso, en migrant l'ensemble de ma base KeePass que j'utilisais depuis au moins 10 ans.

Par contre, si tu veux la gestion de la MFA type "authenticator", là oui, il faut mettre 2 balles par mois.
votre avatar
Je n'ai jamais utilisé Bitwarden. Cela fait des années que j'utilise Keepass. Pour la syncro, j'ai Syncthing qui tourne sur chacune de mes appareils. Tout est en local mais le fichier est disponible sur chacune des machines/téléphone.

Proton Pass coute 60€/an si on prend un paiement mensuel, 25€ si paiement annuel.
Je préfère faire un don annuel de 25 balles à Syncthing qui fait bien plus, que de payer un abonnement à Proton.
votre avatar
J'adore aussi Syncthing, mais il faut mettre en perspective ta solution, car elle n'intègre pas toutes les fonctionnalités fournies par Bitwarden, avec notamment le partage de mots de passe entre plusieurs utilisateurs, ce qui est bien pratique.
votre avatar
Aaha ! Quelle ironie. J'ai écris mon commentaire et littéralement 2 min après j'apprends que le développement de l'application android de Syncthing sera arrêté ! Bon. On verra ce que ça va donner par la suite.
votre avatar
Oh non ! Je m'en sers également pour synchroniser mes photos et mon coffre fort 😭
Il ne reste plus qu'à vour si ça tourne dsns termux, ou faire du rsync...
votre avatar
Sur F-droid, j'ai installé un truc qui s'appelle Syncthing-Fork à cet effet.
votre avatar
Il y a des alternatives, p. ex. Syncthing-fork.
votre avatar
Je me suis toujours demandé à quoi servait cette alternative, alors qu'une version officielle existe. J'en vois l'utilité désormais :)
votre avatar
Le problème de Keepass c'est qu'il n'est pas assez intégré. Faut une extension pour la synchronisation, une autre pour que ça remplisse tout seul les formulaires etc...
Alors que ce que les gens veulent c'est que ça leur remplisse les champs tout seul peu importe le support.
votre avatar
Alors Keepass ne gère pas la synchro (enfin pas que je sache), par contre, il remplit tout seul les formulaires. Pas besoin d'extension pour ça, juste connaitre le raccourci clavier qui est configuré.
votre avatar
Exactement ma configuration, et ca marche très bien :)
votre avatar
Dommage que Passbolt ne fasse pas d'offre cloud aux particuliers. Il faut s'autohéberger
votre avatar
Passbolt n'est pas assez user-friendly pour le grand public : c'est très axé pro, et ça risque pas de changer au vu de la conception du produit (notamment l'obligation d'installation du module sur le navigateur).
votre avatar
Oui je suis d'accord. C'est dommage dans un sens, il me manque déjà des choses en comparaison de Keepass.
Ça viendra peut être un jour
votre avatar
Il est également connu pour son code en partie open source et la possibilité de créer son propre serveur de synchronisation.
Je n'avais pas connaissance de cet aspect partiellement open source, en regardant de plus près et pour celles et ceux que ça intéresse, j'ai trouvé les détails sur leur dépôt Github
Cela concerne du code publié sous licence propriétaire, principalement tout ce qui concerne les fonctionnalités dédiées aux entreprises.

BitWarden : inquiétudes autour d’un éloignement de l’open source

Fermer