Connexion
Abonnez-vous

BitWarden lance Send, un service d’échanges d’informations chiffré de bout en bout

BitWarden lance Send, un service d’échanges d’informations chiffré de bout en bout

Le 15 mars 2021 à 09h26

Le gestionnaire de mots de passe a particulièrement le vent en poupe en ce moment, depuis l’annonce par LastPass de la fin de la synchronisation entre ordinateurs et appareils mobiles dans sa formule gratuit – ce que propose justement encore BitWarden.

Profitant d’une forte visibilité, l’éditeur lance Send. Comme son nom l’indique, il s’agit d’un service d’échange d’informations (voir la vidéo de présentation), plus précisément de texte et de fichiers, les seconds étant réservés à l’offre Premium, facturée pour rappel 10 dollars par an aux particuliers.

Les transferts sont chiffrés de bout en bout, comme le reste des données. BitWarden n’a pas accès aux informations, qu’il s’agisse de texte ou de fichiers. On peut fixer une date et une heure « d’autodestruction ». La période par défaut est de 7 jours, le menu allant d’une heure à 30 jours. On peut également ajouter un mot de passe et un nombre limité d’accès.

Send s’emploie exclusivement depuis un compte BitWarden et n’est donc pas ouvert à tous. Le partage de données se déclenche depuis un client, qu’il s’agisse d’une extension pour navigateur, d’une application mobile ou de la ligne de commande. Les fichiers ne doivent pas dépasser 100 Mo.

La fonction n’est bien sûr pas une réaction à l’annonce de LastPass puisqu’elle devait être en développement depuis un certain temps. Elle tombe cependant à point nommé, car l’offre Premium de BitWarden manquait peut-être un peu de saveur, en dépit de son tarif plus que raisonnable.

Désormais, un abonnement Premium aura donc trois gros avantages : les rapports de sécurité (comprenant les alertes en cas d’identifiants impliqués dans des fuites de données), le support des clés de sécurité FIDO2 (de type Yubico) et l’envoi de fichiers via Send.

Le 15 mars 2021 à 09h26

Commentaires (27)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est un vrai plus pour échanger des mots de passe. Par contre, le premium est franchement cher pour des société de moyenne et grande taille.

votre avatar

Dans ce cas la, tu peux peut être envisager bitwarden-rs hébergé en local

votre avatar

C’est ce que je fais, depuis que je l’ai installé je ne suis pas tranquille malgré les backups quotidiens. Je me demande si je vais pas retourner dans le giron de leurs serveurs, quitte à payer un peu. L’auto-hébergement pour ce genre de truc c’est une charge mentale quand même.

votre avatar

ToMMyBoaY a dit:


Par contre, le premium est franchement cher pour des société de moyenne et grande taille.


Heu, un employé en France coûte au minimum 1583€ par mois si il est au SMIC (ce qui est bien en dessous du salaire moyen dans n’importe quelle boite). Si ton entreprise n’a pas les moyens d’ajouter à cela 3 à 5$ pour un outil loin d’être superflu, c’est que tu as un sacré problème de gestion, ou que tu n’as pas besoin de gestionnaire de mot de passe.

votre avatar

Cette fonctionnalité est intégré dans BitWarden, mais la communauté libre avait déjà ce genre d’outils depuis longtemps : PrivateBin 😁
Site Officiel : https://privatebin.info/
Gros + : Hébergeable facilement par soi-même 😍

votre avatar

En auto-hébergé et open-source, il n’y a aucun équivalent à l’heure actuel.

votre avatar

Dans le même style, pour transférer du texte (pas des fichiers) de manière sécurisée, je suis tombé récemment sur le service kPaste de l’hébergeur suisse Infomaniak, qui a l’air pas mal.



Il n’y a pas besoin de compte ou d’inscription. Le code est sur GitHub.

votre avatar

(reply:1860831:David-GDE)


J’utilise lufi, je ne connaissais pas privatebin (ni zerobin), merci pour la mise en lumière !

votre avatar

(reply:1860831:David-GDE)


C’est une option possible, en effet.



On peut juste avoir des doutes sur la pérennité de la version en ligne sur https://privatebin.net/




Note : Ceci est un service de test : les données peuvent être supprimées à tout moment. Des chatons mourront si vous utilisez ce service de manière abusive.


votre avatar

Comme pour tout service informatique, si l’on ne contrôle pas la totalité du process, son avenir est incertain
D’où la polyvalence du Libre qui permet d’user d’hébergeurs divers ou de devenir son propre hébergeur.



L’instance de PrivateBin.net n’en est qu’une parmi les autres.



Le plus difficile à faire comprendre aux gens, c’est le principe d’instance, de logiciel et de protocole. (Un explication sous forme d’article sur NI ?)



(Par exemple, Mastodon n’est qu’un logiciel que chacun peut utiliser pour monter son instance qui dialoguera avec les autres via le protocole ActivityPub)

votre avatar

Je me demande ce qui va empêcher ce service d’être utilisé à des fins malveillantes comme l’a été celui de Firefox en son temps…

votre avatar

(quote:1860866:Paul Muad’Dib)
Je me demande ce qui va empêcher ce service d’être utilisé à des fins malveillantes comme l’a été celui de Firefox en son temps…


2 choses à mon avis :




  1. Il faut un compte, ce n’est pas anonyme.

  2. Ce n’est pas gratuit (il faut un compte premium pour pouvoir transférer des fichiers)

votre avatar

sympa Bitwarden, mais l’hébergement aux US c’est niet.
je dis ça mais ma base keepass est chez Google, faute d’avoir trouvé un moyen simple de synchro/sauvegarde en temps réel… -_-’

votre avatar

Tu peux la mettre chez Cozy Cloud, c’est hébergé en France et il y a 5 Go gratuits / 2,99€ pour 50 Go
Au passage, Cozy a son gestionnaire de mots de passe, basé sur Bitwarden

votre avatar

Je te conseille de regarder Syncthing. Le gros inconvénient: c’est de la synchro point à point (il faut donc que 2 appareils soient connectés en même temps).



L’auto-hébergement résoud le problème (mais ce n’est pas ouvert à tout le monde bien sûr…)

votre avatar

Ben justement c’est ce que j’avais envisagé. Seulement comme tu l’indiques, ça ne fonctionne pas si l’un des deux terminaux n’est pas connecté, ce qui est le cas chez moi assez souvent. C’est dommage car j’aime bien l’idée d’un truc indépendant et open-source. Et puis ça tourne niquel quand les conditions sont remplies.



Évidemment il y a l’auto-hebergement. Je peux toujours me monter une VM dans la Freebox. Mais une VM juste pour synchro une base keepass c’est un peu surdimensionné. Sans compter que vu la dimension stratégique du fichier, j’aime bien l’idée d’un cloud avec redondance. Bref je regarder cozy comme disait Jon1138, ça va peut être correspondre à mes besoins.
:smack:

votre avatar

kyusan a dit:


Dans ce cas la, tu peux peut être envisager bitwarden-rs hébergé en local


J’aimerai garder les sources originales. Mais de ce que j’en comprends, il me faut quand même du premium pour l’autohébergé. Ca m’embete un peu…




jpaul a dit:


Heu, un employé en France coûte au minimum 1583€ par mois si il est au SMIC (ce qui est bien en dessous du salaire moyen dans n’importe quelle boite). Si ton entreprise n’a pas les moyens d’ajouter à cela 3 à 5$ pour un outil loin d’être superflu, c’est que tu as un sacré problème de gestion, ou que tu n’as pas besoin de gestionnaire de mot de passe.


C’est très réducteur ton commentaire. Je n’ai pas dit que ma boite n’avait pas les moyens, mais défendre un gestionnaire payant quand t’as des solutions gratuites ce n’est pas évident .. surtout quand ça te coute dans mon cas quelques 25000$ mensuel sans garantie que les utilisateurs s’en servent. Si tu bases tes frais IT sur tes salaires ou tes loyers, rien n’est cher. Mais l’IT vient en plus, pas en remplacement.

votre avatar

ToMMyBoaY a dit:


C’est très réducteur ton commentaire. Je n’ai pas dit que ma boite n’avait pas les moyens, mais défendre un gestionnaire payant quand t’as des solutions gratuites ce n’est pas évident .. surtout quand ça te coute dans mon cas quelques 25000$ mensuel sans garantie que les utilisateurs s’en servent. Si tu bases tes frais IT sur tes salaires ou tes loyers, rien n’est cher. Mais l’IT vient en plus, pas en remplacement.


Je ne voulais pas être réducteur ou désagréable. Je comprend très bien ton soucis : toi en tant qu’employé, tu dois justifier le déblocage d’un budget auprès de ton management qui ne regardera effectivement pas le prix par tête mais bien le prix global par rapport au budget. Mais le problème ne vient pas du prix de Bitwarden, qui dans l’absolu, n’est pas plus cher que la concurrence. Il vient du fait que les entreprises pensent que la sécurité est un poste de dépenses annexes.



Ensuite, une entreprise n’est pas une démocratie : si tu paies un password manager à 25k$ tes employés doivent s’en servir, c’est pas négociable, il en va de la stratégie de sécurité de ta boite. De toutes façons, si tu dois payer un plan entreprise, la plupart des features sont collaboratives, tes utilisateurs devront bien, de gré ou de force, l’utiliser.



Si ça peut t’aider, dans notre boite, on a pris un plan payant uniquement pour les intéressés (motivés par le fait que ça leur offre le premium sur leur compte perso) et une fois que les infos cruciales étaient sur bitwarden et les habitudes ancrées dans quelques équipes, on a étendu ça à tout le monde petit à petit. Comme ça au début ça te coute pas grand chose et tout le monde semble satisfait, et en plus comme le plan englobe l’usage perso, ça donne un petit côté “avantage social” (minime certes) qui motive les gens à s’intéresser à la chose.

votre avatar

jpaul a dit:


Je ne voulais pas être réducteur ou désagréable. Je comprend très bien ton soucis : toi en tant qu’employé, tu dois justifier le déblocage d’un budget auprès de ton management qui ne regardera effectivement pas le prix par tête mais bien le prix global par rapport au budget. Mais le problème ne vient pas du prix de Bitwarden, qui dans l’absolu, n’est pas plus cher que la concurrence. Il vient du fait que les entreprises pensent que la sécurité est un poste de dépenses annexes.


Disons que je trouve le tarif entreprise un peu violent car il est dérivé du grand public. Après, ils disent qu’il faut contacter leur équipe commerciale … à voir. Mais pour dire, un outil comme Microsoft Teams ne coute guère plus cher tout en couvrant un besoin fonctionnel beaucoup plus large.




Ensuite, une entreprise n’est pas une démocratie : si tu paies un password manager à 25k$ tes employés doivent s’en servir, c’est pas négociable, il en va de la stratégie de sécurité de ta boite. De toutes façons, si tu dois payer un plan entreprise, la plupart des features sont collaboratives, tes utilisateurs devront bien, de gré ou de force, l’utiliser.


Tu peux contraindre mais il est difficile de contrôler. Et assurer la migration des mots de passe depuis les outils tiers n’est pas une mince affaire non plus. Bref, le support managérial pour se lancer dans une telle croisade me semble une absolue nécessité.




Si ça peut t’aider, dans notre boite, on a pris un plan payant uniquement pour les intéressés (motivés par le fait que ça leur offre le premium sur leur compte perso) et une fois que les infos cruciales étaient sur bitwarden et les habitudes ancrées dans quelques équipes, on a étendu ça à tout le monde petit à petit. Comme ça au début ça te coute pas grand chose et tout le monde semble satisfait, et en plus comme le plan englobe l’usage perso, ça donne un petit côté “avantage social” (minime certes) qui motive les gens à s’intéresser à la chose.


Ok. Tu es cloud du coup je suppose pour merger des comptes perso ? Tu paies le tarif ou Bitwarden est plutot ouvert à négo ?

votre avatar

Désormais, un abonnement Premium aura donc trois gros avantages : les rapports de sécurité (comprenant les alertes en cas d’identifiants impliqués dans des fuites de données), le support des clés de sécurité FIDO2 (de type Yubico) et l’envoi de fichiers via Send. –> + la gestion des OTP pour ceux qui veulent (sinon: Authy).

votre avatar

merlinpimpim a dit:


(sinon: Authy).


Comme on est sur le créneau du logiciel libre avec Bitwarden, je me permets de proposer une alternative sérieuse à Authy : Aegis Authenticator.



C’est très complet : chiffrement du coffre, accès code/empreinte, protection anti screenshot, peut importer des données provenant des autres applis de ce type etc.

votre avatar

Aegis Authenticator permet-il la synchro des OTP sur tous les appareils où le client est installé comme Authy ?

votre avatar

pas nativement non.
il permet la sauvegarde systématique des comptes 2FA dans un fichier, que tu peux après synchroniser avec une autre appli.

votre avatar

Il y a des discussions en cours à ce sujet ici : github.com GitHubPour le moment, il y a une fonction de sauvegarde automatique vers Nextcloud (le client Nextcloud doit être installé)

votre avatar

ok merci pour l’info. :yes:

votre avatar

ToMMyBoaY a dit:


Disons que je trouve le tarif entreprise un peu violent car il est dérivé du grand public. Après, ils disent qu’il faut contacter leur équipe commerciale … à voir. Mais pour dire, un outil comme Microsoft Teams ne coute guère plus cher tout en couvrant un besoin fonctionnel beaucoup plus large.


Je suis d’accord. Mais c’est surtout que les GAFAM ont la possibilité de faire des prix extrêmement bas qui mettent une pression intense aux petits acteurs comme BitWarden. Je le sais bien puisque je bosse justement dans une boîte qui vend du SaaS avec une couverture fonctionnelle assez énorme (suite d’outils) et que nos prix sont similaires à ceux d’Office. Pourtant on n’est pas du tout en concurrence. Mais les entreprises sont prêtes à payer cher pour des produits de qualité. En échange des prix élevés, on assume d’être sans engagement, comme BitWarden. Je trouve que c’est un bon deal, tout le monde est gagnant dans un business comme ça.




Tu peux contraindre mais il est difficile de contrôler. Et assurer la migration des mots de passe depuis les outils tiers n’est pas une mince affaire non plus. Bref, le support managérial pour se lancer dans une telle croisade me semble une absolue nécessité.


Pour le coup, BitWarden étant un produit plutôt agréable et pratique (même si pour mon usage perso je préfère 1Password), il suffit de faire un peu de communication (genre présentation de l’intérêt de l’outil) qui insiste bien sur l’intérêt pour l’entreprise et pour l’employé lui même. Une fois qu’ils ont compris comment l’utiliser, les gens voient vite le côté pratique. Si t’as un peu de budget, tu peux renforcer la sécu et le côté pratique en filant une clé FIDO à tous tes employés. C’est cher mais c’est un achat unique et ça permet de déverrouiller BitWarden aisément. (On n’a pas fait ça, je te le dit juste comme ça)




Ok. Tu es cloud du coup je suppose pour merger des comptes perso ? Tu paies le tarif ou Bitwarden est plutot ouvert à négo ?


Ce n’est pas moi qui ait géré cette affaire. De mémoire on est sur du plein tarif mais on est une « petite » boîte (250 personnes). On a aussi naturellement une politique assez souple en ce qui concerne les dépenses en outils de travail : chaque employé peut demander les outils qu’il veut et ça pose rarement de problèmes. Du coup c’est ce qui s’est passé pour BitWarden : on avait des demandes avant même de rendre l’outil « stratégique » et on a fait grossir la base d’utilisateurs petit à petit.



En 6 mois - 1 an il restait plus grand chose à faire pour imposer le soft à tous (d’autant qu’il contenait les compte d’accès partagés par équipe - pour ces softs de m qui te facturent 9,99€/mois le compte utilisateur même s’il n’a qu’un accès en lecture).



Mais en vrai si tu peux je te conseille cette stratégie du volontariat en premier : au pire t’arrives pas à l’imposer mais t’auras fait plaisir à moindre coût aux employés à qui ça facilite le quotidien. Comme c’est sans engagement tu peux clôturer les comptes des employés qui ne l’utilisent pas. Et au mieux si t’arrives a l’imposer « naturellement » grâce au « bouche à oreille interne », ce sera une preuve pour ta hiérarchie que le soft vaut largement les 5$ mensuels par tête.



Bonus si t’arrives à faciliter la vie des départements de gestion/finances/rh qui en plus de contrôler ton budget passent leur vie entière à se logger sur des softs de gestion de merde, des sites administratifs à la noix avec des comptes uniques partagés pour l’entreprise. Souvent avec un identifiant « alakon » aussi facile à retenir que le mot de passe « avec 1 chiffre 1 lettre minuscule 1 lettre majuscule 1 caractère spécial 1 emoji et un espace mais pas plus de 8 caractères parce qu’on stocke ça non hashé dans un VARCHAR(8) ».

votre avatar

Je me reprend : je te dit une bêtise pour pour la YubiKey, elle ne permet pas le passwordless sur BitWarden, uniquement l’authentification 2FA.

BitWarden lance Send, un service d’échanges d’informations chiffré de bout en bout

Fermer