Le gestionnaire de mots de passe a particulièrement le vent en poupe en ce moment, depuis l’annonce par LastPass de la fin de la synchronisation entre ordinateurs et appareils mobiles dans sa formule gratuit – ce que propose justement encore BitWarden.
Profitant d’une forte visibilité, l’éditeur lance Send. Comme son nom l’indique, il s’agit d’un service d’échange d’informations (voir la vidéo de présentation), plus précisément de texte et de fichiers, les seconds étant réservés à l’offre Premium, facturée pour rappel 10 dollars par an aux particuliers.
Les transferts sont chiffrés de bout en bout, comme le reste des données. BitWarden n’a pas accès aux informations, qu’il s’agisse de texte ou de fichiers. On peut fixer une date et une heure « d’autodestruction ». La période par défaut est de 7 jours, le menu allant d’une heure à 30 jours. On peut également ajouter un mot de passe et un nombre limité d’accès.
Send s’emploie exclusivement depuis un compte BitWarden et n’est donc pas ouvert à tous. Le partage de données se déclenche depuis un client, qu’il s’agisse d’une extension pour navigateur, d’une application mobile ou de la ligne de commande. Les fichiers ne doivent pas dépasser 100 Mo.
La fonction n’est bien sûr pas une réaction à l’annonce de LastPass puisqu’elle devait être en développement depuis un certain temps. Elle tombe cependant à point nommé, car l’offre Premium de BitWarden manquait peut-être un peu de saveur, en dépit de son tarif plus que raisonnable.
Désormais, un abonnement Premium aura donc trois gros avantages : les rapports de sécurité (comprenant les alertes en cas d’identifiants impliqués dans des fuites de données), le support des clés de sécurité FIDO2 (de type Yubico) et l’envoi de fichiers via Send.
Commentaires (27)
#1
C’est un vrai plus pour échanger des mots de passe. Par contre, le premium est franchement cher pour des société de moyenne et grande taille.
#1.1
Dans ce cas la, tu peux peut être envisager bitwarden-rs hébergé en local
#1.2
C’est ce que je fais, depuis que je l’ai installé je ne suis pas tranquille malgré les backups quotidiens. Je me demande si je vais pas retourner dans le giron de leurs serveurs, quitte à payer un peu. L’auto-hébergement pour ce genre de truc c’est une charge mentale quand même.
#2
Heu, un employé en France coûte au minimum 1583€ par mois si il est au SMIC (ce qui est bien en dessous du salaire moyen dans n’importe quelle boite). Si ton entreprise n’a pas les moyens d’ajouter à cela 3 à 5$ pour un outil loin d’être superflu, c’est que tu as un sacré problème de gestion, ou que tu n’as pas besoin de gestionnaire de mot de passe.
#3
Cette fonctionnalité est intégré dans BitWarden, mais la communauté libre avait déjà ce genre d’outils depuis longtemps : PrivateBin 😁
Site Officiel : https://privatebin.info/
Gros + : Hébergeable facilement par soi-même 😍
#4
En auto-hébergé et open-source, il n’y a aucun équivalent à l’heure actuel.
#5
Dans le même style, pour transférer du texte (pas des fichiers) de manière sécurisée, je suis tombé récemment sur le service kPaste de l’hébergeur suisse Infomaniak, qui a l’air pas mal.
Il n’y a pas besoin de compte ou d’inscription. Le code est sur GitHub.
#6
J’utilise lufi, je ne connaissais pas privatebin (ni zerobin), merci pour la mise en lumière !
#7
C’est une option possible, en effet.
On peut juste avoir des doutes sur la pérennité de la version en ligne sur https://privatebin.net/
#7.1
Comme pour tout service informatique, si l’on ne contrôle pas la totalité du process, son avenir est incertain
D’où la polyvalence du Libre qui permet d’user d’hébergeurs divers ou de devenir son propre hébergeur.
L’instance de PrivateBin.net n’en est qu’une parmi les autres.
Le plus difficile à faire comprendre aux gens, c’est le principe d’instance, de logiciel et de protocole. (Un explication sous forme d’article sur NI ?)
(Par exemple, Mastodon n’est qu’un logiciel que chacun peut utiliser pour monter son instance qui dialoguera avec les autres via le protocole ActivityPub)
#8
Je me demande ce qui va empêcher ce service d’être utilisé à des fins malveillantes comme l’a été celui de Firefox en son temps…
#9
2 choses à mon avis :
#10
sympa Bitwarden, mais l’hébergement aux US c’est niet.
je dis ça mais ma base keepass est chez Google, faute d’avoir trouvé un moyen simple de synchro/sauvegarde en temps réel… -_-’
#10.1
Tu peux la mettre chez Cozy Cloud, c’est hébergé en France et il y a 5 Go gratuits / 2,99€ pour 50 Go
Au passage, Cozy a son gestionnaire de mots de passe, basé sur Bitwarden
#10.2
Je te conseille de regarder Syncthing. Le gros inconvénient: c’est de la synchro point à point (il faut donc que 2 appareils soient connectés en même temps).
L’auto-hébergement résoud le problème (mais ce n’est pas ouvert à tout le monde bien sûr…)
#10.3
Ben justement c’est ce que j’avais envisagé. Seulement comme tu l’indiques, ça ne fonctionne pas si l’un des deux terminaux n’est pas connecté, ce qui est le cas chez moi assez souvent. C’est dommage car j’aime bien l’idée d’un truc indépendant et open-source. Et puis ça tourne niquel quand les conditions sont remplies.
Évidemment il y a l’auto-hebergement. Je peux toujours me monter une VM dans la Freebox. Mais une VM juste pour synchro une base keepass c’est un peu surdimensionné. Sans compter que vu la dimension stratégique du fichier, j’aime bien l’idée d’un cloud avec redondance. Bref je regarder cozy comme disait Jon1138, ça va peut être correspondre à mes besoins.
#11
J’aimerai garder les sources originales. Mais de ce que j’en comprends, il me faut quand même du premium pour l’autohébergé. Ca m’embete un peu…
C’est très réducteur ton commentaire. Je n’ai pas dit que ma boite n’avait pas les moyens, mais défendre un gestionnaire payant quand t’as des solutions gratuites ce n’est pas évident .. surtout quand ça te coute dans mon cas quelques 25000$ mensuel sans garantie que les utilisateurs s’en servent. Si tu bases tes frais IT sur tes salaires ou tes loyers, rien n’est cher. Mais l’IT vient en plus, pas en remplacement.
#12
Je ne voulais pas être réducteur ou désagréable. Je comprend très bien ton soucis : toi en tant qu’employé, tu dois justifier le déblocage d’un budget auprès de ton management qui ne regardera effectivement pas le prix par tête mais bien le prix global par rapport au budget. Mais le problème ne vient pas du prix de Bitwarden, qui dans l’absolu, n’est pas plus cher que la concurrence. Il vient du fait que les entreprises pensent que la sécurité est un poste de dépenses annexes.
Ensuite, une entreprise n’est pas une démocratie : si tu paies un password manager à 25k$ tes employés doivent s’en servir, c’est pas négociable, il en va de la stratégie de sécurité de ta boite. De toutes façons, si tu dois payer un plan entreprise, la plupart des features sont collaboratives, tes utilisateurs devront bien, de gré ou de force, l’utiliser.
Si ça peut t’aider, dans notre boite, on a pris un plan payant uniquement pour les intéressés (motivés par le fait que ça leur offre le premium sur leur compte perso) et une fois que les infos cruciales étaient sur bitwarden et les habitudes ancrées dans quelques équipes, on a étendu ça à tout le monde petit à petit. Comme ça au début ça te coute pas grand chose et tout le monde semble satisfait, et en plus comme le plan englobe l’usage perso, ça donne un petit côté “avantage social” (minime certes) qui motive les gens à s’intéresser à la chose.
#13
Disons que je trouve le tarif entreprise un peu violent car il est dérivé du grand public. Après, ils disent qu’il faut contacter leur équipe commerciale … à voir. Mais pour dire, un outil comme Microsoft Teams ne coute guère plus cher tout en couvrant un besoin fonctionnel beaucoup plus large.
Tu peux contraindre mais il est difficile de contrôler. Et assurer la migration des mots de passe depuis les outils tiers n’est pas une mince affaire non plus. Bref, le support managérial pour se lancer dans une telle croisade me semble une absolue nécessité.
Ok. Tu es cloud du coup je suppose pour merger des comptes perso ? Tu paies le tarif ou Bitwarden est plutot ouvert à négo ?
#14
Désormais, un abonnement Premium aura donc trois gros avantages : les rapports de sécurité (comprenant les alertes en cas d’identifiants impliqués dans des fuites de données), le support des clés de sécurité FIDO2 (de type Yubico) et l’envoi de fichiers via Send. –> + la gestion des OTP pour ceux qui veulent (sinon: Authy).
#15
Comme on est sur le créneau du logiciel libre avec Bitwarden, je me permets de proposer une alternative sérieuse à Authy : Aegis Authenticator.
C’est très complet : chiffrement du coffre, accès code/empreinte, protection anti screenshot, peut importer des données provenant des autres applis de ce type etc.
#15.1
Aegis Authenticator permet-il la synchro des OTP sur tous les appareils où le client est installé comme Authy ?
#15.2
pas nativement non.
il permet la sauvegarde systématique des comptes 2FA dans un fichier, que tu peux après synchroniser avec une autre appli.
#15.3
Il y a des discussions en cours à ce sujet ici : https://github.com/beemdevelopment/Aegis/issues/258
Pour le moment, il y a une fonction de sauvegarde automatique vers Nextcloud (le client Nextcloud doit être installé)
#15.4
ok merci pour l’info.
#16
Je suis d’accord. Mais c’est surtout que les GAFAM ont la possibilité de faire des prix extrêmement bas qui mettent une pression intense aux petits acteurs comme BitWarden. Je le sais bien puisque je bosse justement dans une boîte qui vend du SaaS avec une couverture fonctionnelle assez énorme (suite d’outils) et que nos prix sont similaires à ceux d’Office. Pourtant on n’est pas du tout en concurrence. Mais les entreprises sont prêtes à payer cher pour des produits de qualité. En échange des prix élevés, on assume d’être sans engagement, comme BitWarden. Je trouve que c’est un bon deal, tout le monde est gagnant dans un business comme ça.
Pour le coup, BitWarden étant un produit plutôt agréable et pratique (même si pour mon usage perso je préfère 1Password), il suffit de faire un peu de communication (genre présentation de l’intérêt de l’outil) qui insiste bien sur l’intérêt pour l’entreprise et pour l’employé lui même. Une fois qu’ils ont compris comment l’utiliser, les gens voient vite le côté pratique. Si t’as un peu de budget, tu peux renforcer la sécu et le côté pratique en filant une clé FIDO à tous tes employés. C’est cher mais c’est un achat unique et ça permet de déverrouiller BitWarden aisément. (On n’a pas fait ça, je te le dit juste comme ça)
Ce n’est pas moi qui ait géré cette affaire. De mémoire on est sur du plein tarif mais on est une « petite » boîte (250 personnes). On a aussi naturellement une politique assez souple en ce qui concerne les dépenses en outils de travail : chaque employé peut demander les outils qu’il veut et ça pose rarement de problèmes. Du coup c’est ce qui s’est passé pour BitWarden : on avait des demandes avant même de rendre l’outil « stratégique » et on a fait grossir la base d’utilisateurs petit à petit.
En 6 mois - 1 an il restait plus grand chose à faire pour imposer le soft à tous (d’autant qu’il contenait les compte d’accès partagés par équipe - pour ces softs de m qui te facturent 9,99€/mois le compte utilisateur même s’il n’a qu’un accès en lecture).
Mais en vrai si tu peux je te conseille cette stratégie du volontariat en premier : au pire t’arrives pas à l’imposer mais t’auras fait plaisir à moindre coût aux employés à qui ça facilite le quotidien. Comme c’est sans engagement tu peux clôturer les comptes des employés qui ne l’utilisent pas. Et au mieux si t’arrives a l’imposer « naturellement » grâce au « bouche à oreille interne », ce sera une preuve pour ta hiérarchie que le soft vaut largement les 5$ mensuels par tête.
Bonus si t’arrives à faciliter la vie des départements de gestion/finances/rh qui en plus de contrôler ton budget passent leur vie entière à se logger sur des softs de gestion de merde, des sites administratifs à la noix avec des comptes uniques partagés pour l’entreprise. Souvent avec un identifiant « alakon » aussi facile à retenir que le mot de passe « avec 1 chiffre 1 lettre minuscule 1 lettre majuscule 1 caractère spécial 1 emoji et un espace mais pas plus de 8 caractères parce qu’on stocke ça non hashé dans un VARCHAR(8) ».
#16.1
Je me reprend : je te dit une bêtise pour pour la YubiKey, elle ne permet pas le passwordless sur BitWarden, uniquement l’authentification 2FA.