Bienvenue sur le Topic Unique consacré à Bitwarden !
 
 
 
INTRODUCTION
 
Pourquoi utiliser un gestionnaire de mots de passe ?
Dans un monde ultra-connecté, il est nécessaire de sécuriser l'accès à tous les services que l'on va utiliser.
Pour éviter tout risques de vol de données, d'accès non désiré, etc... il faut des mots de passe complexes, différents pour chaque accès ou besoin.
Il devient donc indispensable d'avoir un endroit où les stocker et les gérer quand notre seule mémoire ne suffit plus.
 
Bitwarden
Lancé en 2016, Bitwarden est un ensemble de solutions tournant autour du stockage et de la gestion des mots de passes et des secrets.
Open source par nature, le code de Bitwarden présente l'avantage d'être disponible et audité régulièrement.
En plus de la solution en ligne, il est aussi possible de l'héberger soi-même pour maitriser où sont stockées les données.
Avec l'explosion des solutions d'authentification (mots de passe, FIDO, TOTP, Passkeys, etc... ), avoir une solution permettant de tout gérer peut être intéressant.
 
Pour le moment, Bitwarden propose 3 solutions :

• Bitwarden Password Manager : Le coffre fort de mots de passes, codes TOTP, passkeys, etc ... (concurrent à LastPass, Dashlane, 1Password, ...)
• Bitwarden Secrets Manager : Le gestionnaire de secrets pour les environnements applicatifs sécurisé (concurrent à Hashicorp Vault, Azure Keyvault, ...)
• Bitwarden Passwordless.dev : La solution passwordless basée sur la norme FIDO2 WebAuthn intégrable dans les développements d'applications ou de sites web.

Liens utiles

• La documentation : https://bitwarden.com/help/
• Les notes de mises à jour : https://bitwarden.com/help/releasenotes/
• La roadmap de Bitwarden : https://community.bitwarden.com/t/bitwarden-roadmap
• Le statut des services en ligne de Bitwarden : https://status.bitwarden.com/
• Le forum officiel : https://community.bitwarden.com
• Le subreddit : https://www.reddit.com/r/Bitwarden/

 
 

BITWARDEN PASSWORD MANAGER
 
C'est l'application principale originelle de Bitwarden lancée en 2016 : le gestionnaire centralisé de mots de passes.
 
Fonctionnalités
 

• Gestion des logins, identités, cartes bleues, notes sécurisées
• Stockage centralisé et chiffré de bout en bout (principe du Zero-knowledge : Bitwarden n'a pas accès à nos données)
• Générateur de mots de passe
• Auto-complétion des formulaires de login (détection des URL et des champs)
• Import/Export sécurisé
• Auto hébergement possible de la partie serveur
• Gestion des codes TOTP*
• Stockage des Passkeys
• Support du MFA (biométrie, FIDO2, Yubikey*, ...)
• Envoi de texte/fichiers*
• Partage des secrets entre utilisateurs*

* Fonctionnalités payantes
 
Tarifs
 
Les fonctionnalités de base sont gratuites, mais il existe plusieurs formules premium payantes ajoutant des fonctionnalités plus avancées.
Comparaison des offres et tarifs

 
Composants
 
Existant en ligne (https://vault.bitwarden.com/) ou à héberger soi même, elle se compose :

• d'une partie serveur pour la centralisation de l'hébergement des données.  
• de différents clients permettant d'accéder aux mots de passe

Il existe aujourd'hui une multitude de clients officiels (https://bitwarden.com/download/) :
Clients lourds
- Windows 10/11 (Windows Store ou Chocolatety)
- MacOS 10.14+ (App Store ou Brew)
- Linux (AppImage, deb ou rpm)
 
Clients mobile
- iOS : https://itunes.apple.com/app/bitwar [...] 97744?mt=8
- Android : https://play.google.com/store/apps/ [...] .bitwarden
- F-Droid
 
Extensions navigateurs
- Chrome
- Edge
- Firefox
- Safari
- Vivaldi
- Opera
- Brave
- TorBrowser
 
Autres
- une interface web
- une interface en ligne de commandes CLI
 
Auto héberger Bitwarden
 
Pour ceux qui n'ont pas confiance à confier leur mots de passes, il est tout à fait possible d'héberger soi-même Bitwarden pour garder la main sur ses données.
 
Pré-requis
 

 

Bitwarden fonctionne sous la forme de conteneurs Docker.
L'installation a besoin de Docker Engine 19+ et docker-compose 1.24+, ou d'un cluster Kubernetes.  
 
Il faut aussi nécessairement récupérer l'Installation ID (unique par instance) via https://bitwarden.com/host/ qui sera nécessaire lors de la configuration.
 
L'installation
 
Il est possible d'installer Bitwarden sur Linux, Windows Server ou Kubernetes.
La documentation complète est disponible ici :  
- Linux : https://bitwarden.com/help/install-on-premise-linux/
- Windows Server : https://bitwarden.com/help/install-on-premise-windows/
- Kubernetes (via Helm) : https://bitwarden.com/help/self-host-with-helm/
 
Alternative non officielle
 
Vaultwarden est une réécriture non officielle de l'API serveur de Bitwarden en Rust, compatible avec les clients officiels.
Sources : https://github.com/dani-garcia/vaultwarden
 
 
 

BITWARDEN SECRET MANAGER
 
Bitwarden Secret Manager est un nouveau produit lancé en août 2023 permettant la gestion des secrets de type clé/valeur comme les clés API, de la configuration, des chaînes de connexion, des variables d'environnement, etc ... comparable à Hashicorp Vault par exemple.
C'est très facilement à intégrer dans les pipelines d'automatisation pour éviter d'avoir les mots de passe en clair.
 
Fonctionnalités
 

• Gestion des secrets via un portail web
• Accès par CLI ou API avec un token d'accès
• Intégrable via un SDK  
• Auto hébergement possible de la partie serveur (uniquement pour les clients Enterprise Organizations)
• Intégration à GitHub Actions et Gitlab CI/CD

Tarif
 

 
- Teams : 6 US$ / utilisateur / mois
- Enterprise : 12 US$ / utilisateur / mois
 
Auto héberger Bitwarden Secret Manager
 
Bitwarden Secret Manager ne peut être auto-hébergé que par les clients de l'offre Enterprise Organizations hébergeant déjà Bitwarden Password Manager.
Le service s'active en mettant à jour le fichier de licence sur son instance : https://bitwarden.com/help/secrets- [...] ts-manager
 
 
 

BITWARDEN PASSWORDLESS.DEV
 
Passwordless.dev est un toolkit open source pour les développeurs afin d'intégrer la norme des Passkeys FIDO2 WebAuthn pour l'authentification sur son application ou son site web.
 

Lien vers la documentation : https://docs.passwordless.dev/guide/
 
Composants
 
Le toolkit se compose :

• d'une librairie javascript
• d'APIs (publique et privée)

Tarif
 

Réservé

Réservé

Réservé

Le lien n’a pas été formaté. N’oublie pas de bien mettre chaque lien sous balise [URL] .

C'est corrigé  

Nouveauté la plus intéressante de ce mois de décembre : la possibilité d'auto-héberger Bitwarden sur Kubernetes via Helm (enfin !) :
https://bitwarden.com/help/self-host-with-helm/
 
Il reste possible de déployer en utilisant docker-compose comme avant.

Nouveauté de janvier :
- la possibilité d'accéder à son coffre fort en utilisant une PassKey (Beta).
https://bitwarden.com/help/login-with-passkeys

drapal, j'utilise le service en ligne

Première tentative d'installation sur un cluster Kubernetes ...ratée.
Mais c'est à cause de mon EKS qui était mal configuré (problème de création des volumes via le driver EFS).
Pour le reste ça a pas l'air insurmontable.

A réessayer quand j'aurais du temps.

moi aussi je viens juste de migrer de lastpass au service en ligne bitwarden (trop facile d exporter et importer les mdp ... j ai fait le pas car j ai achete un ipad mini et je ne voulais pas payer pour lastpass ... sur android j'utilisais l extension lastpass dans kiwi browser) ...  
... y a t il des gros problemes connus à utiliser le service en ligne proposé par bitwarden plutot qu un serveur "self hosté" ?

Pas de problèmes connus, c'est l'avantage d'être audité régulièrement.
 
La différence se situe plus sur le fait d'avoir confiance dans le service tiers.
Malgré son fonctionnement en mode zero knowledge encryption (en très simplifié : les données stockées sont chiffrées avec une clé que Bitwarden ne peut pas connaitre), on n'est jamais à l'abri d'une vulnérabilité en amont  ou une fuite de données (phishing, brute force sur des données volées, etc ...)
Tout ça c'est valable pour tous les coffres forts de mot de passe.
 
L'avantage d'héberger soi-même Bitwarden, c'est que tu es le seul (normalement) à avoir accès aussi bien aux coffre en lui même qu'aux clients qui vont y accéder.

Petit récap des dernières nouveautés :

PASSWORD MANAGER
2024.2.0
    - La possibilité via les extensions navigateurs de scanner directement les QRCodes pour le MFA TOTP (détails)
    - L'augmentation des limites en terme d'objets importables dans Bitwarden, notamment quand on migre depuis une autre solution (LastPass, 1Password, ...)  (détails)
2024.2.3
    - Le re-design plus moderne de l'interface web  
    - La nouvelle interface de login Duo 2FA (détails)
    - [auto-hébergement] (Beta) La possibilité de s'authentifier à son coffre en utilisant une PassKey (détails)
2024.3.0
    - [auto-hébergement] Plus de logs à l'installation et possibilité de générer via le script d'admin une archive compressée des logs pour envoi au support.
2024.3.1
    - Pleins de nouvelle langues
    - La possibilité d'activer/désactiver l’accélération matérielle dans les applications de bureau.

SECRET MANAGER
2024.2.2
    - Intégration Ansible via une Ansible Collection pour récupérer automatiquement les secrets dans ses playbooks (détails).

petit retour d'XP sur bitwarden que j'utilise en compte premium depuis novembre 2023.
 
J'ai acheté récemment une clé titan ( modèle K52T ) et j'ai voulu protéger mon compte bitwarden en 2FA avec cette clé.
 
Suite à une erreur de ma part, mais une faiblesse de leur côté, je pense que mon compte est définitivement bloqué. Je le prends pour moi, car je n'ai pas eu le réflexe de prendre les codes de récupération avant d'activer le 2FA ( chose que je fais tout le temps ailleurs ) , mon excuse est que j'ai pu activer le 2FA sans avoir une question explicite de me donner au préalable un code de récupération. Bref ...
 
Voici ce qui s'est passé : j'ai recu ma clé la semaine dernière et je l'ai attachée à mon google account. Ca marche parfaitement bien. Je l'ai aussi ajouté à mon gitlab a titre de test, ca marche parfaitement bien aussi.  
 
J'ai donc activé naivement la partie 2FA chez bitwarden. J'ai du prendre l'option webauthn pour enregistrer ma clé, ca m'a demandé un nom de clé, puis il a détecté la clé, j'ai du poser mon doigt sur le capteur d'empreinte ( comme pour google account et gitlab)  et ca a enregistré ma clé, je la voyais bien dans la liste , première des 5 clés possibles en webauthn.
 
J'ai donc voulu tester la 2FA , je me deloggue, je me reloggue, login, password, ensuite j'ai la jolie fenêtre chrome qui me demande de choisir la méthode 2FA : je choisis clé , ca me demande d'insérer ma clé , et là ... ca me demande de réinsérer la clé ... bref en boucle, impossible de me logguer.
 
Je contacte le support ( qui répond assez vite mais que le soir ) , et rapidement, je comprends que je vais avoir quelques soucis, car ils me posent surtout des questions. A un moment donné, ils me parlent de yubikey et de code pin et de key manager, je réponds que c'est une titan key et qu'il y a rien de tout ca.
 
Bref, en fouillant un peu sur le net ( apparemment les titan key c est un peu plus pourri que yubikey, j aurais du prendre ca ), dans mes recherches, je trouve un logiciel FIDO2 manager, qui me permet d'interroger un peu la clé, et à force de chercher, je me retrouve à devoir configurer un code pin ( chose qui ne m'a jamais été demandé avant, ni google account, ni gitlab ), le code pin est maintenant configuré, mais au passage, le FIDO2 manager me renvoie quand même une erreur comme quoi il ne peut pas lire la clé ...  
 
Au final, je crée un second compte bitwarden à titre de test, et je refais la même procédure pour voir là où j'ai merdé. Et là ... il me demande un code PIN , alors que ca ne me l'avait pas demandé la première fois. J'enregistre tout , et paf, ce nouveau compte test marche parfaitement bien en 2FA. Tout ca parce que j'ai configuré un code PIN sur la clé via un outil non officiel, alors que rien d'officiel ne me l'a proposé.
 
Je tente de me reconnecter à mon vrai compte au cas où mais rien à faire , ca ne marche pas sur celui là, alors que le second oui.
 
J'ai réessayé après coup google account et gitlab après configuration du code pin, ca fonctionne toujours, pas d'impact donc.
 
Au final, on verra ce que répondra le support bitwarden mais j'ai bien peur qu'ils me disent qu'ils ne peuvent rien faire car c'est clairement écrit que si tu perds ton 2FA, faut utiliser les codes de récup, et que si t'as pas, bitwarden ne peut rien faire ( ce qui est quelque part "secure" ). Par contre, j'ai techniquement pas perdu mon 2FA, c'est leur procédure d'enregistrement qui est bugguée. Pourquoi un comportement différent entre bitwarden et gitlab , là où je n'ai pas eu besoin de configurer un pin code pour ce dernier.
 
 
Par chance, et chose très bizarre, j'ai toujours accès à mon compte bitwarden via l'app android, qui n'a pas de 2FA ( c'est pas possible, au début je voulais même attacher ma clé plutot sur l'app android) ,le seul truc que j'ai c'est le déblocage par biométrie ( empreinte et/ou visage ). J'ai donc toujours accès à mes password, j'ai tout exporté d'ailleurs dès que j'ai pu, et j'ai l'impression que malgré tout , via l'app, je peux toujours enregistrer des entrées dans la base, malgré la 2FA via clé avec le webportal. Et évidemment , impossible de reconfigurer le compte via l'app pour retirer la 2FA ou autre, l'unique option ouvre le navigateur chrome et on retombe dans le process normal qui ne marche pas.
 
 
Conclusion pour ceux qui ne veulent pas tout lire :
 - toujours avoir des codes de recup  
 - optionnellement, avoir une seconde méthode 2FA ( mais pour moi, ca invalide le coté sécure de la clé )  
 - et pour bitwarden en particulier, et surtout avec des google titan key, il faut configurer le code PIN au préalable au risque de bloquer le compte, en considérant qu'il n'existe pas d'outil officiel fourni par google permettant de configurer ce code pin ( ni de faire du key management ).
 
 
Je vais au pire tenter de négocier de basculer mon compte premium sur le nouveau compte bitwarden, mais je perds quand même mon adresse mail.
 
pfff...

Pour moi ton souci vient du fait que le modèle de clé que tu as choisis a effectivement l'air de pas être très bien documentée...

Je prends l'exemple de Yubico parce c'est ce que je connais (j'en ai 2) :
Les clés de sécurité Yubico compatible FIDO2 WebAuthn ont toute un PIN par défaut (123456 : https://support.yubico.com/hc/en-us [...] biKey-PINs ) qui peut doit être changé/customisé.

Ensuite pour la partie coté Bitwarden, le standard FIDO2 WebAuthn n'indique pas quelle marque/type de clé tu vas utiliser et donc il ne peut pas savoir s'il doit attendre un PIN, une empreinte de doigt, etc ... pour valider l'authentification de la clé.
C'est dans la doc de ta clé Titan que doivent se trouver ces informations.

Concernant ton coffre sur ton smartphone, c'est normal qu'il soit toujours accessible car il fonctionne en cache local.
Par contre dès que son authentification à ton coffre va expirer, tu seras bloqué de la même manière !

Ce qui est sûr, c'est qu'il faut TOUJOURS sauvegarder ses codes de récupération, seuls moyens de déverrouiller un MFA qu'on aurait perdu.

D'ailleurs, c'est pour ça que je parle de MFA et pas de 2FA.
Il vaut mieux multiplier les facteurs possibles d'authentification, en faisant bien attention au choix de ces facteurs :
- ce que je connais : le mot de passe maître
- ce que je possède : une passkey / token physique (Yubico, SecureID,...) et les codes TOTP / appli authenticator qui sont un peu moins sécurisés car "logiciels".
- ce que je suis : une empreinte / détection de visage / biométrie

Avoir d'autres méthodes n'invalide pas la sécurité de la première : par contre c'est le facteur le plus "faible" qui détermine ton niveau de sécurité global.
C'est notamment pour ça qu'on conseille d'avoir plusieurs clés de sécurité : c'est pour ça que j'ai 2 yubico différentes, l'une étant un backup de l'autre tout en gardant le même niveau de sécurité.

En tout cas, je pense que le support va te proposer de virer ton ancien compte et de le recréer, puis réimporter tes données que tu as heureusement sauvegardé.
Si tu as changé le PIN, à moins éventuellement de remettre celui par défaut (et encore...), tu n'auras pas de moyens d'utiliser la clé comme ça.

Petite question au passage : tu utilises le coffre en ligne ou une instance auto-hébergée ?
Si tu héberges ta propre instance, il suffit de restaurer la dernière sauvegarde avant que tu ais activé cette clé.

C'est le coffre en ligne malheureusement.

Le coup des multi clé, c'est une bonne idée, leur je vais peut être partir sur du yubico plutôt, je suis un peu déçu du produit Google pour le coup.

 
J'avais répondu un peu vite.
 
J'ai fouillé la doc de la clé google titan... enfin fouillé, y a pas de doc. La doc papier dans la boite renvoie vers une page web, et cette page web n'explique en rien qu'il faut mettre un code PIN.
 
Après, ce que je ne m'explique pas, c'est que la clé marche sans besoin de ce code pin avec gitlab. Et avec google account j'ai eu encore un autre comportement :
 - j'ouvre une fenetre privée, je tape l'adresse mail de mon compte protégé avec la clé titan ( sur  laquelle j'ai configuré un code PIN depuis, via l'outil pas officiel )
 - je m'attends à saisir le mot de passe du compte avant de passer à l'étape de la clé, mais non, il me demande directement la clé, et il demande par la même occasion le code pin ( chose qu'il n'avait jamais faite avant que je configure le code pin )
 - je tape le code pin, et là, ca échoue, avec un message "clé pas familière" . Trop bizarre quoi
 - en fouillant un peu dans les différentes options de login et les alternatives , je finis par arriver à saisir le mot de passe de mon compte, et à ce moment, il me repropose un peu différemment d'insérer ma clé pour la partie 2FA, et là, il ne me demande pas le pin, et il arrive à lire correctement la clé, et ainsi rentrer dans le compte
 
Bref, c'est quand même de mon point de vue un comportement erratique et pas du tout robuste. Un comble pour une clé de protection. En tout cas, je pense me diriger plutôt vers des clés yubico, c'était de toutes façons un essai.
 
Pour revenir à bitwarden ( car c'est le sujet principal ), je suis toujours en discussion avec le support, ils posent beaucoup de questions ... mais ca avance pas super vite. Je pense que je vais perdre mon compte principal, mais comme j'ai un dump de mes mots de passe, ce n'est pas si grave, ils ont l'air ok pour rebasculer mon compte premium sur le nouveau compte.
 
A noter que j'ai eu un pb supplémentaire hier en refaisant des essais, j'ai eu un message "abnormal network traffic , code error 7 " pour me connecter ( y compris sur le nouveau compte qui marche ) , le support m'a justement posé un certain nombre de questions suite à ca  car je le leur ai dit également, à mon avis, c'est pour investiguer de leur côté et comprendre ce qui a pu se passer.

J'espère que ça va avancer avec le support.
Ils ont toujours été assez réactifs pour moi, pour des questions techniques ou de licence.

 
Ca a été réglé juste aujourd'hui justement. On n'a pas eu d'autre choix que d importer l'export que j'avais pu faire sur un nouveau compte, delete l ancien, changer l'email du nouveau, et reporter le compte premium sur le nouveau compte.
 
J'ai bien évidemment généré les codes de récup sur le nouveau compte, et je vais associer une seconde clé comme suggéré ci-dessus, je vais je pense acheter une yubikey.
 
En attendant, cet épisode m'a fait découvrir le plugin chrome bitwarden, c'est ultra pratique ( je n'utilisais bitwarden que sur mobile jusqu'alors ).