Reprise du message précédent :

Bonne nouvelle pour toi, Bitwarden a sorti du bourbier mis à disposition une version avec un seul conteneur Docker (+ une base de donnée à part) : Bitwarden Lite
https://bitwarden.com/help/install-and-deploy-lite/

Oui j’ai vu je te remercie    
Il va falloir que je test ça    
Et voir comment va se comporte avec les donnée dé Vaultwarden.
J’aime beaucoup Vaultwarden mais les mises à jour sont très peu fréquentes et très peu de nouvelles fonctionnalités sont ajoutées….
Je me tâte donc à passer sur une image officielle quiT à payer une dime pour les fonctionnalités d’organisation où il y a un coffre commun en plus de nos propres coffres.

Attention, la version Lite n'a pas les fonctionnalités des organisations.
Pour ça il faut passer par un déploiement classique.

Ha merde alors !
Bon bah ça ne m’intéresse pas vraiment alors  

Hello, voici les nouveautés pour les versions 2025.12.x et 2026.1.x :
 
MON COMPTE
Pas de nouveautés.
 
PASSWORD MANAGER
 
2025.12.0
    - Alertes de sécurité du coffre et recommandations de mots de passe (Premium) : le gestionnaire signale les mots de passe faibles, réutilisés ou compromis et recommande leur modification. (détails)
    - Import direct depuis Chrome et Brave via l’import direct.
    - Dans l’extension navigateur, l’option Fill & save est intégrée à Autofill ; si aucun URI ne correspond, une option permet d’enregistrer automatiquement l’URL actuelle.
 
2025.12.1
    - Les pages « Import data » et « Export vault » sont renommées simplement « Import » et « Export » dans le client web. (détails)
 
2025.12.2
    - Les abonnements Premium et organisations payantes disposent désormais de 5 GB de stockage pour les pièces jointes et les Sends.
    - Les clients mis à jour depuis une version ≤ 2025.9.0 devront redéfinir leur PIN pour continuer à utiliser le déverrouillage par PIN.
 
2026.1.0
    - Les utilisateurs Premium peuvent maintenant utiliser jusqu’à 10 clés de sécurité pour la double authentification, y compris des passkeys. (détails)
 
2026.1.1
    - Déverrouillage avec Passkeys : les passkeys peuvent maintenant déverrouiller le web vault ou l’extension navigateur, sans saisir le mot de passe maître. (détails)
    - Mise à jour de l’interface de l’application desktop (d’autres évolutions prévues).
    - Nouvelle largeur par défaut pour les extensions navigateur, modifiable dans le menu Appearance.
 
SECRET MANAGER
Pas de nouveautés.
 
BITWARDEN AUTHENTICATOR
Pas de nouveautés.
 
ADMIN CONSOLE
 
2025.12.0
    - Les utilisateurs révoqués d’une organisation ne peuvent plus se connecter via SSO à leur compte lié. (détails)
 
2025.12.1
    - La policy « Remove individual vault export » est renommée Remove export (changement de nom uniquement).
 
2025.12.2
    - Nouvelle policy permettant d’empêcher la création de comptes externes pour les adresses correspondant à un domaine revendiqué.
    - Ré-envoi d’invitations en masse amélioré : limite portée de 500 à 8 000 invitations par action.
    - Nouvelles options pour la policy de timeout de session : verrouillage système, redémarrage app ou jamais, appliquées sur tous les clients.
 
2026.1.0
    - Toutes les organisations peuvent maintenant télécharger un fichier CSV listant les membres, leurs paramètres 2FA et accès (ex : Secrets Manager) via l’export des membres.
 
AUTO-HÉBERGEMENT
 
2025.12.1
    - Ajout d’une confirmation supplémentaire lors du login via Key Connector pour les nouveaux utilisateurs.
 
2026.1.1
    - Les logs d’erreurs liés aux tokens invalides ou expirés masquent désormais toutes les données personnelles et d’authentification. (détails)

Des failles ont été découvertes par l’École polytechnique fédérale de Zurich et l'Université de Zurich chez 3 gestionnaires de mots de passe : Dashlane, LastPass et Bitwarden (Ils ont sélectionné ces 3 là car ils sont représentatifs du marché actuel).
 
Le rapport : https://eprint.iacr.org/2026/058.pdf
 
Bitwarden a communiqué avoir corrigé les failles sauf 3 qui découlent de fonctionnalités souhaitées.
Source : https://bitwarden.com/blog/security [...] ptography/
 
Ce qu'il faut en retenir c'est que le point de départ est un serveur compromis. L'attaquant doit avoir accès aux serveurs.
Il est donc important de bien sécuriser ceux-ci. C'est le cas coté offre en ligne, il faut par contre redoubler de vigilance quand on souhaite auto-héberger sa propre instance de Bitwarden.
 
L'autre point de réflexion intéressant est que toutes ces failles se basent sur des mécanismes de facilitation de la vie, périphériques au principe de zero-knowledge.
Elles exploitent les fonctionnalités de rétrocompatibilité, de facilitation au login via SSO, de récupération de clés, de partage d'items, etc...
En n'utilisant pas ou peu ces mécanismes et en restant sur des accès forts, on limite encore la surface d'attaque déjà très faible et complexe.
 
Tout ça ne remet pas en cause les 2 solutions testées, qui ont d'ailleurs bien répondue quand les failles leurs ont été communiquées.
Ça permet surtout de ne pas oublier de faire attention et de ne jamais sous-estimer les questions de sécurité, que ce soit dans ce qu'on auto-héberge ou de ce qu'on consomme sur le net.