Reprise du message précédent :

Bonne nouvelle pour toi, Bitwarden a sorti du bourbier mis à disposition une version avec un seul conteneur Docker (+ une base de donnée à part) : Bitwarden Lite
https://bitwarden.com/help/install-and-deploy-lite/

Oui j’ai vu je te remercie    
Il va falloir que je test ça    
Et voir comment va se comporte avec les donnée dé Vaultwarden.
J’aime beaucoup Vaultwarden mais les mises à jour sont très peu fréquentes et très peu de nouvelles fonctionnalités sont ajoutées….
Je me tâte donc à passer sur une image officielle quiT à payer une dime pour les fonctionnalités d’organisation où il y a un coffre commun en plus de nos propres coffres.

Attention, la version Lite n'a pas les fonctionnalités des organisations.
Pour ça il faut passer par un déploiement classique.

Ha merde alors !
Bon bah ça ne m’intéresse pas vraiment alors  

Hello, voici les nouveautés pour les versions 2025.12.x et 2026.1.x :
 
MON COMPTE
Pas de nouveautés.
 
PASSWORD MANAGER
 
2025.12.0
    - Alertes de sécurité du coffre et recommandations de mots de passe (Premium) : le gestionnaire signale les mots de passe faibles, réutilisés ou compromis et recommande leur modification. (détails)
    - Import direct depuis Chrome et Brave via l’import direct.
    - Dans l’extension navigateur, l’option Fill & save est intégrée à Autofill ; si aucun URI ne correspond, une option permet d’enregistrer automatiquement l’URL actuelle.
 
2025.12.1
    - Les pages « Import data » et « Export vault » sont renommées simplement « Import » et « Export » dans le client web. (détails)
 
2025.12.2
    - Les abonnements Premium et organisations payantes disposent désormais de 5 GB de stockage pour les pièces jointes et les Sends.
    - Les clients mis à jour depuis une version ≤ 2025.9.0 devront redéfinir leur PIN pour continuer à utiliser le déverrouillage par PIN.
 
2026.1.0
    - Les utilisateurs Premium peuvent maintenant utiliser jusqu’à 10 clés de sécurité pour la double authentification, y compris des passkeys. (détails)
 
2026.1.1
    - Déverrouillage avec Passkeys : les passkeys peuvent maintenant déverrouiller le web vault ou l’extension navigateur, sans saisir le mot de passe maître. (détails)
    - Mise à jour de l’interface de l’application desktop (d’autres évolutions prévues).
    - Nouvelle largeur par défaut pour les extensions navigateur, modifiable dans le menu Appearance.
 
SECRET MANAGER
Pas de nouveautés.
 
BITWARDEN AUTHENTICATOR
Pas de nouveautés.
 
ADMIN CONSOLE
 
2025.12.0
    - Les utilisateurs révoqués d’une organisation ne peuvent plus se connecter via SSO à leur compte lié. (détails)
 
2025.12.1
    - La policy « Remove individual vault export » est renommée Remove export (changement de nom uniquement).
 
2025.12.2
    - Nouvelle policy permettant d’empêcher la création de comptes externes pour les adresses correspondant à un domaine revendiqué.
    - Ré-envoi d’invitations en masse amélioré : limite portée de 500 à 8 000 invitations par action.
    - Nouvelles options pour la policy de timeout de session : verrouillage système, redémarrage app ou jamais, appliquées sur tous les clients.
 
2026.1.0
    - Toutes les organisations peuvent maintenant télécharger un fichier CSV listant les membres, leurs paramètres 2FA et accès (ex : Secrets Manager) via l’export des membres.
 
AUTO-HÉBERGEMENT
 
2025.12.1
    - Ajout d’une confirmation supplémentaire lors du login via Key Connector pour les nouveaux utilisateurs.
 
2026.1.1
    - Les logs d’erreurs liés aux tokens invalides ou expirés masquent désormais toutes les données personnelles et d’authentification. (détails)

Des failles ont été découvertes par l’École polytechnique fédérale de Zurich et l'Université de Zurich chez 3 gestionnaires de mots de passe : Dashlane, LastPass et Bitwarden (Ils ont sélectionné ces 3 là car ils sont représentatifs du marché actuel).
 
Le rapport : https://eprint.iacr.org/2026/058.pdf
 
Bitwarden a communiqué avoir corrigé les failles sauf 3 qui découlent de fonctionnalités souhaitées.
Source : https://bitwarden.com/blog/security [...] ptography/
 
Ce qu'il faut en retenir c'est que le point de départ est un serveur compromis. L'attaquant doit avoir accès aux serveurs.
Il est donc important de bien sécuriser ceux-ci. C'est le cas coté offre en ligne, il faut par contre redoubler de vigilance quand on souhaite auto-héberger sa propre instance de Bitwarden.
 
L'autre point de réflexion intéressant est que toutes ces failles se basent sur des mécanismes de facilitation de la vie, périphériques au principe de zero-knowledge.
Elles exploitent les fonctionnalités de rétrocompatibilité, de facilitation au login via SSO, de récupération de clés, de partage d'items, etc...
En n'utilisant pas ou peu ces mécanismes et en restant sur des accès forts, on limite encore la surface d'attaque déjà très faible et complexe.
 
Tout ça ne remet pas en cause les 2 solutions testées, qui ont d'ailleurs bien répondue quand les failles leurs ont été communiquées.
Ça permet surtout de ne pas oublier de faire attention et de ne jamais sous-estimer les questions de sécurité, que ce soit dans ce qu'on auto-héberge ou de ce qu'on consomme sur le net.

Hello, voici les nouveautés pour les versions 2026.2.x et 2026.3.x :
 
MON COMPTE
Pas de nouveautés.
 
PASSWORD MANAGER
 
2026.2.0
    - Import des clés SSH depuis 1Password via le format .1pux (détails).
    - Import des passkeys depuis un export Bitwarden au format JSON (utile pour migration ou backup) (détails).
 
2026.2.1
    - Protection des Sends par vérification email lors de leur création (détails).
    - Archivage des items (abonnements payants) : exclusion de la recherche et de l’auto-remplissage sans suppression (détails).
    - Ajout d’un bouton d’auto-remplissage directement dans la vue d’un login dans l’extension navigateur (détails).
    - Support du déverrouillage biométrique pour les applications desktop installées via Flatpak (détails).
    - Augmentation du minimum des itérations PBKDF2 à 600 000 pour renforcer la sécurité (détails).
 
2026.3.0
    - Vérification email pour Bitwarden Send maintenant disponible sur mobile (détails).
 
 
SECRET MANAGER
 
2026.2.1
    - Intégration Jenkins : le CLI permet désormais d’injecter des secrets dans des pipelines Jenkins (détails).
 
 
BITWARDEN AUTHENTICATOR
 
2026.3.0
    - Timeout de session configurable sur Android avec verrouillage automatique et déverrouillage via PIN ou biométrie.
    - Nouvelle icône pour l’application iOS.
 
 
ADMIN CONSOLE
 
2026.2.0
    - Ajout d’endpoints dans l’API publique pour révoquer et restaurer des membres d’organisation (détails).
 
2026.2.1
    - Intégration avec Huntress SIEM pour les organisations Teams et Enterprise (détails).
 
2026.3.0
    - Améliorations UX pour Access Intelligence : fusion des onglets « All Applications » et « Critical Applications » (détails).
    - Améliorations du processus d’invitation des utilisateurs (indicateurs visuels, avertissements sur actions en masse) (détails).
 
 
AUTO-HÉBERGEMENT
Pas de nouveautés.