La question des mots de passe est un problème récurant de sécurité informatique. Il est préférable d’avoir des mots de passe complexes et différents pour chacun de ses services, mais il est difficile de tous les mémoriser. Deux solutions existent, se créer une recette permettant de mémoriser tous ses mots de passe, ou les confier à un gestionnaire de mots de passe. Ce type de service, souvent très simple à utiliser, permet de sauvegarder tous vos identifiants dans un coffre-fort numérique qui ne s’ouvrira qu’avec votre mot de passe. En d’autres termes, vous n’aurez plus qu’un seul mot de passe à mémoriser, celui du coffre-fort.
Les gestionnaires les plus connus sont sans doute 1Password, LastPass ou encore Dashlane, mais j’ai récemment basculé vers une solution moins connue, Bitwarden.
Tous les ingrédients pour être le gestionnaire idéal
Contrairement aux autres services, Bitwarden réunit tout ce que j’attends d’un gestionnaire de mots de passe. Le service est gratuit, simple à utiliser et se base sur du code open source et libre. Très concrètement, Bitwarden s’installe sur à peu près toutes les plateformes (Android, iOS, Windows, MacOS, Linux, Web, Bash, etc.) et synchronise ses données dans le cloud. Le service propose aussi une extension pour de nombreux navigateurs sur PC. Grâce au chiffrement de bout en bout AES 256 bits, hachées et salées (PBKDF2 SHA-256), l’éditeur du service n’aura jamais accès à vos identifiants. Seul l’utilisateur possède la clé, le mot de passe du coffre-fort, permettant de déverrouiller l’ensemble. Pour les utilisateurs avancés, Bitwarden propose même d’héberger son coffre-fort sur son propre serveur grâce à Docker, ce que j’ai fais.
L’interface est très simple à utiliser. Le coffre-fort peut importer vos mots de passe depuis d’autres services ou navigateur (si vos mots de passe sont stockés sur Chrome ou Firefox notamment), générer de nouveaux mots de passe sécurisés, et stocker d’autres types de données précieuses, telles que des notes sécurisées, des éléments d’identité ou des moyens de paiement. Tout cela permet de remplir automatiquement les formulaires, les champs de paiement et se connecter automatiquement grâce aux mots de passe stockés.
L’application comme le service sont très régulièrement mis à jour par le développeur et créateur de Bitwarden. Depuis iOS 12 et Android 9.0 Pie, l’application peut automatiquement remplir les champs, même dans les autres applications ou les navigateurs, ce qui est très pratique en mobilité pour ne plus avoir à taper ses mots de passe. Surtout, il est possible de déverrouiller son coffre fort facilement et rapidement sur mobile grâce à la biométrie, avec Touch ID ou Face ID sur iPhone, ou avec le lecteur d’empreintes sur Android.
C’est le genre d’application qui est peut-être un peu pénible à configurer la première fois, mais qui apporte énormément de confort au quotidien. Elle m’a convaincu par son approche pro-consommateur, ne cherchant pas absolument à collecter ses données personnelles. Je peux désormais me connecter à tout mes services très facilement sur chaque appareil où je configure mon compte Bitwarden. Elle me permet aussi d’avoir un mot de passe complexe différent et généré aléatoirement sur chacun de mes services. Un vrai coup de cœur.
Pour aller plus loin
Quels sont les meilleurs gestionnaires de mots de passe gratuits et payants ?
Pour ne rater aucun bon plan, rejoignez notre nouveau channel WhatsApp Frandroid Bons Plans, garanti sans spam !
[…] Nous vous conseillons 1password, LastPass ou encore Dashlane. Vous avez également Bitwarden qui est open-source et gratuit. Vous pouvez également utiliser ces solutions pour chiffrer […]
[…] Vous faites quoi le week-end ? Moi je m’occupe de mon serveur perso qui me permet d’héberger, entre autres, mon gestionnaire de mots de passe open source et gratuit. […]
[…] Vous faites quoi le week-end ? Moi je m’occupe de mon serveur perso qui me permet d’héberger, entre autres, mon gestionnaire de mots de passe open source et gratuit. […]
re, ok je vais regarder ce keeanywhere que j'avais aussi repéré. Je n'ai pas de serveur perso, raison pour laquelle je me penche sur la solution Cloud !
Ma base est stockée en local sur mes PC (perso et pro) et dupliquée sur mon NAS en Webdav sur https à partir de mes PC et SFTP¨à partir de Keepass2Adrroid .Dans les deux cas c'est natif, pas besoin de plugin. Mais sinon, pour le client keepass windows, pour l'enregistrement sur les différents service "cloud" je conseille KeeAnywhere, fiable et très complet: https://github.com/Kyrodan/KeeAnywhere
ok merci, du coup tu utilises quoi comme plugin pour la synchro (il y a en a plusieurs sur le site de keepass). Moi je veux synchro pour raison pratique avec Google Drive, même si je trouve que ça fait un peu faille de sécu de mettre Google Drive dans la boucle... Après le fichier stocké est chiffré, du coup ça limite quand même pas mal le risque. Qu'en penses tu ?
Ce que j'ai écris sur le mécanisme de la synchro implicite lors de la sauvegarde s'applique autant à Keepass pour Windows (le client officiel et historique) qu'à Keepass2Android (que j'utilise d'ailleurs) oui. Je ne m'avancerai pas sur les autres portages sur différentes plateformes que je n'ai pas testé: ça reste à vérifier au coup par coup
Ok c'est ce que j'avais en tête, mais du coup c'est jouable de mettre ça sur Google Drive et est-ce que ça fonctionne aussi avec keepass2android ?
En fait il suffit d'héberger sa base KeePass à plusieurs endroits différents. La synchronisation s'effectue tout naturellement lors de l'enregistrement, qui s'assimile plus à une fusion: les ajouts, suppressions et modifications sont automatiquement pris en compte à ce moment là. Ça fonctionne très bien et permet de se passer d'une architecture client serveur, un simple service de fichiers suffit.
+1 comment tu fais pour que ce soit synchro sur tous les appareils ?
Ok merci je vais tenter keepass ! C'est pour ma femme qui a un peu de mal avec tous ses mots de passe... 😅
Mon avis n'a pas changé depuis 3 mois, non :-> Le seul bémol que je mettrais est que KeePass est moins "newbie friendly" que d'autres gestionnaires du genre (je ne parle pas de Bitwarden là: pour lui je me suis arrêté aux pré-requis que mon équipement ne pouvait satisfaire) Pour en revenir à Keepass, si on est capable de le maîtriser (synchro sur espace privé et sécurisé et utilisation d'un mdp maitre "costaud" notamment) je le recommande chaudement oui. **edit** Au passage, pour ce genre d'outil, je considère plus approprié d'avoir une approche de type synchronisation fichier comme le fait KeePass (d'autant plus qu'il gère cela de façon impeccable, supportant les mises à jours bidirectionnelles sans broncher et conservant un historique pour chaque enregistrement). Faire du client/serveur comme ça semble le cas pour Bitwarden (et d'autres) me semble du style à prendre un marteau pour écraser une mouche.
du coup, tu conseilles plutôt Keepass ?
En fait l'idéal serait un tuto :) tu as fait tout ca tout seul, ou tu as suivi un tuto? Si oui lequel? ce sera plus simple.
<blockquote>l'installation de Bitwarden m'a paru très simple avec Docker</blockquote>Je n'en doute pas (la difficulté de mise en oeuvre ne faisait pas partie de mes objections d'ailleurs). <blockquote>Pour les pré-requis, j'héberge le tout sur un petit serveur Kimsufi de OVH</blockquote>Toute la différence est là: sur mon petit NAS perso à CPU ARM, pour héberger une (ou plusieurs) base(s) Keepass le serveur SFTP natif suffit. Docker n'est bien entendu pas supporté et, même si c'était le cas, avec ses 512Mo, on est loin des 2GB (!) de RAM requis. Tout ça ne m'empêche d'être convaincu que le produit fonctionne bien avec une ergonomie bien pensée. Mais qu'on me permettre en même temps d'être attristé de constater qu'on sache de moins en mois coder en optimisant les ressources. En particulier ici pour un simple service sécurisé d'hébergement de mots de passe
Pour le coup, moi qui ne suis pas très doué pour faire de la maintenance serveur, l'installation de Bitwarden m'a paru très simple avec Docker. C'était l'affaire de trois lignes de commande. Pour les pré-requis, j'héberge le tout sur un petit serveur Kimsufi de OVH et j'ai pas eu de problème pour le moment.
Comme je l'ai écrit par ailleurs, auto-héberger sa base de mots de passe est bien entendu également possible (et trivial) avec Keepass (c'est d'ailleurs ce que je fais). Par contre, le faire avec une instance Bitwarden n'était dans mon cas pas une option vu les pré-requis mémoire/CPU/architecture (que je trouve par ailleurs un peu durs à avaler pour un simple gestionnaire de mot de passe). J'ai de plus souvent l'impression qu'on à oublié le principe <a href="https://fr.wikipedia.org/wiki/Principe_KISS">KISS</a>
Moi c'est un peu l'inverse, je n'avais pas envie de mettre mon coffre-fort keepass (même s'il est chiffré et protégé) sur un cloud US d'un grand groupe (OneDrive/Google Drive donc). C'est peut-être un peu irrationnel, mais je préfère Bitwarden et mon instance perso, installé sur un environnement que je contrôle.
<blockquote>l'installation de Bitwarden m'a paru très simple avec Docker</blockquote>Je n'en doute pas (la difficulté de mise en oeuvre ne faisait pas partie de mes objections d'ailleurs). <blockquote>Pour les pré-requis, j'héberge le tout sur un petit serveur Kimsufi de OVH</blockquote>Toute la différence est là: sur mon petit NAS perso à CPU Atom, pour héberger une (ou plusieurs) bases Keepass le serveur SFTP natif suffit. Docker n'est bien entendu pas supporté et, même si c'était le cas, avec ses 512Mo, on est loin des 2GB (!) de RAM requis. Tout ça ne m'empêche d'être convaincu que le produit fonctionne bien avec une ergonomie bien pensée. Mais qu'on me permettre en même temps d'être attristé de constater qu'on ne sache de moins en mois coder en optimisant les ressources. En particulier ici pour un simple service sécurisé d'hébergement de mots de passe
Comme je l'ai écrit par ailleurs, auto-héberger sa base de mots de passe est bien entendu également possible (et trivial) avec Keepass (c'est d'ailleurs ce que je fais). Par contre, le faire avec une instance Bitwarden n'était dans mon cas pas une option vu les pré-requis mémoire/CPU/architecture (que je trouve par ailleurs un peu durs à avaler pour un simple gestionnaire de mot de passe). J'ai de plus souvent l'impression qu'on à oublié le principe <a href="https://fr.wikipedia.org/wiki/Principe_KISS">KISS</a>
j’utilise Enpass, bitwarden est mieu?
Accessible comment ça ? La synchronisation du fichier crypté de KeePass sur tous les appareils ?
C'est plus moderne dans le design mais pour le reste je me demanderais presque s'ils n'ont pas repris le code de KeePass tant c'est similaire. Mais je comprends ton intérêt. Personnellement j'apprécie aussi forcément le design bitwarden mais je dois avouer avoir du mal à avoir complètement confiance en ce cloud. Or je n'ai aucun problème avec KeePass puisque c'est mon propre OneDrive et j'ai donc l'impression d'en être le master... La j'ai l'impression que les choses m'echappent
C'est vraiment une histoire de simplicité d'utilisation et d’ergonomie. C'est un vrai bonheur de seulement avoir à indiquer l'url de mon instance perso, mon login et mon mot de passe pour retrouver mon coffre-fort synchronisé. De plus, je passe régulièrement d'un OS mobile à l'autre, Android et iOS. Or le support de Keepass sur iOS est pas terrible, par exemple il n'y a aucun client adapté pour iOS 12 pour le moment (le client plébiscité n'a pas eu de mises à jour depuis de longs mois). Je ne suis également pas un fan des extensions pour les navigateurs de KeePassDX. BitWarden a une approche beaucoup plus moderne et ca se sent. Je ne dis pas que c'est la solution idéale pour tous le monde, mais je pense que Bitwarden est une alternative open source plus simple à adopter que KeePass pour un utilisateur d'un service propriétaire (LastPass, EnPass, etc.)
Pour KeePass ?
Oui enfin OneDrive ou autre, le fichier est crypté de toute façon. A part une suppression du fichier, il n'y a aucun risque (et ce risque est présent autant chez OneDrive que chez eux bitwarden...), et n'ayant pas de serveur le pbm est réglé. Elle apporte quoi la formule premium ?
Mais justement, en quoi tu es content. Certes KeePass est moche, mais ça va faire un an et j'en suis ravi. Qu'y-a-t-il de plus chez BitWarden qu'il n'y a pas chez KeePass ? Autre que le design ?
Utilisateur de Keepass de longue date (en stockage sur mon nas perso, accessible en SFTP) j'avais envisagé de tester bitwarden en mode auto hébergé. Mais les prérequis demandés pour ça on vite fait de me decourager: https://help.bitwarden.com/article/install-on-premise/#system-requirements
Je ne vois pas trop les avantages de bitwarden par rapport à keepass. Keepass est opensource. Il permet de stocker le fichier de mot de passe soit en local, soit en ligne. Il fonctionne sous Windows et Android. Il permet l'auto completion sous Windows et Android. Il accepte le plugin TOTP pour gérer la double authentification (avec complétion automatique) Il est scriptable pour s'accommoder de toutes les types de fenêtres de Login.
Pour tout :) rendre la base de données accessibles par exemple
Ça fonctionne sur Windows hein
Cool bitwarden pour une fois une bonne appli conseillé Open source et fiable
Tu rentres ton nom et un mot de passe maître. Et ensuite selon le nom "Facebook" que tu rentres ca va te générer des mdp pour Facebook. Test c'est gratuit et ca prend deux secondes et rien n'est stocké c'est uniquement algorithmes.
Du moment que les mdp vont dans le cloud, pour moi, c'est niet ! Pas confiance. Rien ne vaut le stockage en local.
Après avoir chercher pas mal de temps j'ai trouvé celui-ci, il y a maintenant pas mal de temps, j'en ai parlé autour de moi et je trouve ça cool que vous en parlez là !
Même chose ici, j'avais KeePassDX pendant quelques mois, mais je suis très content de mon passage à Bitwarden, que j'ai voulu partagé ici.
Keepass est recommandé par l'ANSSI et utilisé dans des boîtes qui font de la cybersecurite leur business. Tu peux y aller sans trop te poser de questions... Par contre en effet, ne synchronise pas en ligne si tu veux moins de risques.
L’auto-complétion est arrivée avec Android Oreo, mais a été grandement améliorée avec Android Pie.
Il y a un abonnement payant qui ajoute des fonctionnalités. On peut héberger une instance sur son propre serveur, si on souhaite pas utiliser ceux du développeur.
C'est pour ca qu'en stockant son instance Bitwarden sur son propre serveur, on prends pas trop de risque vis à vis de la NSA ;)
C'est mentionné dans l'article :)
Pour moi le problème vient plutôt de l'autofill Android natif qui est pourri... C'est pour ça que dashlane, bitwarden ou lastpass sont tous concernés
L'avantage c'est que tes mots de passe ne sont pas sur onedrive. Ça c'est la base. Tu peux les héberger chez eux gratuitement mais si tu cherches la sécurité tu peux héberger sur ton propre serveur. Le 2e point c'est l'ergonomie. Keepass c'est bien mais c'est juste hideux. Ça peut paraître surfait mais une belle interface c'est important pour moi... Le modèle économique c'est les dons et les soutiens des boîtes. C'est de l'Open Source, Comme keepass... Sinon il y a la formule premium payante aussi
Il y a des plugins pour tous les navigateurs et même des applis desktops. Tu peux pas vraiment demander mieux en fait https://blog.bitwarden.com/bitwarden-desktop-app-released-for-windows-macos-and-linux-37de846ea421
Moi c'est très aléatoire sur Chrome. A priori ne marche pas sur Firefox (retour que j'ai vu en commentaire sur un autre site). Je ne pense pas que ça vienne de bitwarden qui est vraiment au top. Je pense que ça vient de l'autocompletion native d'Android qui est un peu moisie. Sinon en utilisant les services d'accessibilité ça marche très bien.
Dans les navigateurs seulement depuis pie (en natif)
Et ça fonctionne bien l'autofill dans toutes tes appli android ? Firefox notamment ?
L'autocomplétion marche depuis Oreo, pas besoin de Pie. Perso, c'est Keepass (avec l'appli sur F-droid), et synchronisé sur tous mes devices ; ma base est sur OneDrive, et ça marche sur W10 comme sur Android.
Rien ne vaut un coffre-fort de mots de passe en local avec le fichier des mots de passe en local. Désolé si ça ne fait pas XXIème siècle parce qu'il n'y a pas de cloud dans la boucle. Mais on a la main sur nos mdp et pour moi ce sera toujours infiniment plus sécurisé que toutes ces solutions cloud. On va bien se marrer le jour où les Lastpass, Bitwarden et autres Dashlane se feront enfin cracker (parce que ça arrivera fatalement un jour), ou bien si on apprend que certains d'entre eux ont des backdoors pour la NSA (ou autres services équivalents). On ne modifie pas tous les jours ou presque ses mdp donc la synchro n'est pas tellement une corvée. De plus, les applications en local pour notre coffre-fort peuvent avoir une bonne ergonomie.
Keepass
Après avoir utilisé keepass depuis 5ans, je suis passé sur bitwarden il y a un mois. L'expérience utilisateur est génial, multi device, multi OS, synchronisation, et le design sobre et efficace. Bref c'est mon outil du quotidien. J'ai pris la version payante pour soutenir l'initiative open source.
Tu pourrais m'expliquer un peu plus en détail stp ? J'avais essayé l'année dernière de configurer un truc comme toi avec one drive ou Google drive, mais au niveau d'android, ca bloquait. Et le fichier base de données était non accessible depuis one drive. Merci
Heu il y a encore Windows 10 dans la vie tout de même : donc moi j'aimerai bien une appli qui fonctionne aussi sur mon ordi.
Pour moi le problème vient plutôt de l'autofill Android natif qui est pourri... C'est pour ça que dashlane, bitwarden ou lastpass sont tous concernés
Comment fonctionne-t-il alors ?
Tu saurais dire lequel est le mieux alors ? J'utilise KeePass, sans problème depuis 1 an, avec un stockage cloud. Ca vaut le coup de changer pour BitWarden ? (un peu plus automatique ou pas ?)
J'utilise personnellement KeePass, avec le fichier principal sur mon OneDrive, synchronisé entre tous mes appareils. Donc le fichier se met à jour automatiquement partout quel que soit l'appareil utilisé pour ajouter ou modifier un mot de passe. Quel est donc l'avantage en plus de BitWarden ? Et le modèle économique est-il vraiment soucieux de notre vie privée ?
Mais ils sont cryptés, donc si tu veux, tu peux te faire chopper ton cloud, le gars va se retrouver avec un fichier qu'il ne pourra pas ouvrir. Sauf si tu mets 1234 comme mot maître, mais dans ce cas, un gestionnaire de mot de passe ne sert pas à grand chose...
[…] Article de carlchenet […]
Parlez plutôt de Master Password. Aucun stockage sur des serveurs où je sais pas quoi.
Lastpass sur oxygène os est aussi aléatoire.
Vous ne parlez même pas de l'entreprise américaine qui édite ce logiciel : 8bit Solutions. "dans le cloud" -> donc on utilise leurs serveurs gratuitement ? Quel est le modèle économique de cette entreprise si on ne paye rien ?
Sur ce genre de Vault, tous tes mots de passes sont chiffrés avec un mot de passe Maître que seul toi connait. Les données peuvent bien fuiter autant qu'elles veulent, elles sont entièrement chiffrées et seul toi peu les déchiffrer. Donc vault en ligne (Bitwarden) ou vault local (Keepass), la différence principale réside surtout dans la force de ton mot de passe Maître ! Que ce soit vault local ou en ligne, je déconseille par contre d'activer le remplissage automatique sur les extensions, ça par contre ça peut être source de faille exploitable (ça l'a déjà été avec Lastpass).
Du coup, quelle est la plus value d'un service comme Dashlane (que je paye cher)? Surtout qu'avec le Mate 9, le remplissage automatique des champs est plus aléatoire qu'autre chose. On peut même dire que ça ne marche pas, mais j'ai bien l'impression que c'est EMUI qui retire systématiquement les autorisations à Dashlane...
Probablement pratique mais, comme on nous le dit souvent il ne faut jamais confier ses mots de passe ; et encore moins sur un cloud piratable... Regardez les millions de comptes Facebook 😆
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix