[TU] Bitwarden : le coffre fort de mots de passe à héberger soi-même

Bitwarden : le coffre fort de mots de passe à héberger soi-même [TU] - Sécurité - Windows & Software

Marsh Posté le 16-11-2023 à 11:30:17    

https://upload.wikimedia.org/wikipedia/commons/thumb/c/cc/Bitwarden_logo.svg/512px-Bitwarden_logo.svg.png

 


Bienvenue sur le Topic Unique consacré à Bitwarden !

  

INTRODUCTION

 

Pourquoi utiliser un gestionnaire de mots de passe ?
Dans un monde ultra-connecté, il est nécessaire de sécuriser l'accès à tous les services que l'on va utiliser.
Pour éviter tout risques de vol de données, d'accès non désiré, etc... il faut des mots de passe complexes, différents pour chaque accès ou besoin.
Il devient donc indispensable d'avoir un endroit où les stocker et les gérer quand notre seule mémoire ne suffit plus.

 

Bitwarden
Lancé en 2016, Bitwarden est un ensemble de solutions tournant autour du stockage et de la gestion des mots de passes et des secrets.
Open source par nature, le code de Bitwarden présente l'avantage d'être disponible et audité régulièrement.
En plus de la solution en ligne, il est aussi possible de l'héberger soi-même pour maitriser où sont stockées les données.
Avec l'explosion des solutions d'authentification (mots de passe, FIDO, TOTP, Passkeys, etc... ), avoir une solution permettant de tout gérer peut être intéressant.

 

Pour le moment, Bitwarden propose 4 solutions :

  • Bitwarden Password Manager : Le coffre fort de mots de passes, codes TOTP, passkeys, etc ... (concurrent à LastPass, Dashlane, 1Password, ...)
  • Bitwarden Authenticator : Une application mobile gratuite indépendante pour gérer ses codes MFA TOTP (concurrent à Authy, Google Authenticator, etc...)
  • Bitwarden Secrets Manager : Le gestionnaire de secrets pour les environnements applicatifs sécurisé (concurrent à Hashicorp Vault, Azure Keyvault, ...)
  • Bitwarden Passwordless.dev : La solution passwordless basée sur la norme FIDO2 WebAuthn comme les KeyPass, intégrable dans les développements d'applications ou de sites web.
 

Liens utiles

 


https://rehost.diberie.com/Picture/Get/r/300753
BITWARDEN PASSWORD MANAGER

 

C'est l'application principale originelle de Bitwarden lancée en 2016 : le gestionnaire centralisé de mots de passes.

 

Dernières versions
https://img.shields.io/badge/dynamic/json?url=https%3A%2F%2Fapi.github.com%2Frepos%2Fbitwarden%2Fserver%2Freleases&query=%24.0.tag_name&label=Server
https://img.shields.io/badge/dynamic/json?url=https%3A%2F%2Fapi.github.com%2Frepos%2Fbitwarden%2Fclients%2Freleases&query=%24.0.tag_name&label=Clients
https://img.shields.io/badge/dynamic/json?url=https%3A%2F%2Fapi.github.com%2Frepos%2Fbitwarden%2Fios%2Freleases&query=%24.0.tag_name&label=Mobile%20iOS
https://img.shields.io/badge/dynamic/json?url=https%3A%2F%2Fapi.github.com%2Frepos%2Fbitwarden%2Fandroid%2Freleases&query=%24.0.tag_name&label=Mobile%20Android

 

Fonctionnalités

 
  • Gestion des logins, identités, cartes bleues, notes sécurisées
  • Stockage centralisé et chiffré de bout en bout (principe du Zero-knowledge : Bitwarden n'a pas accès à nos données)
  • Générateur de mots de passe
  • Auto-complétion des formulaires de login (détection des URL et des champs)
  • Import/Export sécurisé, notamment depuis les autres coffres forts (Keepass, LastPass, 1Password, etc ....)
  • Auto hébergement possible de la partie serveur
  • Gestion des codes TOTP*
  • Stockage des Passkeys
  • Support du MFA (biométrie, FIDO2, Yubikey*, ...)
  • Envoi de texte/fichiers*
  • Partage des secrets entre utilisateurs*

* Fonctionnalités payantes

 

Tarifs

 

Les fonctionnalités de base sont gratuites, mais il existe plusieurs formules premium payantes ajoutant des fonctionnalités plus avancées.
Comparaison des offres et tarifs
https://rehost.diberie.com/Picture/Get/r/223953

 

Composants

 

Existant en ligne (https://vault.bitwarden.com/) ou à héberger soi même, elle se compose :

  • d'une partie serveur pour la centralisation de l'hébergement des données.
  • de différents clients permettant d'accéder aux mots de passe


Il existe aujourd'hui une multitude de clients officiels (https://bitwarden.com/download/) :
Clients lourds
- Windows 10/11 (Windows Store ou Chocolatety)
- MacOS 10.14+ (App Store ou Brew)
- Linux (AppImage, deb ou rpm)

 

Clients mobile
- iOS : https://itunes.apple.com/app/bitwar [...] 97744?mt=8
- Android : https://play.google.com/store/apps/ [...] .bitwarden
- F-Droid

 

Extensions navigateurs
- Chrome
- Edge
- Firefox
- Safari
- Vivaldi
- Opera
- Brave
- TorBrowser

 

Autres
- une interface web
- une interface en ligne de commandes CLI

 

Auto héberger Bitwarden

 

Pour ceux qui n'ont pas confiance à confier leur mots de passes, il est tout à fait possible d'héberger soi-même Bitwarden pour garder la main sur ses données.

 

Pré-requis

 


+-----------+-------------+---------------------+
|     .     |   Minimum   |     Recommended     |
+===========+=============+=====================+
| Processor | x64, 1.4GHz | x64, 2GHz dual core |
| Memory    | 2GB RAM     | 4GB RAM             |
| Storage   | 12GB        | 25GB                |
+-----------+-------------+---------------------+

 

https://upload.wikimedia.org/wikipedia/commons/thumb/4/4e/Docker_%28container_engine%29_logo.svg/320px-Docker_%28container_engine%29_logo.svg.png
Bitwarden fonctionne sous la forme de conteneurs Docker.
L'installation a besoin de Docker Engine 19+ et docker-compose 1.24+, ou d'un cluster Kubernetes.

 

Il faut aussi nécessairement récupérer l'Installation ID (unique par instance) via https://bitwarden.com/host/ qui sera nécessaire lors de la configuration.

 

L'installation

 

Il est possible d'installer Bitwarden sur Linux, Windows Server ou Kubernetes.
La documentation complète est disponible ici :
- Linux : https://bitwarden.com/help/install-on-premise-linux/
- Windows Server : https://bitwarden.com/help/install-on-premise-windows/
- Kubernetes (via Helm) : https://bitwarden.com/help/self-host-with-helm/

 

Alternative non officielle

 

Vaultwarden est une réécriture non officielle de l'API serveur de Bitwarden en Rust, compatible avec les clients officiels.
Sources : https://github.com/dani-garcia/vaultwarden

  

https://rehost.diberie.com/Picture/Get/f/274415
BITWARDEN AUTHENTICATOR

 

https://rehost.diberie.com/Picture/Get/r/308431

 

Bitwarden a lancé une nouvelle application mobile indépendante pour gérer ses codes MFA TOTP (détails).
Cette application est gratuite et ne nécessite pas un compte ni un abonnement Bitwarden (C'est un équivalent à Authy, Google Authenticator, etc...).

 

L'annonce officielle ici : https://bitwarden.com/blog/bitwarde [...] -to-users/

 

Dernières versions
https://img.shields.io/badge/dynamic/json?url=https%3A%2F%2Fapi.github.com%2Frepos%2Fbitwarden%2Fauthenticator-ios%2Freleases&query=%24.0.tag_name&label=Authenticator%20iOS
https://img.shields.io/badge/dynamic/json?url=https%3A%2F%2Fapi.github.com%2Frepos%2Fbitwarden%2Fauthenticator-android%2Freleases&query=%24.0.tag_name&label=Authenticator%20Android

 

Clients mobile
- iOS : https://apps.apple.com/us/app/bitwa [...] 6497335175
- Android : https://play.google.com/store/apps/ [...] henticator

  

https://rehost.diberie.com/Picture/Get/f/223986
BITWARDEN SECRET MANAGER

 

Bitwarden Secret Manager est un nouveau produit lancé en août 2023 permettant la gestion des secrets de type clé/valeur comme les clés API, de la configuration, des chaînes de connexion, des variables d'environnement, etc ... comparable à Hashicorp Vault par exemple.
C'est très facilement à intégrer dans les pipelines d'automatisation pour éviter d'avoir les mots de passe en clair.

 

Fonctionnalités

 
  • Gestion des secrets via un portail web
  • Accès par CLI ou API avec un token d'accès
  • Intégrable via un SDK
  • Auto hébergement possible de la partie serveur (uniquement pour les clients Enterprise Organizations)
  • Intégration à GitHub Actions et Gitlab CI/CD


Tarif

 

https://rehost.diberie.com/Picture/Get/r/223990

 

- Teams : 6 US$ / utilisateur / mois
- Enterprise : 12 US$ / utilisateur / mois
 
Auto héberger Bitwarden Secret Manager

 

Bitwarden Secret Manager ne peut être auto-hébergé que par les clients de l'offre Enterprise Organizations hébergeant déjà Bitwarden Password Manager.
Le service s'active en mettant à jour le fichier de licence sur son instance : https://bitwarden.com/help/secrets- [...] ts-manager

  

https://mms.businesswire.com/media/20230118005341/en/1688885/4/passwordlessdevlogo.jpg
BITWARDEN PASSWORDLESS.DEV

 

Passwordless.dev est un toolkit open source pour les développeurs afin d'intégrer la norme des Passkeys FIDO2 WebAuthn pour l'authentification sur son application ou son site web.

 

https://rehost.diberie.com/Picture/Get/r/223994
Lien vers la documentation : https://docs.passwordless.dev/guide/

 

Dernières versions
https://img.shields.io/badge/dynamic/json?url=https%3A%2F%2Fapi.github.com%2Frepos%2Fbitwarden%2Fpasswordless-server%2Freleases&query=%24.0.tag_name&label=Passwordless%20Server
https://img.shields.io/badge/dynamic/json?url=https%3A%2F%2Fapi.github.com%2Frepos%2Fbitwarden%2Fpasswordless-nodejs%2Freleases&query=%24.0.tag_name&label=Passwordless%20NodeJS

 

Composants

 

Le toolkit se compose :

  • d'une librairie javascript
  • d'APIs (publique et privée)


Tarif

 

https://rehost.diberie.com/Picture/Get/r/223993


Message édité par nex84 le 20-08-2024 à 15:39:13

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 16-11-2023 à 11:30:17   

Reply

Marsh Posté le 16-11-2023 à 11:33:52    

Réservé


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 16-11-2023 à 11:34:00    

Réservé


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 16-11-2023 à 11:52:30    

Réservé


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 16-11-2023 à 13:20:31    

[:kimonox:6]

Reply

Marsh Posté le 16-11-2023 à 13:33:36    

Citation :

Il existe aujourd'hui une multitude de clients officiels (https://bitwarden.com/download/) :


Le lien n’a pas été formaté. N’oublie pas de bien mettre chaque lien sous balise [URL] https://forum-images.hardware.fr/icones/message/url.gif.

Reply

Marsh Posté le 16-11-2023 à 14:18:41    

Trit' a écrit :

Citation :

Il existe aujourd'hui une multitude de clients officiels (https://bitwarden.com/download/) :


Le lien n’a pas été formaté. N’oublie pas de bien mettre chaque lien sous balise [URL] https://forum-images.hardware.fr/icones/message/url.gif.


C'est corrigé  :jap:


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 22-12-2023 à 18:09:57    

Nouveauté la plus intéressante de ce mois de décembre : la possibilité d'auto-héberger Bitwarden sur Kubernetes via Helm (enfin !) :
https://bitwarden.com/help/self-host-with-helm/
 
Il reste possible de déployer en utilisant docker-compose comme avant.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 18-01-2024 à 08:53:37    

Nouveauté de janvier :
- la possibilité d'accéder à son coffre fort en utilisant une PassKey (Beta).
https://bitwarden.com/help/login-with-passkeys


Message édité par nex84 le 18-01-2024 à 08:55:43

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 20-01-2024 à 13:05:26    

drapal, j'utilise le service en ligne

Reply

Marsh Posté le 20-01-2024 à 13:05:26   

Reply

Marsh Posté le 26-01-2024 à 20:55:07    

Première tentative d'installation sur un cluster Kubernetes ...ratée.
Mais c'est à cause de mon EKS qui était mal configuré (problème de création des volumes via le driver EFS).
Pour le reste ça a pas l'air insurmontable.

 

A réessayer quand j'aurais du temps.


Message édité par nex84 le 26-01-2024 à 20:56:18

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 17-02-2024 à 22:46:51    

Je@nb a écrit :

drapal, j'utilise le service en ligne


moi aussi je viens juste de migrer de lastpass au service en ligne bitwarden (trop facile d exporter et importer les mdp ... j ai fait le pas car j ai achete un ipad mini et je ne voulais pas payer pour lastpass ... sur android j'utilisais l extension lastpass dans kiwi browser) ...  
... y a t il des gros problemes connus à utiliser le service en ligne proposé par bitwarden plutot qu un serveur "self hosté" ?

Reply

Marsh Posté le 19-02-2024 à 08:30:10    

Pas de problèmes connus, c'est l'avantage d'être audité régulièrement.
 
La différence se situe plus sur le fait d'avoir confiance dans le service tiers.
Malgré son fonctionnement en mode zero knowledge encryption (en très simplifié : les données stockées sont chiffrées avec une clé que Bitwarden ne peut pas connaitre), on n'est jamais à l'abri d'une vulnérabilité en amont  ou une fuite de données (phishing, brute force sur des données volées, etc ...)
Tout ça c'est valable pour tous les coffres forts de mot de passe.
 
L'avantage d'héberger soi-même Bitwarden, c'est que tu es le seul (normalement) à avoir accès aussi bien aux coffre en lui même qu'aux clients qui vont y accéder.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 08-04-2024 à 11:20:20    

Petit récap des dernières nouveautés :

 


PASSWORD MANAGER
2024.2.0
    - La possibilité via les extensions navigateurs de scanner directement les QRCodes pour le MFA TOTP (détails)
    - L'augmentation des limites en terme d'objets importables dans Bitwarden, notamment quand on migre depuis une autre solution (LastPass, 1Password, ...)  (détails)
2024.2.3
    - Le re-design plus moderne de l'interface web  :sol:
    - La nouvelle interface de login Duo 2FA (détails)
    - [auto-hébergement] (Beta) La possibilité de s'authentifier à son coffre en utilisant une PassKey (détails)
2024.3.0
    - [auto-hébergement] Plus de logs à l'installation et possibilité de générer via le script d'admin une archive compressée des logs pour envoi au support.
2024.3.1
    - Pleins de nouvelle langues
    - La possibilité d'activer/désactiver l’accélération matérielle dans les applications de bureau.

 

SECRET MANAGER
2024.2.2
    - Intégration Ansible via une Ansible Collection pour récupérer automatiquement les secrets dans ses playbooks (détails).


Message édité par nex84 le 08-04-2024 à 11:25:35

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 17-04-2024 à 15:57:52    

petit retour d'XP sur bitwarden que j'utilise en compte premium depuis novembre 2023.
 
J'ai acheté récemment une clé titan ( modèle K52T ) et j'ai voulu protéger mon compte bitwarden en 2FA avec cette clé.
 
Suite à une erreur de ma part, mais une faiblesse de leur côté, je pense que mon compte est définitivement bloqué. Je le prends pour moi, car je n'ai pas eu le réflexe de prendre les codes de récupération avant d'activer le 2FA ( chose que je fais tout le temps ailleurs ) , mon excuse est que j'ai pu activer le 2FA sans avoir une question explicite de me donner au préalable un code de récupération. Bref ...
 
Voici ce qui s'est passé : j'ai recu ma clé la semaine dernière et je l'ai attachée à mon google account. Ca marche parfaitement bien. Je l'ai aussi ajouté à mon gitlab a titre de test, ca marche parfaitement bien aussi.  
 
J'ai donc activé naivement la partie 2FA chez bitwarden. J'ai du prendre l'option webauthn pour enregistrer ma clé, ca m'a demandé un nom de clé, puis il a détecté la clé, j'ai du poser mon doigt sur le capteur d'empreinte ( comme pour google account et gitlab)  et ca a enregistré ma clé, je la voyais bien dans la liste , première des 5 clés possibles en webauthn.
 
J'ai donc voulu tester la 2FA , je me deloggue, je me reloggue, login, password, ensuite j'ai la jolie fenêtre chrome qui me demande de choisir la méthode 2FA : je choisis clé , ca me demande d'insérer ma clé , et là ... ca me demande de réinsérer la clé ... bref en boucle, impossible de me logguer.
 
Je contacte le support ( qui répond assez vite mais que le soir ) , et rapidement, je comprends que je vais avoir quelques soucis, car ils me posent surtout des questions. A un moment donné, ils me parlent de yubikey et de code pin et de key manager, je réponds que c'est une titan key et qu'il y a rien de tout ca.
 
Bref, en fouillant un peu sur le net ( apparemment les titan key c est un peu plus pourri que yubikey, j aurais du prendre ca ), dans mes recherches, je trouve un logiciel FIDO2 manager, qui me permet d'interroger un peu la clé, et à force de chercher, je me retrouve à devoir configurer un code pin ( chose qui ne m'a jamais été demandé avant, ni google account, ni gitlab ), le code pin est maintenant configuré, mais au passage, le FIDO2 manager me renvoie quand même une erreur comme quoi il ne peut pas lire la clé ...  
 
Au final, je crée un second compte bitwarden à titre de test, et je refais la même procédure pour voir là où j'ai merdé. Et là ... il me demande un code PIN , alors que ca ne me l'avait pas demandé la première fois. J'enregistre tout , et paf, ce nouveau compte test marche parfaitement bien en 2FA. Tout ca parce que j'ai configuré un code PIN sur la clé via un outil non officiel, alors que rien d'officiel ne me l'a proposé.
 
Je tente de me reconnecter à mon vrai compte au cas où mais rien à faire , ca ne marche pas sur celui là, alors que le second oui.
 
J'ai réessayé après coup google account et gitlab après configuration du code pin, ca fonctionne toujours, pas d'impact donc.
 
Au final, on verra ce que répondra le support bitwarden mais j'ai bien peur qu'ils me disent qu'ils ne peuvent rien faire car c'est clairement écrit que si tu perds ton 2FA, faut utiliser les codes de récup, et que si t'as pas, bitwarden ne peut rien faire ( ce qui est quelque part "secure" ). Par contre, j'ai techniquement pas perdu mon 2FA, c'est leur procédure d'enregistrement qui est bugguée. Pourquoi un comportement différent entre bitwarden et gitlab , là où je n'ai pas eu besoin de configurer un pin code pour ce dernier.
 
 
Par chance, et chose très bizarre, j'ai toujours accès à mon compte bitwarden via l'app android, qui n'a pas de 2FA ( c'est pas possible, au début je voulais même attacher ma clé plutot sur l'app android) ,le seul truc que j'ai c'est le déblocage par biométrie ( empreinte et/ou visage ). J'ai donc toujours accès à mes password, j'ai tout exporté d'ailleurs dès que j'ai pu, et j'ai l'impression que malgré tout , via l'app, je peux toujours enregistrer des entrées dans la base, malgré la 2FA via clé avec le webportal. Et évidemment , impossible de reconfigurer le compte via l'app pour retirer la 2FA ou autre, l'unique option ouvre le navigateur chrome et on retombe dans le process normal qui ne marche pas.
 
 
Conclusion pour ceux qui ne veulent pas tout lire :
 - toujours avoir des codes de recup  
 - optionnellement, avoir une seconde méthode 2FA ( mais pour moi, ca invalide le coté sécure de la clé )  
 - et pour bitwarden en particulier, et surtout avec des google titan key, il faut configurer le code PIN au préalable au risque de bloquer le compte, en considérant qu'il n'existe pas d'outil officiel fourni par google permettant de configurer ce code pin ( ni de faire du key management ).
 
 
Je vais au pire tenter de négocier de basculer mon compte premium sur le nouveau compte bitwarden, mais je perds quand même mon adresse mail.
 
pfff...

Reply

Marsh Posté le 17-04-2024 à 17:34:14    

Pour moi ton souci vient du fait que le modèle de clé que tu as choisis a effectivement l'air de pas être très bien documentée...

 

Je prends l'exemple de Yubico parce c'est ce que je connais (j'en ai 2) :
Les clés de sécurité Yubico compatible FIDO2 WebAuthn ont toute un PIN par défaut (123456 : https://support.yubico.com/hc/en-us [...] biKey-PINs ) qui peut doit être changé/customisé.

 

Ensuite pour la partie coté Bitwarden, le standard FIDO2 WebAuthn n'indique pas quelle marque/type de clé tu vas utiliser et donc il ne peut pas savoir s'il doit attendre un PIN, une empreinte de doigt, etc ... pour valider l'authentification de la clé.
C'est dans la doc de ta clé Titan que doivent se trouver ces informations.

 

Concernant ton coffre sur ton smartphone, c'est normal qu'il soit toujours accessible car il fonctionne en cache local.
Par contre dès que son authentification à ton coffre va expirer, tu seras bloqué de la même manière !

 

Ce qui est sûr, c'est qu'il faut TOUJOURS sauvegarder ses codes de récupération, seuls moyens de déverrouiller un MFA qu'on aurait perdu.

 

D'ailleurs, c'est pour ça que je parle de MFA et pas de 2FA.
Il vaut mieux multiplier les facteurs possibles d'authentification, en faisant bien attention au choix de ces facteurs :
- ce que je connais : le mot de passe maître
- ce que je possède : une passkey / token physique (Yubico, SecureID,...) et les codes TOTP / appli authenticator qui sont un peu moins sécurisés car "logiciels".
- ce que je suis : une empreinte / détection de visage / biométrie

 

Avoir d'autres méthodes n'invalide pas la sécurité de la première : par contre c'est le facteur le plus "faible" qui détermine ton niveau de sécurité global.
C'est notamment pour ça qu'on conseille d'avoir plusieurs clés de sécurité : c'est pour ça que j'ai 2 yubico différentes, l'une étant un backup de l'autre tout en gardant le même niveau de sécurité.

 

En tout cas, je pense que le support va te proposer de virer ton ancien compte et de le recréer, puis réimporter tes données que tu as heureusement sauvegardé.
Si tu as changé le PIN, à moins éventuellement de remettre celui par défaut (et encore...), tu n'auras pas de moyens d'utiliser la clé comme ça.

 

Petite question au passage : tu utilises le coffre en ligne ou une instance auto-hébergée ?
Si tu héberges ta propre instance, il suffit de restaurer la dernière sauvegarde avant que tu ais activé cette clé.

Message cité 2 fois
Message édité par nex84 le 17-04-2024 à 17:46:53

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 17-04-2024 à 18:38:10    

C'est le coffre en ligne malheureusement.

 

Le coup des multi clé, c'est une bonne idée, leur je vais peut être partir sur du yubico plutôt, je suis un peu déçu du produit Google pour le coup.

Reply

Marsh Posté le 19-04-2024 à 15:18:13    

nex84 a écrit :

Pour moi ton souci vient du fait que le modèle de clé que tu as choisis a effectivement l'air de pas être très bien documentée...
 
Je prends l'exemple de Yubico parce c'est ce que je connais (j'en ai 2) :
Les clés de sécurité Yubico compatible FIDO2 WebAuthn ont toute un PIN par défaut (123456 : https://support.yubico.com/hc/en-us [...] biKey-PINs ) qui peut doit être changé/customisé.
 
Ensuite pour la partie coté Bitwarden, le standard FIDO2 WebAuthn n'indique pas quelle marque/type de clé tu vas utiliser et donc il ne peut pas savoir s'il doit attendre un PIN, une empreinte de doigt, etc ... pour valider l'authentification de la clé.
C'est dans la doc de ta clé Titan que doivent se trouver ces informations.
 
Concernant ton coffre sur ton smartphone, c'est normal qu'il soit toujours accessible car il fonctionne en cache local.
Par contre dès que son authentification à ton coffre va expirer, tu seras bloqué de la même manière !
 
Ce qui est sûr, c'est qu'il faut TOUJOURS sauvegarder ses codes de récupération, seuls moyens de déverrouiller un MFA qu'on aurait perdu.
 
D'ailleurs, c'est pour ça que je parle de MFA et pas de 2FA.
Il vaut mieux multiplier les facteurs possibles d'authentification, en faisant bien attention au choix de ces facteurs :
- ce que je connais : le mot de passe maître  
- ce que je possède : une passkey / token physique (Yubico, SecureID,...) et les codes TOTP / appli authenticator qui sont un peu moins sécurisés car "logiciels".
- ce que je suis : une empreinte / détection de visage / biométrie
 
Avoir d'autres méthodes n'invalide pas la sécurité de la première : par contre c'est le facteur le plus "faible" qui détermine ton niveau de sécurité global.
C'est notamment pour ça qu'on conseille d'avoir plusieurs clés de sécurité : c'est pour ça que j'ai 2 yubico différentes, l'une étant un backup de l'autre tout en gardant le même niveau de sécurité.
 
En tout cas, je pense que le support va te proposer de virer ton ancien compte et de le recréer, puis réimporter tes données que tu as heureusement sauvegardé.
Si tu as changé le PIN, à moins éventuellement de remettre celui par défaut (et encore...), tu n'auras pas de moyens d'utiliser la clé comme ça.
 
Petite question au passage : tu utilises le coffre en ligne ou une instance auto-hébergée ?
Si tu héberges ta propre instance, il suffit de restaurer la dernière sauvegarde avant que tu ais activé cette clé.


 
J'avais répondu un peu vite.
 
J'ai fouillé la doc de la clé google titan... enfin fouillé, y a pas de doc. La doc papier dans la boite renvoie vers une page web, et cette page web n'explique en rien qu'il faut mettre un code PIN.
 
Après, ce que je ne m'explique pas, c'est que la clé marche sans besoin de ce code pin avec gitlab. Et avec google account j'ai eu encore un autre comportement :
 - j'ouvre une fenetre privée, je tape l'adresse mail de mon compte protégé avec la clé titan ( sur  laquelle j'ai configuré un code PIN depuis, via l'outil pas officiel )
 - je m'attends à saisir le mot de passe du compte avant de passer à l'étape de la clé, mais non, il me demande directement la clé, et il demande par la même occasion le code pin ( chose qu'il n'avait jamais faite avant que je configure le code pin )
 - je tape le code pin, et là, ca échoue, avec un message "clé pas familière" . Trop bizarre quoi
 - en fouillant un peu dans les différentes options de login et les alternatives , je finis par arriver à saisir le mot de passe de mon compte, et à ce moment, il me repropose un peu différemment d'insérer ma clé pour la partie 2FA, et là, il ne me demande pas le pin, et il arrive à lire correctement la clé, et ainsi rentrer dans le compte
 
Bref, c'est quand même de mon point de vue un comportement erratique et pas du tout robuste. Un comble pour une clé de protection. En tout cas, je pense me diriger plutôt vers des clés yubico, c'était de toutes façons un essai.
 
Pour revenir à bitwarden ( car c'est le sujet principal ), je suis toujours en discussion avec le support, ils posent beaucoup de questions ... mais ca avance pas super vite. Je pense que je vais perdre mon compte principal, mais comme j'ai un dump de mes mots de passe, ce n'est pas si grave, ils ont l'air ok pour rebasculer mon compte premium sur le nouveau compte.
 
A noter que j'ai eu un pb supplémentaire hier en refaisant des essais, j'ai eu un message "abnormal network traffic , code error 7 " pour me connecter ( y compris sur le nouveau compte qui marche ) , le support m'a justement posé un certain nombre de questions suite à ca  car je le leur ai dit également, à mon avis, c'est pour investiguer de leur côté et comprendre ce qui a pu se passer.

Reply

Marsh Posté le 23-04-2024 à 08:45:31    

J'espère que ça va avancer avec le support.
Ils ont toujours été assez réactifs pour moi, pour des questions techniques ou de licence.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 23-04-2024 à 10:23:03    

nex84 a écrit :

J'espère que ça va avancer avec le support.
Ils ont toujours été assez réactifs pour moi, pour des questions techniques ou de licence.


 
Ca a été réglé juste aujourd'hui justement. On n'a pas eu d'autre choix que d importer l'export que j'avais pu faire sur un nouveau compte, delete l ancien, changer l'email du nouveau, et reporter le compte premium sur le nouveau compte.
 
J'ai bien évidemment généré les codes de récup sur le nouveau compte, et je vais associer une seconde clé comme suggéré ci-dessus, je vais je pense acheter une yubikey.
 
En attendant, cet épisode m'a fait découvrir le plugin chrome bitwarden, c'est ultra pratique ( je n'utilisais bitwarden que sur mobile jusqu'alors ).

Reply

Marsh Posté le 06-05-2024 à 21:00:25    

Bon apparemment ils ont qq problèmes avec le service, impossible de se loguer et ça rale sur twitter :D

Reply

Marsh Posté le 07-05-2024 à 10:33:52    

Il y a aussi un souci au niveau de la dernière mise à jour sur les instances auto-hébergées : https://github.com/bitwarden/server/issues/4059
C'est chiant vu que généralement les mises à jour sont schédulées automatiqument en crontab...
Seul workaround pour l'instant est de rollbacker vers la version 2024.4.1 et désactiver les mises à jours en attendant un correctif.

 

Je ne sais pas si ils ont eu le même souci sur leur coffre online, vu qu'ils son bien en version 2024.4.2 sur leur portail.


Message édité par nex84 le 07-05-2024 à 12:03:59

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 07-05-2024 à 11:49:29    

Petit récap des dernières nouveautés :

 

PASSWORD MANAGER
2024.4.1
    - La possibilité de supprimer les Passkeys d'une entrée depuis l'interface web (détails).
2024.4.2
    - La possibilité de sauvegarder les Passkeys depuis les applications mobiles. Disponible pour iOS et en beta pour Android (détails).
    - La possibilité de supprimer les Passkeys d'une entrée depuis les extensions navigateurs et les applications de bureau (détails).

 

SECRET MANAGER
2024.4.1
    - Le renommage des "Service accounts"/"Comptes de service" --> "Machine accounts"/"Comptes machine".
2024.4.2
    - Une meilleure intégration du Secret Manager dans l'interface web en accès rapide.
    - L'arrivée du Secrets Manager CLI en tant qu'image Docker (détails).

 

BITWARDEN AUTHENTICATOR [:naborabanne]
Bitwarden a lancé une nouvelle application mobile indépendante pour gérer ses codes MFA TOTP (détails).
Cette application est gratuite et ne nécessite pas un compte ni un abonnement Bitwarden (C'est un équivalent à Authy, Google Authenticator, etc...).

 


Message édité par nex84 le 07-05-2024 à 11:49:47

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 15-07-2024 à 12:19:47    

Les nouveautés avant les vacances :

 

PASSWORD MANAGER
2024.5.0
    - La possibilité de cloner dans son propre coffre un item partagé d'une organisation.
    - Début de la migration des extensions navigateurs vers le Manifest V3. C'est fait progressivement en commençant par ~1% des utilisateurs, et en augmentant durant le mois de mai.
    - [:tigrou] Auto-hébergement : La nouvelle gestion des droits sur les collections arrive pour les instances auto-hébergées (détails).
2024.6.0
    - La possibilité de sécuriser l'utilisation des PassKeys via les extensions navigateurs avec un facteur supplémentaire (mot de passe, PIN, ...) (détails).
    - Nouveaux écrans "Getting Started" pour faciliter la compréhension du fonctionnement de Bitwarden pour les nouveaux utilisateurs.
    - Réorganisation des paramètres des extensions navigateurs.
    - Compatibilité complète avec les fenêtres de navigation privées de Firefox (détails).
    - Les extensions navigateurs et les applications de bureau peuvent désormais exporter les données en les protégeant avec mot de passe (détails).

 

2024.6.1
    - Évolution de la gestion des permissions sur les Collections.

 

2024.6.3
    - Les admins peuvent maintenant approuver en masse les demandes de connexion SSO avec un appareil validé via le portail ou le CLI.
    - Migration des utilisateurs vers les nouvelles clés de chiffrement plus modernes (réauthentification nécessaire) (détails).
    - [:tigrou] Auto-hébergement : La nouvelle options de gestion des collections arrive pour les instances auto-hébergées (détails).

 

SECRET MANAGER
2024.6.0
    - Nouvelle version d'essai de 7 jours (détails).
    - Nouveau Secrets Manager Kubernetes Operator (beta) pour intégrer les secrets de Bitwarden Secret Manager directement dans un cluster Kubernetes (détails).

 

BITWARDEN AUTHENTICATOR
2024.6.0
    - La possibilité d'importer les codes TOTP depuis de nouvelles sources : Google Authenticator, LastPass Authenticator, Raivo, 2FAS,... (détails).

 

ADMIN CONSOLE
2024.5.0
    - Intégration de Splunk Cloud à l'Admin Console (détails).
2024.6.0
    - Les permissions custom peuvent maintenant être gérées via API.


Message édité par nex84 le 15-07-2024 à 13:23:25

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 15-07-2024 à 12:22:00    

fais gaffe tes liens marchent pas il y a des caractères en trop

Reply

Marsh Posté le 15-07-2024 à 13:23:46    

Je@nb a écrit :

fais gaffe tes liens marchent pas il y a des caractères en trop


Fixed.
J'avais merdé le bbcode...

 

J'en ai profité pour rajouter les dernières versions dynamiquement.


Message édité par nex84 le 15-07-2024 à 14:31:01

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 30-07-2024 à 23:03:02    

nex84 a écrit :

Pour moi ton souci vient du fait que le modèle de clé que tu as choisis a effectivement l'air de pas être très bien documentée...

 

Je prends l'exemple de Yubico parce c'est ce que je connais (j'en ai 2) :
Les clés de sécurité Yubico compatible FIDO2 WebAuthn ont toute un PIN par défaut (123456 : https://support.yubico.com/hc/en-us [...] biKey-PINs ) qui peut doit être changé/customisé.

 

Ensuite pour la partie coté Bitwarden, le standard FIDO2 WebAuthn n'indique pas quelle marque/type de clé tu vas utiliser et donc il ne peut pas savoir s'il doit attendre un PIN, une empreinte de doigt, etc ... pour valider l'authentification de la clé.
C'est dans la doc de ta clé Titan que doivent se trouver ces informations.

 

Concernant ton coffre sur ton smartphone, c'est normal qu'il soit toujours accessible car il fonctionne en cache local.
Par contre dès que son authentification à ton coffre va expirer, tu seras bloqué de la même manière !

 

Ce qui est sûr, c'est qu'il faut TOUJOURS sauvegarder ses codes de récupération, seuls moyens de déverrouiller un MFA qu'on aurait perdu.

 

D'ailleurs, c'est pour ça que je parle de MFA et pas de 2FA.
Il vaut mieux multiplier les facteurs possibles d'authentification, en faisant bien attention au choix de ces facteurs :
- ce que je connais : le mot de passe maître
- ce que je possède : une passkey / token physique (Yubico, SecureID,...) et les codes TOTP / appli authenticator qui sont un peu moins sécurisés car "logiciels".
- ce que je suis : une empreinte / détection de visage / biométrie

 

Avoir d'autres méthodes n'invalide pas la sécurité de la première : par contre c'est le facteur le plus "faible" qui détermine ton niveau de sécurité global.
C'est notamment pour ça qu'on conseille d'avoir plusieurs clés de sécurité : c'est pour ça que j'ai 2 yubico différentes, l'une étant un backup de l'autre tout en gardant le même niveau de sécurité.

 

En tout cas, je pense que le support va te proposer de virer ton ancien compte et de le recréer, puis réimporter tes données que tu as heureusement sauvegardé.
Si tu as changé le PIN, à moins éventuellement de remettre celui par défaut (et encore...), tu n'auras pas de moyens d'utiliser la clé comme ça.

 

Petite question au passage : tu utilises le coffre en ligne ou une instance auto-hébergée ?
Si tu héberges ta propre instance, il suffit de restaurer la dernière sauvegarde avant que tu ais activé cette clé.


Comment sauvegarder ses codes de récupération sur la version hébergée svp?


---------------
Comment vous dire, une banque c'est une banque
Reply

Marsh Posté le 31-07-2024 à 13:39:46    

tiboc59 a écrit :


Comment sauvegarder ses codes de récupération sur la version hébergée svp?


Tu les trouveras avec la config du MFA ici : https://vault.bitwarden.com/#/setti [...] two-factor
A toi des les stocker correctement pour ne pas les perdre.


Message édité par nex84 le 31-07-2024 à 13:40:11

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 20-08-2024 à 12:12:04    

Attention pour ceux qui utilisent encore de vieilles versions (clients < 2023.8.2 et serveur < 2024.2.0) : ces version ne fonctionneront plus à partir d'octobre 2024.
 
C'est dû à l'obsolescence de l'ancien algo de chiffrement.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 20-08-2024 à 15:26:11    

Les nouveautés pour les versions 2024.7.x :

 

PASSWORD MANAGER
2024.7.1
    - L'utilisation d'une PassKey via les extensions navigateurs ne nécessitent plus la revalidation de l'utilisateur (rollback temporaire).
    - Les clés PRF des Passkeys utilisées pour déverrouiller le coffre persistent maintenant aussi en cas de rotation de la clé de chiffrement (détails).
    - Clarifications dans les étapes d'invitation pour les contacts et providers d'urgence.
    - La possibilité désormais de déplacer en lot plusieurs items vers une collection.
    - Renommage de "Move selected" en "Add to folder" pour plus de clarification.
    - Dépréciation de l'option pour autoriser l'approbation d'un autre client depuis l'application desktop : c'est désormais activé par défaut (détails).
    - Amélioration du workflow d'authentification SSL avec la possibilité d'ajouter une URL de redirection sur la page de login (détails).

 

SECRET MANAGER
2024.7.1
    - La possibilité d'ajouter un accès direct à un secret sans passer par un projet intermédiaire (détails).
2024.7.3
    - Nouvelle page d'accueil plus claire et possibilité de souscrire directement depuis celle-ci (détails).

 

BITWARDEN AUTHENTICATOR
Pas de nouveautés.

 

ADMIN CONSOLE
2024.7.2
    - Apparition de la gestion de revendeurs dans les pages de facturation (détails).
2024.7.3
    - Limitation des accès des providers tiers sur les coffres pour des questions de sécurité et de confidentialité.

 

[:tigrou] AUTO-HÉBERGEMENT [:tigrou]

 

[:icon4] ATTENTION [:icon4] :
Les versions avant 2024.07.x ne fonctionneront plus à partir d'octobre 2024 (et la déploiement de la versions 2024.10.x).
C'est dû à la cassure de compatibilité avec l'apparition du nouveau système de chiffrement des items dans le coffre (détails).

 

2024.07.1
    - Support des approbations en lot des appareils avec SSO (détails).


Message édité par nex84 le 20-08-2024 à 15:27:09

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 01-10-2024 à 09:27:16    

Les nouveautés pour les versions 2024.8.x :
 
[:icon4] ATTENTION [:icon4] :  
Les applications mobiles vont bientôt passer de Xamarin à des applications natives.
De fait, les smartphones les plus anciens ne seront plus compatibles (détails) :
- Android < 10 (Q)
- iOS < 15.0
 
PASSWORD MANAGER
2024.8.0
    - Nouvelles méthodes de remplissage automatique des cartes de paiement et d'identité, à la manière des mots de passes  
    - Le déverrouillage par biométrie sous Linux via polkit (détails).
2024.8.2
    - La possibilité de faire générer à Bitwarden un mot de passe complexe unique pour les exports chiffrés du coffre(détails).
 
SECRET MANAGER
2024.8.0
    - L'affichage dans la barre de navigation du nombre de secrets, comptes et projets.
 
BITWARDEN AUTHENTICATOR
Pas de nouveautés.
 
ADMIN CONSOLE
2024.8.0
    - De nouvelles options pour changer le mode de déchiffrement dans les Organisations (détails).
2024.8.2
    - L'intégration du SIEM Rapid7 (détails).
 
[:tigrou] AUTO-HÉBERGEMENT [:tigrou]
Pas de nouveautés.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed