Depuis sa création en 2016, Bitwarden a fait ses preuves dans le monde des gestionnaires de mots de passe. Open-source, sécurisé, disponible sur toutes les plateformes (Windows, macOS, Linux, Android, iOS, navigateurs) avec de nombreuses fonctionnalités et désormais très impliqué dans l'adoption du passwordless aussi bien par les utilisateurs que par les développeurs, Bitwarden continue d'être un choix idéal de gestionnaire de mots de passe en mars 2023.
- Politique de sécurité exemplaire
- Hébergement sur un NAS
- Offre Premium bon marché
- Synchronisation multiple
- Application de bureau basique
- Pas de chat en direct
- Pas de documentation en français
Quelques mois après avoir annoncé son achat de Passwordless.dev, une start-up qui a pour but de rendre l'intégration de l'authentification sans mots de passe plus simple pour les développeurs de sites web et applications, Bitwarden continue d'améliorer l'authentification passwordless sur sa propre solution. Désormais, vous pouvez utiliser au choix l'application mobile ou l'application de bureau pour valider votre connexion sur d'autres plateformes, par exemple la version web. L'option doit être activée dans les paramètres des applications, mais une fois qu'elle l'est, vous pouvez vous connecter sur la version web en entrant votre adresse mail et en sélectionnant l'option "Log in with device". Au lieu de demander votre master password, une notification est envoyée aux applications et vous n'avez qu'à valider la connexion pour qu'elle se fasse automatiquement.
Côté sécurité, Bitwarden a ajouté une option pour les nouveaux utilisateurs. Lors de la création de leur compte, ils pourront vérifier si le master password de leur choix a déjà été compromis et s'il se trouve dans la base de données de Have I Been Pwned avant de le valider. Autre bonne nouvelle, l'entreprise a demandé à Cure53 de réaliser son audit annuel et les spécialistes en sécurité ont déterminé que le logiciel répondait à leurs exigences en matière de sécurité.
En attendant, les utilisateurs de Bitwarden doivent continuer à faire attention. Plusieurs rapports ont fait état de tentative de phishing via Google Ads, où des sites qui miment la page de connexion de Bitwarden avec des URL trompeuses tentent de piéger les utilisateurs et de leur faire entrer leur mot de passe maître. De quoi rappeler l'importance du passwordless, ainsi que la nécessité de bien protéger ses comptes et de tirer parti des différentes méthodes d'authentification lorsque c'est possible.
L’offre
Pour un usage personnel, vous pouvez vous contenter de la version gratuite qui ne limite pas le nombre de données sécurisées et la synchronisation des appareils. Elle prend en charge l’authentification
à deux facteurs à l’aide de Google Authenticator ou d’un équivalent. Il est
également possible de recevoir les codes 2FA par email, mais l’utilisation de l’application est beaucoup plus pratique. Si vous recherchez des fonctionnalités supplémentaires, une mise à niveau vers la version Premium (moins de 1 $/mois) en vaut la peine : vous bénéficiez d’options avancées d’authentification à double facteur, d’un stockage de clés d’authentification pour les applications d’authentification multiple et de 1 Go de stockage chiffré.
Le partage est également pris en charge, bien qu’il soit limité. Les utilisateurs de la version gratuite ne peuvent le faire qu’avec un seul autre utilisateur, tandis que ceux qui souscrivent à l’offre Famille (3,33 $/mois) peuvent le faire avec cinq autres utilisateurs. Si vous avez besoin de plus d’utilisateurs, vous êtes obligé de passer par l’offre Pro… même si c’est pour un usage personnel.
Interface et ergonomie
La version de bureau est assez simple et se contente de l'essentiel, avec tout de même un menu qui nous permet d'accéder aux pages de téléchargement des autres versions du logiciel. Un point qui nous chagrine, il n’est pas possible d’importer les données d’autres logiciels ou d’une extension pour navigateur dans le logiciel de bureau. Pour pouvoir le faire, il est nécessaire de passer par la version web et le menu "Outils" ou par Bitwarden CLI.
Bitwarden est de plus disponible sur toutes les plateformes possibles et imaginables. Vous pourrez ainsi le télécharger sur votre PC Windows, sur Mac, sur Linux, sur mobile en téléchargeant l'application sur les stores de Google et Apple ou opter pour l'extension web, peu importe le navigateur que vous avez choisi puisqu'il est compatible avec la majorité d'entre eux (Firefox, Google Chrome, Safari, Edge, Opera, Brave, etc.).
La sécurité
C’est le gros point fort de cette solution. Le fait que Bitwarden soit une solution open source la rend non seulement plus flexible, mais aussi plus sûre. Tout le monde peut consulter le code source sur GitHub, ce qui signifie que ceux qui ont le savoir-faire sont libres de consulter, d’auditer ou de contribuer au code. De plus, l’équipe de développement invite les chercheurs à faire des analyses de sécurité. De l’installateur en ligne de commande à l’application mobile en passant par l’infrastructure du serveur, l’équipe de développement rend tout visible. Par ailleurs, Bitwarden a été audité par Cure53 (un cabinet allemand de cybersécurité) et a mis en place un programme de Bug bounty (de recherche de
failles par des hackers contre récompense) via HackerOne. Évidemment, le coffre-fort est chiffré en AES 256 bits (de bout en bout) avec du hash et une fonction de dérivation de clé PBKDF2.
Les utilisateurs du Premium ont accès au rapport sur les violations de vos données (Vault health reports). Il ne s’agit pas d’un processus automatisé. Vous devrez entrer le nom d’utilisateur ou l’adresse électronique que vous souhaitez vérifier. Si on est un peu pointilleux, on peut juste se demander pourquoi l’équipe utilise Microsoft Azure et pas un cloud plus « open source » et légitime…

Fonctionnalités additionnelles
Bitwarden vous permet d’héberger facilement vos propres mots de passe sur votre NAS ou en utilisant Docker. Avec Docker, vous pouvez héberger la pile d’infrastructure de Bitwarden sur Linux, macOS ou Windows. Un tutoriel complet (en anglais) pour la configuration de votre propre
serveur est disponible, détaillant le processus automatisé avec les outils de Docker et l’installation manuelle. Deux options permettant de contrôler soi-même la sécurité de ses données. Au risque de faire des erreurs en termes de sauvegardes et de sécurité… À réserver aux personnes maitrisant Docker ou l’hébergement « local ».
En conclusion, Bitwarden présente de sérieux atouts. Le principal est sa politique de sécurité qui joue sur l’efficacité et la transparence. Ses fonctionnalités sont parfaitement huilées (sauf l’importation qui peut donner quelques sueurs froides). Et en cas de soucis, vous trouverez rapidement une réponse (en anglais) grâce à sa communauté très réactive sur son forum.
Découvrez nos autres tests de gestionnaires de mots de passe :
Lire la charte de confiance