Avis Bitwarden (2021) : la sécurité au juste prix

Développée depuis 2016 par une petite équipe aux États-Unis, ce gestionnaire de mots de passe est open source et multiplateformes. Cette solution ne dispose pas d’autant de fonctionnalités que celles proposées par LastPass ou Dashlane, mais sa politique de sécurité est une référence. Et son offre Premium est vraiment accessible.

Moins connu que d’autres poids lourds dans ce domaine, Bitwarden mérite qu’on s’y intéresse, car il ne manque pas d’atouts. Cette solution open source a mis en place une politique de sécurité exemplaire et son interface facilite son utilisation et les réglages. Bitwarden stocke vos identifiants de connexion, mais aussi vos identités, vos cartes bancaires et vos notes.

Bitwarden propose un générateur de mots de passe sécurisé pour vous aider à générer des mots de passe difficiles à deviner par les pirates. Parmi les autres fonctionnalités, citons la synchronisation des appareils, le partage des mots de passe et le remplissage automatique des formulaires. Bitwarden est compatible avec de nombreuses plateformes et appareils, y compris les OS mobiles Android et iOS, ce qui permet de gérer les mots de passe à la maison, au bureau ou en déplacement.

L’offre

Pour un usage personnel, vous pouvez vous contenter de la version gratuite qui ne limite pas le nombre de données sécurisées et la synchronisation des appareils. Elle prend en charge l’authentification
à deux facteurs à l’aide de Google Authenticator ou d’un équivalent. Il est
également possible de recevoir les codes 2FA par email, mais l’utilisation de l’application est beaucoup plus pratique. Si vous recherchez des fonctionnalités, une mise à niveau vers la version Premium (1 $/mois) en vaut la peine : vous bénéficiez d’options avancées d’authentification à double facteur, d’un stockage de clés d’authentification pour les applications d’authentification multiple et de 1 Go de stockage chiffré.

Le partage est également pris en charge, bien qu’il soit limité. Les utilisateurs de la version gratuite ne peuvent le faire qu’avec un seul autre utilisateur, tandis que ceux qui souscrivent à l’offre Famille (3,33 $/mois) peuvent partager le faire avec cinq autres utilisateurs. Si vous avez besoin de plus d’utilisateurs, vous êtes obligé de passer par l’offre Pro… même si c’est pour un usage personnel.

Interface et ergonomie

La version de bureau est assez simple. Il y a quelques paramètres à régler. Le plus surprenant concerne le niveau de sécurité imposé lors de la création d’un compte : Bitwarden ne vous impose rien comme le prouve votre capture. Autre point qui nous chagrine, il n’est pas possible d’importer les données d’autres logiciels ou d’une extension pour navigateur.

La sécurité

C’est le gros point fort de cette solution. Le fait que Bitwarden soit une solution open source la rend non seulement plus flexible, mais aussi plus sûre. Tout le monde peut consulter le code source sur GitHub, ce qui signifie que ceux qui ont le savoir-faire sont libres de consulter, d’auditer ou de contribuer au code. De plus, l’équipe de développement invite les chercheurs à faire des analyses de sécurité. De l’installateur en ligne de commande à l’application mobile en passant par l’infrastructure du serveur, l’équipe de développement rend tout visible. Par ailleurs, Bitwarden a été audité par Cure53 (un cabinet allemand de cybersécurité) et a mis en place un programme de Bug bounty (de recherche de
failles par des hackers contre récompense) via HackerOne. Évidemment, le coffre-fort est chiffré en AES 256 bits (de bout en bout) avec du hash et une fonction de dérivation de clé PBKDF2.

Les utilisateurs du Premium ont accès au rapport sur les violations de vos données (Vault health reports). Il ne s’agit pas d’un processus automatisé. Vous devrez entrer le nom d’utilisateur ou l’adresse électronique que vous souhaitez vérifier. Si on est un peu pointilleux, on peut juste se demander pourquoi l’équipe utilise Microsoft Azure et pas un cloud plus « open source » et légitime…

Fonctionnalités additionnelles

Bitwarden vous permet d’héberger facilement vos propres mots de passe sur votre NAS ou en utilisant Docker. Avec Docker, vous pouvez héberger la pile d’infrastructure de Bitwarden sur Linux, MacOS ou Windows. Un tutoriel complet (en anglais) pour la configuration de votre propre
serveur est disponible, détaillant le processus automatisé avec les outils de Docker et l’installation manuelle. Deux options permettant de contrôler soi-même la sécurité de ses données. Au risque de faire des erreurs en termes de sauvegardes et de sécurité… À réveiller aux personnes maitrisant Docker ou l’hébergement « local ».

En conclusion, Bitwarden présente de sérieux atouts. Le principal est sa politique de sécurité qui joue sur l’efficacité et la transparence. Ses fonctionnalités sont parfaitement huilées (sauf l’importation qui peut donner quelques sueurs froides). Et en cas de soucis, vous trouverez rapidement une réponse (en anglais) grâce à sa communauté très réactive sur son forum.