Avis Bitwarden (avril 2024) : la sécurité au juste prix

Fanny Dufour
02 avril 2024 à 10h26
Clubic - Notre avis sur Bitwarden
Clubic - Notre avis sur Bitwarden

Sécurisé, open-source, disponible sur toutes les plateformes et avec une version gratuite généreuse, Bitwarden a tout pour être considéré comme l'un des meilleurs gestionnaires de mots de passe. Pour savoir si c'est celui qui peut vous convenir, voici notre avis sur Bitwarden en avril 2024.

Bitwarden 8.5
Télécharger Lire la conclusion
Bitwarden
  • Politique de sécurité exemplaire
  • Hébergement sur un NAS
  • Offre Premium bon marché
  • Synchronisation multiple
  • Application de bureau basique
  • Pas de chat en direct
  • Pas de documentation en français

Après une année 2023 qui a vu Bitwarden se lancer dans l'aventure du passwordless, en facilitant l'utilisation des clés d'accès aussi bien pour les utilisateurs que pour les développeurs, en 2024, l'entreprise semble continuer sur le même chemin. Désormais, tous les utilisateurs peuvent utiliser une clé d'accès pour se connecter à leur compte, sans avoir à renseigner leur adresse mail. Ceux qui utilisent un navigateur et une clé d'accès compatibles avec l'extension PRF pour WebAuthn, qui permet aux passkeys d'être utilisées pour le chiffrement et le déchiffrement, peuvent même utiliser la technologie pour accéder à leur coffre-fort et ainsi se passer du mot de passe maître. Pour les autres, le mot de passe reste nécessaire pour le déchiffrement. Pour le moment, la fonctionnalité est réservée à la connexion sur la web app, avec une arrivée sur les autres plateformes prochainement.

Sommaire

L’offre

Pour un usage personnel, vous pouvez vous contenter de la version gratuite qui ne limite pas le nombre de données sécurisées et la synchronisation des appareils. Elle prend en charge l’authentification
à deux facteurs à l’aide de Google Authenticator ou d’un équivalent. Il est
également possible de recevoir les codes 2FA par email, mais l’utilisation de l’application est beaucoup plus pratique. Si vous recherchez des fonctionnalités supplémentaires, une mise à niveau vers la version Premium (moins de 1 $/mois) en vaut la peine : vous bénéficiez d’options avancées d’authentification à double facteur, d’un stockage de clés d’authentification pour les applications d’authentification multiple et de 1 Go de stockage chiffré.

Le partage est également pris en charge, bien qu’il soit limité. Les utilisateurs de la version gratuite ne peuvent le faire qu’avec un seul autre utilisateur, tandis que ceux qui souscrivent à l’offre Famille (3,33 $/mois) peuvent le faire avec cinq autres utilisateurs. Si vous avez besoin de plus d’utilisateurs, vous êtes obligé de passer par l’offre Pro… même si c’est pour un usage personnel.

Interface et ergonomie

La version de bureau est assez simple et se contente de l'essentiel, avec tout de même un menu qui nous permet d'accéder aux pages de téléchargement des autres versions du logiciel. Sur les autres plateformes, Bitwarden présente une interface simple, où toutes les informations de base sont accessibles facilement. Cependant, il faudra s'habituer à quelques spécificités du service, surtout si vous utilisiez un autre gestionnaire de mots de passe auparavant, et prendre l'habitude de faire un tour dans les options pour activer les fonctionnalités que vous souhaitez avoir.

Bitwarden est de plus disponible sur toutes les plateformes possibles et imaginables. Vous pourrez ainsi le télécharger sur votre PC Windows, sur Mac, sur Linux, sur mobile en téléchargeant l'application sur les stores de Google et Apple ou opter pour l'extension web, peu importe le navigateur que vous avez choisi puisqu'il est compatible avec la majorité d'entre eux (Firefox, Google Chrome, Safari, Edge, Opera, Brave, etc.).

Bitwarden - Un menu très clair comme on aimerait voir plus souvent...
Bitwarden - Un menu très clair comme on aimerait voir plus souvent...

La sécurité

C’est le gros point fort de cette solution. Le fait que Bitwarden soit une solution open source la rend non seulement plus flexible, mais aussi plus sûre. Tout le monde peut consulter le code source sur GitHub, ce qui signifie que ceux qui ont le savoir-faire sont libres de consulter, d’auditer ou de contribuer au code. De plus, l’équipe de développement invite les chercheurs à faire des analyses de sécurité. De l’installateur en ligne de commande à l’application mobile en passant par l’infrastructure du serveur, l’équipe de développement rend tout visible. Par ailleurs, Bitwarden a été audité par Cure53 (un cabinet allemand de cybersécurité) et a mis en place un programme de Bug bounty (de recherche de
failles par des hackers contre récompense) via HackerOne. Évidemment, le coffre-fort est chiffré en AES 256 bits (de bout en bout) avec du hash et une fonction de dérivation de clé PBKDF2.

Les utilisateurs du Premium ont accès au rapport sur les violations de vos données (Vault health reports). Il ne s’agit pas d’un processus automatisé. Vous devrez entrer le nom d’utilisateur ou l’adresse électronique que vous souhaitez vérifier. Si on est un peu pointilleux, on peut juste se demander pourquoi l’équipe utilise Microsoft Azure et pas un cloud plus « open source » et légitime…

Bitwarden joue la transparence en matière de sécurité. Une référence.
Bitwarden joue la transparence en matière de sécurité. Une référence.

Fonctionnalités additionnelles

Bitwarden vous permet d’héberger facilement vos propres mots de passe sur votre NAS ou en utilisant Docker. Avec Docker, vous pouvez héberger la pile d’infrastructure de Bitwarden sur Linux, macOS ou Windows. Un tutoriel complet (en anglais) pour la configuration de votre propre
serveur est disponible, détaillant le processus automatisé avec les outils de Docker et l’installation manuelle. Deux options permettant de contrôler soi-même la sécurité de ses données. Au risque de faire des erreurs en termes de sauvegardes et de sécurité… À réserver aux personnes maitrisant Docker ou l’hébergement « local ».

En conclusion, Bitwarden présente de sérieux atouts. Le principal est sa politique de sécurité qui joue sur l’efficacité et la transparence. Ses fonctionnalités sont parfaitement huilées (sauf l’importation qui peut donner quelques sueurs froides). Et en cas de soucis, vous trouverez rapidement une réponse (en anglais) grâce à sa communauté très réactive sur son forum.

Bitwarden

8.5

Bitwarden est facile à utiliser, compatible avec Android et iOS et ses tarifs sont vraiment abordables. C’est aussi l’un des gestionnaires de mots de passe les plus sûrs, car son code source est accessible à tout le monde. Sa version gratuite offre les fonctionnalités de base dont vous avez besoin, y compris la possibilité de synchroniser autant de mots de passe que vous le souhaitez entre tous vos appareils, la prise en charge de l’authentification multiple (via une application ou une clé physique de type « Universal 2 Factor », YubiKey, Duo) et le partage. Dommage que sa version Premium n’intègre pas l’option « personne de confiance ».

Les plus

  • Politique de sécurité exemplaire
  • Hébergement sur un NAS
  • Offre Premium bon marché
  • Synchronisation multiple

Les moins

  • Application de bureau basique
  • Pas de chat en direct
  • Pas de documentation en français
Télécharger
  • Les plus
  • Les moins
  • Politique de sécurité exemplaire
  • Hébergement sur un NAS
  • Offre Premium bon marché
  • Synchronisation multiple
  • Application de bureau basique
  • Pas de chat en direct
  • Pas de documentation en français
Télécharger

Nos autres avis sur les gestionnaires de mots de passe :

Fanny Dufour

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Cet article contient des liens d'affiliation, ce qui signifie qu'une commission peut être reversée à Clubic. Les prix mentionnés ainsi que les marchands mis en avant sont susceptibles d'évoluer afin de toujours vous proposer le meilleur prix sur le produit concerné. 
Lire la charte de confiance
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news
Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (15)

melcky
«&nbsp;Le fait que Bitwarden soit une solution open source la rend non seulement plus flexible, mais aussi plus sûre. Tout le monde peut consulter le code source sur GitHub, ce qui signifie que ceux qui ont le savoir-faire sont libres de consulter, d’auditer ou de contribuer au code.&nbsp;»<br /> …ou de ne pas contribuer et d’exploiter les failles découvertes.
FortyTwo
J’utilise cette solution au quotidien sur mon propre serveur, c’est un bonheur.
spip74
Je l’utilise au quotidien sur tous les postes, un vrai bonheur.<br /> C’est vrai que l’interface est simpliste mais elle va à l’essentiel. Je n’ai jamais eu l’impression d’un manque de fonctionnalité.<br /> L’utilisation est discrète et non intrusive comme lastpass qui rajoute des icônes dans les champs de formulaires
jeanlucesi
Je m’en sert depuis 4 ans jamais aucun souci.<br /> Ne pas oublier de donner 10 € / an au développeur qui le mérite bien.
John-Doe
Un pur bonheur, pratique, confortable, évolutif, sécurisé, ergonomique, communauté d’entraide active et réactive. Un prix défiant toute concurrence pour une version Famille : 12 Dollars par ans. très portable et bonne synchonisation entre les différents OS, MacOs, Android, Linux et Windows, l’add-on sur Chrome, Edge et Firexox est très rapide. La sécurité est très bien gérée car l’Open Source et Ghitub l’autorise, les clés OTP, La gestion d’une organisation familiale, le multi-coffre, la personnalisation des choix de tout type, texte, masqué, bolléen, lié. Les pièces attachées sur chaque identifiant pour les codes de secours. Le multi-site ou le mutli-compte sur un même site, Le remplissage très paramétrable, la gestion des identifiants , les différents types de stockage, par formulaire de type Identifiant, Note Sécurisée, Carte de Paiement et même identité, LA fonction SEND très pratique pour un échange de fichier sécurisé et anonyme, avec une gestion du timing d’envoi très précis. Enfin j’ai testé l’importation et l’exportation sur LASTPASS, en important tout mon coffre LASTPASS, je n’y suis jamais revenu !!! et aucune faute sur un coffre contenant + de 800 Identifiants, Carte e Paiement, Identité de la famille. Bonne gestion des F2A pour sécurisé l’entrée y compris avec une clé physique bien sûr, Gestion des empreintes sur les sites, et sur l’accès aux coffres. Que dire , un pur bonheur pour un prix que DASHLANE et LASTPASS ne peuvent pas offrir. J’oubliais le plus une feuille de route des prochaines améliorations sur le forum qui permet de connaitre les prochaines fonctionnalités de l’outil.
tubezleb
J’utilise Vaultwarden qui est un fork de bitwarden réecris en rust en livré dans un container docker. Fonctionne très très bien et les clients bitwarden sont compatibles
FortyTwo
Complément de mon 1er commentaire :<br /> J’utilise le même fork, c’est un client non officiel mais basé sur l’original à partir de son code source. C’est le même produit, mais sous un nom différent, et il n’y a pas si longtemps que ça ça s’appelait encore Bitwarden.<br /> Excellent choix
bmustang
the best bitwarden en local
MattS32
melcky:<br /> …ou de ne pas contribuer et d’exploiter les failles découvertes.<br /> Statistiquement, il est peu probable que des failles éventuelles ne soient découvertes que par des personnes malveillantes, d’autant plus que Bitwarden bénéficie régulièrement d’audits de sécurité menés par des tiers.
melcky
Sources ? (statistiques)<br /> En toute logique, l’essentielle des personnes malveillantes qui peuvent se procurer un code open source ne s’en priveront pas.<br /> Cela leur ouvre même la possibilité de compiler et distribuer leur propre version vérolée (vu et revu).<br /> Et quand on parle de compiler… je connais personnellement quelqu’un dont le code open source s’est retrouvé affublé d’un virus. Apres avoir cherché et cherché dans le code, et bien c’est en fait le compilateur d’une machine qui était infecté et injectait un code malveillant durant la compilation.<br /> La sécurité est une chaine, qui ne vaut que par son maillon le plus faible.<br /> Hors l’open source est un maillon qui a ses avantages (et je suis pour à 100%) mais qui n’est pas intrinsèquement plus sur.<br /> (Open ssl, un programme pourtant essentiel, a vecu plus d’une décénie sans qu’une faille ne soit officiellement découverte, malgré le temps passé et toutes les revues de code )
MattS32
melcky:<br /> Sources ? (statistiques)<br /> C’est du bon sens : il y a quand même dans la population plus de gens bienveillants que de gens malveillants… Et parmi les gens bienveillants, il y en a dont la recherche de faille dans les logiciels les plus utilisés est l’activité à plein temps.<br /> melcky:<br /> Cela leur ouvre même la possibilité de compiler et distribuer leur propre version vérolée (vu et revu).<br /> Intégrer un virus dans un logiciel pour en distribuer une version vérolée se fait tout aussi facilement (en fait, plus facilement…) avec un logiciel déjà compilé qu’à partir du code source. Dans le premier cas, il faut juste un packer, un outil qui va combiner plusieurs binaires en un seul, dans le second cas il faut mettre en place tout l’environnement de développement, avec toutes les dépendances…<br /> Et c’est encore plus facile avec une extension de navigateur, forme que prennent le plus souvent les gestionnaires de mots de passe pour le grand public.<br /> Le seul « avantage » qu’à l’open source à ce niveau pour le pirate, c’est qu’il peut plus facilement distribuer sa version sans risquer de se faire repérer par l’éditeur, ceux des logiciels propriétaires surveillant un peu plus l’existence de tels distributeurs alternatifs…<br /> Mais à ce niveau c’est aussi un peu à l’utilisateur de faire attention à ne pas télécharger n’importe quoi depuis n’importe où et à toujours aller sur le site officiel de l’éditeur, plutôt que sur le premier site venu… Quelqu’un qui fait attention à ça, je ne pense pas qu’il ait plus de risque de se faire fourguer un Bitwarden vérolé qu’un LastPass ou un 1password vérolé…<br /> melcky:<br /> Apres avoir cherché et cherché dans le code, et bien c’est en fait le compilateur d’une machine qui était infecté et injectait un code malveillant durant la compilation.<br /> Ce qui peut donc aussi arriver avec un logiciel propriétaire.<br /> melcky:<br /> Open ssl, un programme pourtant essentiel, a vecu plus d’une décénie sans qu’une faille ne soit officiellement découverte, malgré le temps passé et toutes les revues de code<br /> Oui. Ce qui arrive aussi régulièrement avec des logiciels propriétaires. Et à ce jour, on n’a aucune preuve tangible que cette faille ait été exploitée par qui que ce soit avant sa découverte « officielle »…<br /> melcky:<br /> mais qui n’est pas intrinsèquement plus sur.<br /> Vis à vis des failles de sécurité accidentelle, il n’est pas non plus intrinsèquement moins sûr…<br /> Par contre il est intrinsèquement plus sûr vis a vis des failles de sécurité volontaires, que ça soit des backdoors ou simplement de la négligence (genre prétendre qu’on utilise des algorithmes de dérivation de clé de pointe, alors qu’en fait on s’est pas foulé et on a juste fait un md5 du mot de passe maître…).
melcky
Ce serait nier l’existante des revues de code dans les logiciels propriétaires…<br /> Bref, aucune preuve solide que l’un vaille mieux que l’autre en termes de sûreté.<br /> Les deux models ont du sens et réclament de la rigueur de la part des êtres humains qui la mettent en oeuvre. L’exemple d’open ssl montre bien a quel point le nombre de reviewers et les années passées n’améliorent pas la sécurité (vs propriétaire)<br /> Les avantages (et inconvénients) de l’open source sont rééls, mais se situent pour moi sur un autre terrain.
MattS32
melcky:<br /> Ce serait nier l’existante des revues de code dans les logiciels propriétaires…<br /> Ça c’est uniquement si la backdoor/négligence vient de l’initiative individuelle d’un développeur du logiciel… Pas si c’est une décision de l’éditeur.<br /> Je peux te dire que niveau sécurité, j’en ai vu des vertes et des pas mures dans ma carrière, bien plus souvent à cause du management ne voulant pas mettre les moyens qu’à cause de développeurs incompétents ou malhonnêtes…
melcky
J’en ai vu moi aussi… mais le code review est bien souvent fait sur les logiciels proprietaires (et il va parfois très loin !)<br /> Impossible de tirer des généralités, dans un cas comme dans l’autre on trouve de tout ! (comme des libs open sources non maintenues mais encore utilisées pendant des années)
Nao_Graphics
Qui achète un gestionnaire de mot de passe alors que cette solution existe. Je l’utilise depuis sa sortie et je n’est rien à dire. Le meilleur logiciel Open source tout simplement. 10 euros par an pour le développeur faut pas oublier de le faire SVP. Il le mérite tellement et c’est dérisoire.
Voir tous les messages sur le forum

Top gestionnaires de mot de passe

NordPass
NordPass Voir l'offre
Dashlane
Dashlane Voir l'offre
1Password
1Password Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page