Profitez de Clubic à 100%

Rejoignez la communauté de passionnés des sujets numériques et scientifiques

  • Participez aux discussions
  • Recevez des notifications
  •  
Vous avez déjà un compte ? Connectez-vous
Connexion
🔴 Toutes les infos sur la Keynote Apple ! 🔴 Keynote Apple | Toutes les infos sur la WWDC 2023 !

Avis Bitwarden (Test 2023) : la sécurité au juste prix

Fanny Dufour
08 mars 2023 à 16h26
15
Bitwarden

Depuis sa création en 2016, Bitwarden a fait ses preuves dans le monde des gestionnaires de mots de passe. Open-source, sécurisé, disponible sur toutes les plateformes (Windows, macOS, Linux, Android, iOS, navigateurs) avec de nombreuses fonctionnalités et désormais très impliqué dans l'adoption du passwordless aussi bien par les utilisateurs que par les développeurs, Bitwarden continue d'être un choix idéal de gestionnaire de mots de passe en mars 2023.

Bitwarden 9
Voir l'offre Lire la conclusion
Bitwarden
  • Politique de sécurité exemplaire
  • Hébergement sur un NAS
  • Offre Premium bon marché
  • Synchronisation multiple
  • Application de bureau basique
  • Pas de chat en direct
  • Pas de documentation en français

Quelques mois après avoir annoncé son achat de Passwordless.dev, une start-up qui a pour but de rendre l'intégration de l'authentification sans mots de passe plus simple pour les développeurs de sites web et applications, Bitwarden continue d'améliorer l'authentification passwordless sur sa propre solution. Désormais, vous pouvez utiliser au choix l'application mobile ou l'application de bureau pour valider votre connexion sur d'autres plateformes, par exemple la version web. L'option doit être activée dans les paramètres des applications, mais une fois qu'elle l'est, vous pouvez vous connecter sur la version web en entrant votre adresse mail et en sélectionnant l'option "Log in with device". Au lieu de demander votre master password, une notification est envoyée aux applications et vous n'avez qu'à valider la connexion pour qu'elle se fasse automatiquement.

Côté sécurité, Bitwarden a ajouté une option pour les nouveaux utilisateurs. Lors de la création de leur compte, ils pourront vérifier si le master password de leur choix a déjà été compromis et s'il se trouve dans la base de données de Have I Been Pwned avant de le valider. Autre bonne nouvelle, l'entreprise a demandé à Cure53 de réaliser son audit annuel et les spécialistes en sécurité ont déterminé que le logiciel répondait à leurs exigences en matière de sécurité.

En attendant, les utilisateurs de Bitwarden doivent continuer à faire attention. Plusieurs rapports ont fait état de tentative de phishing via Google Ads, où des sites qui miment la page de connexion de Bitwarden avec des URL trompeuses tentent de piéger les utilisateurs et de leur faire entrer leur mot de passe maître. De quoi rappeler l'importance du passwordless, ainsi que la nécessité de bien protéger ses comptes et de tirer parti des différentes méthodes d'authentification lorsque c'est possible.

Sommaire

L’offre

Pour un usage personnel, vous pouvez vous contenter de la version gratuite qui ne limite pas le nombre de données sécurisées et la synchronisation des appareils. Elle prend en charge l’authentification
à deux facteurs à l’aide de Google Authenticator ou d’un équivalent. Il est
également possible de recevoir les codes 2FA par email, mais l’utilisation de l’application est beaucoup plus pratique. Si vous recherchez des fonctionnalités supplémentaires, une mise à niveau vers la version Premium (moins de 1 $/mois) en vaut la peine : vous bénéficiez d’options avancées d’authentification à double facteur, d’un stockage de clés d’authentification pour les applications d’authentification multiple et de 1 Go de stockage chiffré.

Le partage est également pris en charge, bien qu’il soit limité. Les utilisateurs de la version gratuite ne peuvent le faire qu’avec un seul autre utilisateur, tandis que ceux qui souscrivent à l’offre Famille (3,33 $/mois) peuvent le faire avec cinq autres utilisateurs. Si vous avez besoin de plus d’utilisateurs, vous êtes obligé de passer par l’offre Pro… même si c’est pour un usage personnel.

Interface et ergonomie

La version de bureau est assez simple et se contente de l'essentiel, avec tout de même un menu qui nous permet d'accéder aux pages de téléchargement des autres versions du logiciel. Un point qui nous chagrine, il n’est pas possible d’importer les données d’autres logiciels ou d’une extension pour navigateur dans le logiciel de bureau. Pour pouvoir le faire, il est nécessaire de passer par la version web et le menu "Outils" ou par Bitwarden CLI.

Bitwarden est de plus disponible sur toutes les plateformes possibles et imaginables. Vous pourrez ainsi le télécharger sur votre PC Windows, sur Mac, sur Linux, sur mobile en téléchargeant l'application sur les stores de Google et Apple ou opter pour l'extension web, peu importe le navigateur que vous avez choisi puisqu'il est compatible avec la majorité d'entre eux (Firefox, Google Chrome, Safari, Edge, Opera, Brave, etc.).

Bitwarden
Un menu très clair comme on aimerait voir plus souvent...

La sécurité

C’est le gros point fort de cette solution. Le fait que Bitwarden soit une solution open source la rend non seulement plus flexible, mais aussi plus sûre. Tout le monde peut consulter le code source sur GitHub, ce qui signifie que ceux qui ont le savoir-faire sont libres de consulter, d’auditer ou de contribuer au code. De plus, l’équipe de développement invite les chercheurs à faire des analyses de sécurité. De l’installateur en ligne de commande à l’application mobile en passant par l’infrastructure du serveur, l’équipe de développement rend tout visible. Par ailleurs, Bitwarden a été audité par Cure53 (un cabinet allemand de cybersécurité) et a mis en place un programme de Bug bounty (de recherche de
failles par des hackers contre récompense) via HackerOne. Évidemment, le coffre-fort est chiffré en AES 256 bits (de bout en bout) avec du hash et une fonction de dérivation de clé PBKDF2.

Les utilisateurs du Premium ont accès au rapport sur les violations de vos données (Vault health reports). Il ne s’agit pas d’un processus automatisé. Vous devrez entrer le nom d’utilisateur ou l’adresse électronique que vous souhaitez vérifier. Si on est un peu pointilleux, on peut juste se demander pourquoi l’équipe utilise Microsoft Azure et pas un cloud plus « open source » et légitime…

Bitwarden
Bitwarden joue la transparence en matière de sécurité. Une référence.

Fonctionnalités additionnelles

Bitwarden vous permet d’héberger facilement vos propres mots de passe sur votre NAS ou en utilisant Docker. Avec Docker, vous pouvez héberger la pile d’infrastructure de Bitwarden sur Linux, macOS ou Windows. Un tutoriel complet (en anglais) pour la configuration de votre propre
serveur est disponible, détaillant le processus automatisé avec les outils de Docker et l’installation manuelle. Deux options permettant de contrôler soi-même la sécurité de ses données. Au risque de faire des erreurs en termes de sauvegardes et de sécurité… À réserver aux personnes maitrisant Docker ou l’hébergement « local ».

En conclusion, Bitwarden présente de sérieux atouts. Le principal est sa politique de sécurité qui joue sur l’efficacité et la transparence. Ses fonctionnalités sont parfaitement huilées (sauf l’importation qui peut donner quelques sueurs froides). Et en cas de soucis, vous trouverez rapidement une réponse (en anglais) grâce à sa communauté très réactive sur son forum.

Bitwarden

9

Bitwarden est facile à utiliser, compatible avec Android et iOS et ses tarifs sont vraiment abordables. C’est aussi l’un des gestionnaires de mots de passe les plus sûrs, car son code source est accessible à tout le monde. Sa version gratuite offre les fonctionnalités de base dont vous avez besoin, y compris la possibilité de synchroniser autant de mots de passe que vous le souhaitez entre tous vos appareils, la prise en charge de l’authentification multiple (via une application ou une clé physique de type « Universal 2 Factor », YubiKey, Duo) et le partage. Dommage que sa version Premium n’intègre pas l’option « personne de confiance ».

Les plus

  • Politique de sécurité exemplaire
  • Hébergement sur un NAS
  • Offre Premium bon marché
  • Synchronisation multiple

Les moins

  • Application de bureau basique
  • Pas de chat en direct
  • Pas de documentation en français

Efficacité 9

Fonctionnalités 8

Performances 10

Ergonomie 8

Voir l'offre
  • Politique de sécurité exemplaire
  • Hébergement sur un NAS
  • Offre Premium bon marché
  • Synchronisation multiple
  • Application de bureau basique
  • Pas de chat en direct
  • Pas de documentation en français

Efficacité 9

Fonctionnalités 8

Performances 10

Ergonomie 8

Voir l'offre

Découvrez nos autres tests de gestionnaires de mots de passe :

Cet article contient des liens d'affiliation, ce qui signifie qu'une commission peut être reversée à Clubic. Les prix mentionnés sont susceptibles d'évoluer. 
Lire la charte de confiance
Haut de page

Les derniers avis

Avis Surfshark VPN (Test 2023) : le jeune VPN est-il toujours aussi prometteur ? Avis Surfshark VPN (Test 2023) : le jeune VPN est-il toujours aussi prometteur ? 3 commentaires
Avis Proton VPN (Test 2023) : il a tout pour gagner votre confiance, et voici pourquoi Avis Proton VPN (Test 2023) : il a tout pour gagner votre confiance, et voici pourquoi 10 commentaires
Avis et Test eToro (2023) : une plateforme alléchante mais déconseillée pour les néophytes Avis et Test eToro (2023) : une plateforme alléchante mais déconseillée pour les néophytes 31 commentaires
Avis Hostinger (mai 2023) : est-ce le meilleur hébergeur web ? Avis Hostinger (mai 2023) : est-ce le meilleur hébergeur web ? 5 commentaires
Avis Infomaniak (Test 2023) : l'hébergement suisse et écologique Avis Infomaniak (Test 2023) : l'hébergement suisse et écologique 2 commentaires
Avis O2switch (Test 2023) : l'offre intermédiaire de référence Avis O2switch (Test 2023) : l'offre intermédiaire de référence 10 commentaires
Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (15)

melcky
«&nbsp;Le fait que Bitwarden soit une solution open source la rend non seulement plus flexible, mais aussi plus sûre. Tout le monde peut consulter le code source sur GitHub, ce qui signifie que ceux qui ont le savoir-faire sont libres de consulter, d’auditer ou de contribuer au code.&nbsp;»<br /> …ou de ne pas contribuer et d’exploiter les failles découvertes.
FortyTwo
J’utilise cette solution au quotidien sur mon propre serveur, c’est un bonheur.
spip74
Je l’utilise au quotidien sur tous les postes, un vrai bonheur.<br /> C’est vrai que l’interface est simpliste mais elle va à l’essentiel. Je n’ai jamais eu l’impression d’un manque de fonctionnalité.<br /> L’utilisation est discrète et non intrusive comme lastpass qui rajoute des icônes dans les champs de formulaires
jeanlucesi
Je m’en sert depuis 4 ans jamais aucun souci.<br /> Ne pas oublier de donner 10 € / an au développeur qui le mérite bien.
John-Doe
Un pur bonheur, pratique, confortable, évolutif, sécurisé, ergonomique, communauté d’entraide active et réactive. Un prix défiant toute concurrence pour une version Famille : 12 Dollars par ans. très portable et bonne synchonisation entre les différents OS, MacOs, Android, Linux et Windows, l’add-on sur Chrome, Edge et Firexox est très rapide. La sécurité est très bien gérée car l’Open Source et Ghitub l’autorise, les clés OTP, La gestion d’une organisation familiale, le multi-coffre, la personnalisation des choix de tout type, texte, masqué, bolléen, lié. Les pièces attachées sur chaque identifiant pour les codes de secours. Le multi-site ou le mutli-compte sur un même site, Le remplissage très paramétrable, la gestion des identifiants , les différents types de stockage, par formulaire de type Identifiant, Note Sécurisée, Carte de Paiement et même identité, LA fonction SEND très pratique pour un échange de fichier sécurisé et anonyme, avec une gestion du timing d’envoi très précis. Enfin j’ai testé l’importation et l’exportation sur LASTPASS, en important tout mon coffre LASTPASS, je n’y suis jamais revenu !!! et aucune faute sur un coffre contenant + de 800 Identifiants, Carte e Paiement, Identité de la famille. Bonne gestion des F2A pour sécurisé l’entrée y compris avec une clé physique bien sûr, Gestion des empreintes sur les sites, et sur l’accès aux coffres. Que dire , un pur bonheur pour un prix que DASHLANE et LASTPASS ne peuvent pas offrir. J’oubliais le plus une feuille de route des prochaines améliorations sur le forum qui permet de connaitre les prochaines fonctionnalités de l’outil.
tubezleb
J’utilise Vaultwarden qui est un fork de bitwarden réecris en rust en livré dans un container docker. Fonctionne très très bien et les clients bitwarden sont compatibles
FortyTwo
Complément de mon 1er commentaire :<br /> J’utilise le même fork, c’est un client non officiel mais basé sur l’original à partir de son code source. C’est le même produit, mais sous un nom différent, et il n’y a pas si longtemps que ça ça s’appelait encore Bitwarden.<br /> Excellent choix
bmustang
the best bitwarden en local
MattS32
melcky:<br /> …ou de ne pas contribuer et d’exploiter les failles découvertes.<br /> Statistiquement, il est peu probable que des failles éventuelles ne soient découvertes que par des personnes malveillantes, d’autant plus que Bitwarden bénéficie régulièrement d’audits de sécurité menés par des tiers.
melcky
Sources ? (statistiques)<br /> En toute logique, l’essentielle des personnes malveillantes qui peuvent se procurer un code open source ne s’en priveront pas.<br /> Cela leur ouvre même la possibilité de compiler et distribuer leur propre version vérolée (vu et revu).<br /> Et quand on parle de compiler… je connais personnellement quelqu’un dont le code open source s’est retrouvé affublé d’un virus. Apres avoir cherché et cherché dans le code, et bien c’est en fait le compilateur d’une machine qui était infecté et injectait un code malveillant durant la compilation.<br /> La sécurité est une chaine, qui ne vaut que par son maillon le plus faible.<br /> Hors l’open source est un maillon qui a ses avantages (et je suis pour à 100%) mais qui n’est pas intrinsèquement plus sur.<br /> (Open ssl, un programme pourtant essentiel, a vecu plus d’une décénie sans qu’une faille ne soit officiellement découverte, malgré le temps passé et toutes les revues de code )
MattS32
melcky:<br /> Sources ? (statistiques)<br /> C’est du bon sens : il y a quand même dans la population plus de gens bienveillants que de gens malveillants… Et parmi les gens bienveillants, il y en a dont la recherche de faille dans les logiciels les plus utilisés est l’activité à plein temps.<br /> melcky:<br /> Cela leur ouvre même la possibilité de compiler et distribuer leur propre version vérolée (vu et revu).<br /> Intégrer un virus dans un logiciel pour en distribuer une version vérolée se fait tout aussi facilement (en fait, plus facilement…) avec un logiciel déjà compilé qu’à partir du code source. Dans le premier cas, il faut juste un packer, un outil qui va combiner plusieurs binaires en un seul, dans le second cas il faut mettre en place tout l’environnement de développement, avec toutes les dépendances…<br /> Et c’est encore plus facile avec une extension de navigateur, forme que prennent le plus souvent les gestionnaires de mots de passe pour le grand public.<br /> Le seul « avantage » qu’à l’open source à ce niveau pour le pirate, c’est qu’il peut plus facilement distribuer sa version sans risquer de se faire repérer par l’éditeur, ceux des logiciels propriétaires surveillant un peu plus l’existence de tels distributeurs alternatifs…<br /> Mais à ce niveau c’est aussi un peu à l’utilisateur de faire attention à ne pas télécharger n’importe quoi depuis n’importe où et à toujours aller sur le site officiel de l’éditeur, plutôt que sur le premier site venu… Quelqu’un qui fait attention à ça, je ne pense pas qu’il ait plus de risque de se faire fourguer un Bitwarden vérolé qu’un LastPass ou un 1password vérolé…<br /> melcky:<br /> Apres avoir cherché et cherché dans le code, et bien c’est en fait le compilateur d’une machine qui était infecté et injectait un code malveillant durant la compilation.<br /> Ce qui peut donc aussi arriver avec un logiciel propriétaire.<br /> melcky:<br /> Open ssl, un programme pourtant essentiel, a vecu plus d’une décénie sans qu’une faille ne soit officiellement découverte, malgré le temps passé et toutes les revues de code<br /> Oui. Ce qui arrive aussi régulièrement avec des logiciels propriétaires. Et à ce jour, on n’a aucune preuve tangible que cette faille ait été exploitée par qui que ce soit avant sa découverte « officielle »…<br /> melcky:<br /> mais qui n’est pas intrinsèquement plus sur.<br /> Vis à vis des failles de sécurité accidentelle, il n’est pas non plus intrinsèquement moins sûr…<br /> Par contre il est intrinsèquement plus sûr vis a vis des failles de sécurité volontaires, que ça soit des backdoors ou simplement de la négligence (genre prétendre qu’on utilise des algorithmes de dérivation de clé de pointe, alors qu’en fait on s’est pas foulé et on a juste fait un md5 du mot de passe maître…).
melcky
Ce serait nier l’existante des revues de code dans les logiciels propriétaires…<br /> Bref, aucune preuve solide que l’un vaille mieux que l’autre en termes de sûreté.<br /> Les deux models ont du sens et réclament de la rigueur de la part des êtres humains qui la mettent en oeuvre. L’exemple d’open ssl montre bien a quel point le nombre de reviewers et les années passées n’améliorent pas la sécurité (vs propriétaire)<br /> Les avantages (et inconvénients) de l’open source sont rééls, mais se situent pour moi sur un autre terrain.
MattS32
melcky:<br /> Ce serait nier l’existante des revues de code dans les logiciels propriétaires…<br /> Ça c’est uniquement si la backdoor/négligence vient de l’initiative individuelle d’un développeur du logiciel… Pas si c’est une décision de l’éditeur.<br /> Je peux te dire que niveau sécurité, j’en ai vu des vertes et des pas mures dans ma carrière, bien plus souvent à cause du management ne voulant pas mettre les moyens qu’à cause de développeurs incompétents ou malhonnêtes…
melcky
J’en ai vu moi aussi… mais le code review est bien souvent fait sur les logiciels proprietaires (et il va parfois très loin !)<br /> Impossible de tirer des généralités, dans un cas comme dans l’autre on trouve de tout ! (comme des libs open sources non maintenues mais encore utilisées pendant des années)
Nao_Graphics
Qui achète un gestionnaire de mot de passe alors que cette solution existe. Je l’utilise depuis sa sortie et je n’est rien à dire. Le meilleur logiciel Open source tout simplement. 10 euros par an pour le développeur faut pas oublier de le faire SVP. Il le mérite tellement et c’est dérisoire.
Voir tous les messages sur le forum

Dernières actualités

WWDC : pourquoi le casque de réalité d'Apple n'intéresse pas les investisseurs ?
WWDC : pourquoi le casque de réalité d'Apple n'intéresse pas les investisseurs ?
Le Mac Studio passe la seconde avec le processeur M2
Le Mac Studio passe la seconde avec le processeur M2
Apple dévoile iOS 17 : Un tour d'horizon des nouvelles fonctionnalités du système d'exploitation de l'iPhone
Apple dévoile iOS 17 : Un tour d'horizon des nouvelles fonctionnalités du système d'exploitation de l'iPhone
Le MacBook Air XXL est enfin une réalité
Le MacBook Air XXL est enfin une réalité
Windows : pas assez intelligente ? Cortana cède face à l'IA
Windows : pas assez intelligente ? Cortana cède face à l'IA
Le télescope James Webb détecte un énorme geyser sur Encelade, la petite lune de Saturne
Le télescope James Webb détecte un énorme geyser sur Encelade, la petite lune de Saturne
Spotify : pourquoi la division podcast licencie-t-elle massivement ?
Spotify : pourquoi la division podcast licencie-t-elle massivement ?
The Idol : comment regarder la série avec Lily-Rose Depp et The Weeknd gratuitement sur Amazon Prime Video
The Idol : comment regarder la série avec Lily-Rose Depp et The Weeknd gratuitement sur Amazon Prime Video
Un grand écran tactile et sonorisé dans une malette : LG tient-il un nouveau concept révolutionnaire ?
Un grand écran tactile et sonorisé dans une malette : LG tient-il un nouveau concept révolutionnaire ?
Appels à la violence contre les élus, affaire Papacito : mais, que fait YouTube ?
Appels à la violence contre les élus, affaire Papacito : mais, que fait YouTube ?
Rejoignez-nous !
Infos légales À Propos Publicité CGU Confidentialité Recrutement Archives Marques Contact Règlement Communauté © Clubic SAS 2023