Bienvenue sur le Topic Unique consacré à Bitwarden !

INTRODUCTION

Pourquoi utiliser un gestionnaire de mots de passe ?
Dans un monde ultra-connecté, il est nécessaire de sécuriser l'accès à tous les services que l'on va utiliser.
Pour éviter tout risques de vol de données, d'accès non désiré, etc... il faut des mots de passe complexes, différents pour chaque accès ou besoin.
Il devient donc indispensable d'avoir un endroit où les stocker et les gérer quand notre seule mémoire ne suffit plus.

Bitwarden
Lancé en 2016, Bitwarden est un ensemble de solutions tournant autour du stockage et de la gestion des mots de passes et des secrets.
Open source par nature, le code de Bitwarden présente l'avantage d'être disponible et audité régulièrement.
En plus de la solution en ligne, il est aussi possible de l'héberger soi-même pour maitriser où sont stockées les données.
Avec l'explosion des solutions d'authentification (mots de passe, FIDO, TOTP, Passkeys, etc... ), avoir une solution permettant de tout gérer peut être intéressant.

Pour le moment, Bitwarden propose 4 solutions :

• Bitwarden Password Manager : Le coffre fort de mots de passes, codes TOTP, passkeys, etc ... (concurrent à LastPass, Dashlane, 1Password, ...)
• Bitwarden Authenticator : Une application mobile gratuite indépendante pour gérer ses codes MFA TOTP (concurrent à Authy, Google Authenticator, etc...)
• Bitwarden Secrets Manager : Le gestionnaire de secrets pour les environnements applicatifs sécurisé (concurrent à Hashicorp Vault, Azure Keyvault, ...)
• Bitwarden Passwordless.dev : La solution passwordless basée sur la norme FIDO2 WebAuthn comme les KeyPass, intégrable dans les développements d'applications ou de sites web.

Liens utiles

• La documentation : https://bitwarden.com/help/
• Les notes de mises à jour : https://bitwarden.com/help/releasenotes/
• La roadmap de Bitwarden : https://community.bitwarden.com/t/bitwarden-roadmap
• Le statut des services en ligne de Bitwarden : https://status.bitwarden.com/
• Le forum officiel : https://community.bitwarden.com
• Le subreddit : https://www.reddit.com/r/Bitwarden/

BITWARDEN PASSWORD MANAGER

C'est l'application principale originelle de Bitwarden lancée en 2016 : le gestionnaire centralisé de mots de passes.

Dernières versions

Fonctionnalités

• Gestion des logins, identités, cartes bleues, notes sécurisées
• Stockage centralisé et chiffré de bout en bout (principe du Zero-knowledge : Bitwarden n'a pas accès à nos données)
• Générateur de mots de passe
• Auto-complétion des formulaires de login (détection des URL et des champs)
• Import/Export sécurisé, notamment depuis les autres coffres forts (Keepass, LastPass, 1Password, etc ....)
• Auto hébergement possible de la partie serveur
• Gestion des codes TOTP*
• Stockage des Passkeys
• Support du MFA (biométrie, FIDO2, Yubikey*, ...)
• Envoi de texte/fichiers*
• Partage des secrets entre utilisateurs*

* Fonctionnalités payantes

Tarifs

Les fonctionnalités de base sont gratuites, mais il existe plusieurs formules premium payantes ajoutant des fonctionnalités plus avancées.
Comparaison des offres et tarifs

Composants

Existant en ligne (https://vault.bitwarden.com/) ou à héberger soi même, elle se compose :

• d'une partie serveur pour la centralisation de l'hébergement des données.
• de différents clients permettant d'accéder aux mots de passe

Il existe aujourd'hui une multitude de clients officiels (https://bitwarden.com/download/) :
Clients lourds
- Windows 10/11 (Windows Store ou Chocolatety)
- MacOS 10.14+ (App Store ou Brew)
- Linux (AppImage, deb ou rpm)

Clients mobile
- iOS : https://itunes.apple.com/app/bitwar [...] 97744?mt=8
- Android : https://play.google.com/store/apps/ [...] .bitwarden
- F-Droid

Extensions navigateurs
- Chrome
- Edge
- Firefox
- Safari
- Vivaldi
- Opera
- Brave
- TorBrowser

Autres
- une interface web
- une interface en ligne de commandes CLI

Auto héberger Bitwarden

Pour ceux qui n'ont pas confiance à confier leur mots de passes, il est tout à fait possible d'héberger soi-même Bitwarden pour garder la main sur ses données.

Pré-requis

Bitwarden fonctionne sous la forme de conteneurs Docker.
L'installation a besoin de Docker Engine 19+ et docker-compose 1.24+, ou d'un cluster Kubernetes.

Il faut aussi nécessairement récupérer l'Installation ID (unique par instance) via https://bitwarden.com/host/ qui sera nécessaire lors de la configuration.

L'installation

Il est possible d'installer Bitwarden sur Linux, Windows Server ou Kubernetes.
La documentation complète est disponible ici :
- Linux : https://bitwarden.com/help/install-on-premise-linux/
- Windows Server : https://bitwarden.com/help/install-on-premise-windows/
- Kubernetes (via Helm) : https://bitwarden.com/help/self-host-with-helm/

Alternative non officielle

Vaultwarden est une réécriture non officielle de l'API serveur de Bitwarden en Rust, compatible avec les clients officiels.
Sources : https://github.com/dani-garcia/vaultwarden

BITWARDEN AUTHENTICATOR

Bitwarden a lancé une nouvelle application mobile indépendante pour gérer ses codes MFA TOTP (détails).
Cette application est gratuite et ne nécessite pas un compte ni un abonnement Bitwarden (C'est un équivalent à Authy, Google Authenticator, etc...).

L'annonce officielle ici : https://bitwarden.com/blog/bitwarde [...] -to-users/

Dernières versions

Clients mobile
- iOS : https://apps.apple.com/us/app/bitwa [...] 6497335175
- Android : https://play.google.com/store/apps/ [...] henticator

BITWARDEN SECRET MANAGER

Bitwarden Secret Manager est un nouveau produit lancé en août 2023 permettant la gestion des secrets de type clé/valeur comme les clés API, de la configuration, des chaînes de connexion, des variables d'environnement, etc ... comparable à Hashicorp Vault par exemple.
C'est très facilement à intégrer dans les pipelines d'automatisation pour éviter d'avoir les mots de passe en clair.

Fonctionnalités

• Gestion des secrets via un portail web
• Accès par CLI ou API avec un token d'accès
• Intégrable via un SDK
• Auto hébergement possible de la partie serveur (uniquement pour les clients Enterprise Organizations)
• Intégration à GitHub Actions et Gitlab CI/CD

Tarif

- Teams : 6 US$ / utilisateur / mois
- Enterprise : 12 US$ / utilisateur / mois
 
Auto héberger Bitwarden Secret Manager

Bitwarden Secret Manager ne peut être auto-hébergé que par les clients de l'offre Enterprise Organizations hébergeant déjà Bitwarden Password Manager.
Le service s'active en mettant à jour le fichier de licence sur son instance : https://bitwarden.com/help/secrets- [...] ts-manager

BITWARDEN PASSWORDLESS.DEV

Passwordless.dev est un toolkit open source pour les développeurs afin d'intégrer la norme des Passkeys FIDO2 WebAuthn pour l'authentification sur son application ou son site web.

Lien vers la documentation : https://docs.passwordless.dev/guide/

Dernières versions

Composants

Le toolkit se compose :

• d'une librairie javascript
• d'APIs (publique et privée)

Tarif

Réservé

Réservé

Réservé

Le lien n’a pas été formaté. N’oublie pas de bien mettre chaque lien sous balise [URL] .

C'est corrigé  

Nouveauté la plus intéressante de ce mois de décembre : la possibilité d'auto-héberger Bitwarden sur Kubernetes via Helm (enfin !) :
https://bitwarden.com/help/self-host-with-helm/
 
Il reste possible de déployer en utilisant docker-compose comme avant.

Nouveauté de janvier :
- la possibilité d'accéder à son coffre fort en utilisant une PassKey (Beta).
https://bitwarden.com/help/login-with-passkeys

drapal, j'utilise le service en ligne

Première tentative d'installation sur un cluster Kubernetes ...ratée.
Mais c'est à cause de mon EKS qui était mal configuré (problème de création des volumes via le driver EFS).
Pour le reste ça a pas l'air insurmontable.

A réessayer quand j'aurais du temps.

moi aussi je viens juste de migrer de lastpass au service en ligne bitwarden (trop facile d exporter et importer les mdp ... j ai fait le pas car j ai achete un ipad mini et je ne voulais pas payer pour lastpass ... sur android j'utilisais l extension lastpass dans kiwi browser) ...  
... y a t il des gros problemes connus à utiliser le service en ligne proposé par bitwarden plutot qu un serveur "self hosté" ?

Pas de problèmes connus, c'est l'avantage d'être audité régulièrement.
 
La différence se situe plus sur le fait d'avoir confiance dans le service tiers.
Malgré son fonctionnement en mode zero knowledge encryption (en très simplifié : les données stockées sont chiffrées avec une clé que Bitwarden ne peut pas connaitre), on n'est jamais à l'abri d'une vulnérabilité en amont  ou une fuite de données (phishing, brute force sur des données volées, etc ...)
Tout ça c'est valable pour tous les coffres forts de mot de passe.
 
L'avantage d'héberger soi-même Bitwarden, c'est que tu es le seul (normalement) à avoir accès aussi bien aux coffre en lui même qu'aux clients qui vont y accéder.

Petit récap des dernières nouveautés :

PASSWORD MANAGER
2024.2.0
    - La possibilité via les extensions navigateurs de scanner directement les QRCodes pour le MFA TOTP (détails)
    - L'augmentation des limites en terme d'objets importables dans Bitwarden, notamment quand on migre depuis une autre solution (LastPass, 1Password, ...)  (détails)
2024.2.3
    - Le re-design plus moderne de l'interface web  
    - La nouvelle interface de login Duo 2FA (détails)
    - [auto-hébergement] (Beta) La possibilité de s'authentifier à son coffre en utilisant une PassKey (détails)
2024.3.0
    - [auto-hébergement] Plus de logs à l'installation et possibilité de générer via le script d'admin une archive compressée des logs pour envoi au support.
2024.3.1
    - Pleins de nouvelle langues
    - La possibilité d'activer/désactiver l’accélération matérielle dans les applications de bureau.

SECRET MANAGER
2024.2.2
    - Intégration Ansible via une Ansible Collection pour récupérer automatiquement les secrets dans ses playbooks (détails).

petit retour d'XP sur bitwarden que j'utilise en compte premium depuis novembre 2023.
 
J'ai acheté récemment une clé titan ( modèle K52T ) et j'ai voulu protéger mon compte bitwarden en 2FA avec cette clé.
 
Suite à une erreur de ma part, mais une faiblesse de leur côté, je pense que mon compte est définitivement bloqué. Je le prends pour moi, car je n'ai pas eu le réflexe de prendre les codes de récupération avant d'activer le 2FA ( chose que je fais tout le temps ailleurs ) , mon excuse est que j'ai pu activer le 2FA sans avoir une question explicite de me donner au préalable un code de récupération. Bref ...
 
Voici ce qui s'est passé : j'ai recu ma clé la semaine dernière et je l'ai attachée à mon google account. Ca marche parfaitement bien. Je l'ai aussi ajouté à mon gitlab a titre de test, ca marche parfaitement bien aussi.  
 
J'ai donc activé naivement la partie 2FA chez bitwarden. J'ai du prendre l'option webauthn pour enregistrer ma clé, ca m'a demandé un nom de clé, puis il a détecté la clé, j'ai du poser mon doigt sur le capteur d'empreinte ( comme pour google account et gitlab)  et ca a enregistré ma clé, je la voyais bien dans la liste , première des 5 clés possibles en webauthn.
 
J'ai donc voulu tester la 2FA , je me deloggue, je me reloggue, login, password, ensuite j'ai la jolie fenêtre chrome qui me demande de choisir la méthode 2FA : je choisis clé , ca me demande d'insérer ma clé , et là ... ca me demande de réinsérer la clé ... bref en boucle, impossible de me logguer.
 
Je contacte le support ( qui répond assez vite mais que le soir ) , et rapidement, je comprends que je vais avoir quelques soucis, car ils me posent surtout des questions. A un moment donné, ils me parlent de yubikey et de code pin et de key manager, je réponds que c'est une titan key et qu'il y a rien de tout ca.
 
Bref, en fouillant un peu sur le net ( apparemment les titan key c est un peu plus pourri que yubikey, j aurais du prendre ca ), dans mes recherches, je trouve un logiciel FIDO2 manager, qui me permet d'interroger un peu la clé, et à force de chercher, je me retrouve à devoir configurer un code pin ( chose qui ne m'a jamais été demandé avant, ni google account, ni gitlab ), le code pin est maintenant configuré, mais au passage, le FIDO2 manager me renvoie quand même une erreur comme quoi il ne peut pas lire la clé ...  
 
Au final, je crée un second compte bitwarden à titre de test, et je refais la même procédure pour voir là où j'ai merdé. Et là ... il me demande un code PIN , alors que ca ne me l'avait pas demandé la première fois. J'enregistre tout , et paf, ce nouveau compte test marche parfaitement bien en 2FA. Tout ca parce que j'ai configuré un code PIN sur la clé via un outil non officiel, alors que rien d'officiel ne me l'a proposé.
 
Je tente de me reconnecter à mon vrai compte au cas où mais rien à faire , ca ne marche pas sur celui là, alors que le second oui.
 
J'ai réessayé après coup google account et gitlab après configuration du code pin, ca fonctionne toujours, pas d'impact donc.
 
Au final, on verra ce que répondra le support bitwarden mais j'ai bien peur qu'ils me disent qu'ils ne peuvent rien faire car c'est clairement écrit que si tu perds ton 2FA, faut utiliser les codes de récup, et que si t'as pas, bitwarden ne peut rien faire ( ce qui est quelque part "secure" ). Par contre, j'ai techniquement pas perdu mon 2FA, c'est leur procédure d'enregistrement qui est bugguée. Pourquoi un comportement différent entre bitwarden et gitlab , là où je n'ai pas eu besoin de configurer un pin code pour ce dernier.
 
 
Par chance, et chose très bizarre, j'ai toujours accès à mon compte bitwarden via l'app android, qui n'a pas de 2FA ( c'est pas possible, au début je voulais même attacher ma clé plutot sur l'app android) ,le seul truc que j'ai c'est le déblocage par biométrie ( empreinte et/ou visage ). J'ai donc toujours accès à mes password, j'ai tout exporté d'ailleurs dès que j'ai pu, et j'ai l'impression que malgré tout , via l'app, je peux toujours enregistrer des entrées dans la base, malgré la 2FA via clé avec le webportal. Et évidemment , impossible de reconfigurer le compte via l'app pour retirer la 2FA ou autre, l'unique option ouvre le navigateur chrome et on retombe dans le process normal qui ne marche pas.
 
 
Conclusion pour ceux qui ne veulent pas tout lire :
 - toujours avoir des codes de recup  
 - optionnellement, avoir une seconde méthode 2FA ( mais pour moi, ca invalide le coté sécure de la clé )  
 - et pour bitwarden en particulier, et surtout avec des google titan key, il faut configurer le code PIN au préalable au risque de bloquer le compte, en considérant qu'il n'existe pas d'outil officiel fourni par google permettant de configurer ce code pin ( ni de faire du key management ).
 
 
Je vais au pire tenter de négocier de basculer mon compte premium sur le nouveau compte bitwarden, mais je perds quand même mon adresse mail.
 
pfff...

Pour moi ton souci vient du fait que le modèle de clé que tu as choisis a effectivement l'air de pas être très bien documentée...

Je prends l'exemple de Yubico parce c'est ce que je connais (j'en ai 2) :
Les clés de sécurité Yubico compatible FIDO2 WebAuthn ont toute un PIN par défaut (123456 : https://support.yubico.com/hc/en-us [...] biKey-PINs ) qui peut doit être changé/customisé.

Ensuite pour la partie coté Bitwarden, le standard FIDO2 WebAuthn n'indique pas quelle marque/type de clé tu vas utiliser et donc il ne peut pas savoir s'il doit attendre un PIN, une empreinte de doigt, etc ... pour valider l'authentification de la clé.
C'est dans la doc de ta clé Titan que doivent se trouver ces informations.

Concernant ton coffre sur ton smartphone, c'est normal qu'il soit toujours accessible car il fonctionne en cache local.
Par contre dès que son authentification à ton coffre va expirer, tu seras bloqué de la même manière !

Ce qui est sûr, c'est qu'il faut TOUJOURS sauvegarder ses codes de récupération, seuls moyens de déverrouiller un MFA qu'on aurait perdu.

D'ailleurs, c'est pour ça que je parle de MFA et pas de 2FA.
Il vaut mieux multiplier les facteurs possibles d'authentification, en faisant bien attention au choix de ces facteurs :
- ce que je connais : le mot de passe maître
- ce que je possède : une passkey / token physique (Yubico, SecureID,...) et les codes TOTP / appli authenticator qui sont un peu moins sécurisés car "logiciels".
- ce que je suis : une empreinte / détection de visage / biométrie

Avoir d'autres méthodes n'invalide pas la sécurité de la première : par contre c'est le facteur le plus "faible" qui détermine ton niveau de sécurité global.
C'est notamment pour ça qu'on conseille d'avoir plusieurs clés de sécurité : c'est pour ça que j'ai 2 yubico différentes, l'une étant un backup de l'autre tout en gardant le même niveau de sécurité.

En tout cas, je pense que le support va te proposer de virer ton ancien compte et de le recréer, puis réimporter tes données que tu as heureusement sauvegardé.
Si tu as changé le PIN, à moins éventuellement de remettre celui par défaut (et encore...), tu n'auras pas de moyens d'utiliser la clé comme ça.

Petite question au passage : tu utilises le coffre en ligne ou une instance auto-hébergée ?
Si tu héberges ta propre instance, il suffit de restaurer la dernière sauvegarde avant que tu ais activé cette clé.

C'est le coffre en ligne malheureusement.

Le coup des multi clé, c'est une bonne idée, leur je vais peut être partir sur du yubico plutôt, je suis un peu déçu du produit Google pour le coup.

 
J'avais répondu un peu vite.
 
J'ai fouillé la doc de la clé google titan... enfin fouillé, y a pas de doc. La doc papier dans la boite renvoie vers une page web, et cette page web n'explique en rien qu'il faut mettre un code PIN.
 
Après, ce que je ne m'explique pas, c'est que la clé marche sans besoin de ce code pin avec gitlab. Et avec google account j'ai eu encore un autre comportement :
 - j'ouvre une fenetre privée, je tape l'adresse mail de mon compte protégé avec la clé titan ( sur  laquelle j'ai configuré un code PIN depuis, via l'outil pas officiel )
 - je m'attends à saisir le mot de passe du compte avant de passer à l'étape de la clé, mais non, il me demande directement la clé, et il demande par la même occasion le code pin ( chose qu'il n'avait jamais faite avant que je configure le code pin )
 - je tape le code pin, et là, ca échoue, avec un message "clé pas familière" . Trop bizarre quoi
 - en fouillant un peu dans les différentes options de login et les alternatives , je finis par arriver à saisir le mot de passe de mon compte, et à ce moment, il me repropose un peu différemment d'insérer ma clé pour la partie 2FA, et là, il ne me demande pas le pin, et il arrive à lire correctement la clé, et ainsi rentrer dans le compte
 
Bref, c'est quand même de mon point de vue un comportement erratique et pas du tout robuste. Un comble pour une clé de protection. En tout cas, je pense me diriger plutôt vers des clés yubico, c'était de toutes façons un essai.
 
Pour revenir à bitwarden ( car c'est le sujet principal ), je suis toujours en discussion avec le support, ils posent beaucoup de questions ... mais ca avance pas super vite. Je pense que je vais perdre mon compte principal, mais comme j'ai un dump de mes mots de passe, ce n'est pas si grave, ils ont l'air ok pour rebasculer mon compte premium sur le nouveau compte.
 
A noter que j'ai eu un pb supplémentaire hier en refaisant des essais, j'ai eu un message "abnormal network traffic , code error 7 " pour me connecter ( y compris sur le nouveau compte qui marche ) , le support m'a justement posé un certain nombre de questions suite à ca  car je le leur ai dit également, à mon avis, c'est pour investiguer de leur côté et comprendre ce qui a pu se passer.

J'espère que ça va avancer avec le support.
Ils ont toujours été assez réactifs pour moi, pour des questions techniques ou de licence.

 
Ca a été réglé juste aujourd'hui justement. On n'a pas eu d'autre choix que d importer l'export que j'avais pu faire sur un nouveau compte, delete l ancien, changer l'email du nouveau, et reporter le compte premium sur le nouveau compte.
 
J'ai bien évidemment généré les codes de récup sur le nouveau compte, et je vais associer une seconde clé comme suggéré ci-dessus, je vais je pense acheter une yubikey.
 
En attendant, cet épisode m'a fait découvrir le plugin chrome bitwarden, c'est ultra pratique ( je n'utilisais bitwarden que sur mobile jusqu'alors ).

Bon apparemment ils ont qq problèmes avec le service, impossible de se loguer et ça rale sur twitter

Il y a aussi un souci au niveau de la dernière mise à jour sur les instances auto-hébergées : https://github.com/bitwarden/server/issues/4059
C'est chiant vu que généralement les mises à jour sont schédulées automatiqument en crontab...
Seul workaround pour l'instant est de rollbacker vers la version 2024.4.1 et désactiver les mises à jours en attendant un correctif.

Je ne sais pas si ils ont eu le même souci sur leur coffre online, vu qu'ils son bien en version 2024.4.2 sur leur portail.

Petit récap des dernières nouveautés :

PASSWORD MANAGER
2024.4.1
    - La possibilité de supprimer les Passkeys d'une entrée depuis l'interface web (détails).
2024.4.2
    - La possibilité de sauvegarder les Passkeys depuis les applications mobiles. Disponible pour iOS et en beta pour Android (détails).
    - La possibilité de supprimer les Passkeys d'une entrée depuis les extensions navigateurs et les applications de bureau (détails).

SECRET MANAGER
2024.4.1
    - Le renommage des "Service accounts"/"Comptes de service" --> "Machine accounts"/"Comptes machine".
2024.4.2
    - Une meilleure intégration du Secret Manager dans l'interface web en accès rapide.
    - L'arrivée du Secrets Manager CLI en tant qu'image Docker (détails).

BITWARDEN AUTHENTICATOR
Bitwarden a lancé une nouvelle application mobile indépendante pour gérer ses codes MFA TOTP (détails).
Cette application est gratuite et ne nécessite pas un compte ni un abonnement Bitwarden (C'est un équivalent à Authy, Google Authenticator, etc...).

Les nouveautés avant les vacances :

PASSWORD MANAGER
2024.5.0
    - La possibilité de cloner dans son propre coffre un item partagé d'une organisation.
    - Début de la migration des extensions navigateurs vers le Manifest V3. C'est fait progressivement en commençant par ~1% des utilisateurs, et en augmentant durant le mois de mai.
    - Auto-hébergement : La nouvelle gestion des droits sur les collections arrive pour les instances auto-hébergées (détails).
2024.6.0
    - La possibilité de sécuriser l'utilisation des PassKeys via les extensions navigateurs avec un facteur supplémentaire (mot de passe, PIN, ...) (détails).
    - Nouveaux écrans "Getting Started" pour faciliter la compréhension du fonctionnement de Bitwarden pour les nouveaux utilisateurs.
    - Réorganisation des paramètres des extensions navigateurs.
    - Compatibilité complète avec les fenêtres de navigation privées de Firefox (détails).
    - Les extensions navigateurs et les applications de bureau peuvent désormais exporter les données en les protégeant avec mot de passe (détails).

2024.6.1
    - Évolution de la gestion des permissions sur les Collections.

2024.6.3
    - Les admins peuvent maintenant approuver en masse les demandes de connexion SSO avec un appareil validé via le portail ou le CLI.
    - Migration des utilisateurs vers les nouvelles clés de chiffrement plus modernes (réauthentification nécessaire) (détails).
    - Auto-hébergement : La nouvelle options de gestion des collections arrive pour les instances auto-hébergées (détails).

SECRET MANAGER
2024.6.0
    - Nouvelle version d'essai de 7 jours (détails).
    - Nouveau Secrets Manager Kubernetes Operator (beta) pour intégrer les secrets de Bitwarden Secret Manager directement dans un cluster Kubernetes (détails).

BITWARDEN AUTHENTICATOR
2024.6.0
    - La possibilité d'importer les codes TOTP depuis de nouvelles sources : Google Authenticator, LastPass Authenticator, Raivo, 2FAS,... (détails).

ADMIN CONSOLE
2024.5.0
    - Intégration de Splunk Cloud à l'Admin Console (détails).
2024.6.0
    - Les permissions custom peuvent maintenant être gérées via API.

fais gaffe tes liens marchent pas il y a des caractères en trop

Fixed.
J'avais merdé le bbcode...

J'en ai profité pour rajouter les dernières versions dynamiquement.

Comment sauvegarder ses codes de récupération sur la version hébergée svp?

Tu les trouveras avec la config du MFA ici : https://vault.bitwarden.com/#/setti [...] two-factor
A toi des les stocker correctement pour ne pas les perdre.

Attention pour ceux qui utilisent encore de vieilles versions (clients < 2023.8.2 et serveur < 2024.2.0) : ces version ne fonctionneront plus à partir d'octobre 2024.
 
C'est dû à l'obsolescence de l'ancien algo de chiffrement.

Les nouveautés pour les versions 2024.7.x :

PASSWORD MANAGER
2024.7.1
    - L'utilisation d'une PassKey via les extensions navigateurs ne nécessitent plus la revalidation de l'utilisateur (rollback temporaire).
    - Les clés PRF des Passkeys utilisées pour déverrouiller le coffre persistent maintenant aussi en cas de rotation de la clé de chiffrement (détails).
    - Clarifications dans les étapes d'invitation pour les contacts et providers d'urgence.
    - La possibilité désormais de déplacer en lot plusieurs items vers une collection.
    - Renommage de "Move selected" en "Add to folder" pour plus de clarification.
    - Dépréciation de l'option pour autoriser l'approbation d'un autre client depuis l'application desktop : c'est désormais activé par défaut (détails).
    - Amélioration du workflow d'authentification SSL avec la possibilité d'ajouter une URL de redirection sur la page de login (détails).

SECRET MANAGER
2024.7.1
    - La possibilité d'ajouter un accès direct à un secret sans passer par un projet intermédiaire (détails).
2024.7.3
    - Nouvelle page d'accueil plus claire et possibilité de souscrire directement depuis celle-ci (détails).

BITWARDEN AUTHENTICATOR
Pas de nouveautés.

ADMIN CONSOLE
2024.7.2
    - Apparition de la gestion de revendeurs dans les pages de facturation (détails).
2024.7.3
    - Limitation des accès des providers tiers sur les coffres pour des questions de sécurité et de confidentialité.

AUTO-HÉBERGEMENT

ATTENTION :
Les versions avant 2024.07.x ne fonctionneront plus à partir d'octobre 2024 (et la déploiement de la versions 2024.10.x).
C'est dû à la cassure de compatibilité avec l'apparition du nouveau système de chiffrement des items dans le coffre (détails).

2024.07.1
    - Support des approbations en lot des appareils avec SSO (détails).

Les nouveautés pour les versions 2024.8.x :
 
ATTENTION :  
Les applications mobiles vont bientôt passer de Xamarin à des applications natives.
De fait, les smartphones les plus anciens ne seront plus compatibles (détails) :
- Android < 10 (Q)
- iOS < 15.0
 
PASSWORD MANAGER
2024.8.0
    - Nouvelles méthodes de remplissage automatique des cartes de paiement et d'identité, à la manière des mots de passes  
    - Le déverrouillage par biométrie sous Linux via polkit (détails).
2024.8.2
    - La possibilité de faire générer à Bitwarden un mot de passe complexe unique pour les exports chiffrés du coffre(détails).
 
SECRET MANAGER
2024.8.0
    - L'affichage dans la barre de navigation du nombre de secrets, comptes et projets.
 
BITWARDEN AUTHENTICATOR
Pas de nouveautés.
 
ADMIN CONSOLE
2024.8.0
    - De nouvelles options pour changer le mode de déchiffrement dans les Organisations (détails).
2024.8.2
    - L'intégration du SIEM Rapid7 (détails).
 
AUTO-HÉBERGEMENT
Pas de nouveautés.

Les nouveautés pour les versions 2024.9.x :
 
PASSWORD MANAGER
2024.9.1
    - La possibilité de passer directement pas le menu auto-fill pour utiliser une PassKey (détails).
2024.9.2
    - Les pièces jointes en PDF sont maintenant téléchargées par défaut et non plus ouvertes dans un nouvel onglet (détails).
 
SECRET MANAGER
2024.9.2
    - Nouvelle vue pour les comptes machines (détails).
 
BITWARDEN AUTHENTICATOR
Pas de nouveautés.
 
ADMIN CONSOLE
2024.9.1
    - Un nouveau rapport d'accès des utilisateurs pour les licences Enterprise organizations (détails).
    - Fix d'un bug dans les logs pour les utilisateurs qui ont été supprimés par API ou via Directory Connector
 
AUTO-HÉBERGEMENT
Pas de nouveautés.

Ajoutons qu’il y a eu en coulisses un changement qui n’a pas vraiment plu à tout le monde (faut-il croire qu’à partir d’un certain moment, la m××dification est inévitable ?) :

BitWarden : inquiétudes autour d’un éloignement de l’open source

(Ajout d’une dépendance de compilation au SDK maison, lequel impose des restrictions sur les possibilités de redistribution en cas de fork)

Potentiellement une « erreur », style « mince, ça s’est vu et ça passe pas ? Bon, damage control : on renonce et on dit qu’on a gaffé (même si personne ne croira ce bobard, à raison), et on attend des temps plus favorables pour recommencer et que, là, ça passera enfin ».

J'ai vu ça passer, et j'étais justement en train de creuser la question.

En fait le shitstorm mélange 2 aspects (merci les journalopes ...) :
- le fait que la compilation inclue une dépendance à un SDK interne
- le fait que la licence de celui-ci ne permette pas son usage pour autre chose que la compilation des binaires officiels de Bitwarden.

Dans un premier temps certains ont crié au loup sur la fin de l'open source.
C'est faux : le code est librement accessible : https://github.com/bitwarden/sdk-in [...] -internal/

Pour ce qui est de la licence et de l'utilisation du code source de ce fameux SDK interne, il est en effet précisé :

Source : https://github.com/bitwarden/sdk-in [...] in/LICENSE
Ce point est totalement compatible avec une licence GPL open source.

Par contre en limitant l'usage à Bitwarden seul, ça bloque potentiellement tout fork non officiel.
C'est la différence entre les concepts d'Open Source et de Libre : Bitwarden est open source, mais pas (plus ?) libre.

A voir si ça va bloquer VaultWarden par exemple, en fonction de s'il a besoin de cette dépendance ou non.

D'ailleurs, le bug auquel l'article fait référence n'est pas une régression dans l'ouverture du code source, mais est bien traité comme un bug : le changement (l'ajout de la dépendance au SDK interne) ne devrait pas bloquer la compilation du code officiel chez qui que ce soit.
Cf. la réponse du créateur de Bitwarden : https://github.com/bitwarden/client [...] 2424865225

Merci pour les précisions.
 
Je connais en effet une asso qui utilise VaultWarden en auto-hébergé. J’espère que ça posera pas de problème sur le suivi technique par répercussion, et n’obligera pas à aller voir ailleurs.

Coté VaultWarden ça n'a pas l'air d'être bloquant : https://github.com/dani-garcia/vaul [...] sions/5115

La question maintenant, c'est de voir dans quelle direction philosophique va aller le projet Bitwarden pour la suite.
Sachant qu'ils ont bien vu que c'était un sujet sensible, sans même parler du shitstorm Winamp ....
Si au moins ça peut faire prendre conscience qu'un changement de licence n'est jamais anodin, surtout quand on parle des intégristes barbus de l'open source et du libre qui ne sont pas mieux que les intégristes du monde Microsoft et autres...

Tu aurais pu (et donc dû) éviter de finir sur du bothsidism de bas-étage (pléonasme : ça l’est par définition) et inventer une fausse équivalence totalement pétée et impossible entre le fait de vouloir redonner le plein contrôle aux utilisateurs sur leurs matériels et logiciels, et les politiques commerciales prédatrices d’entreprises qui ne veulent que se faire du pognon en retirant ce même contrôle à ces utilisateurs sur leurs produits dont ils restent, au final, les vrais propriétaires.
 
Au moins, sans ça, le reste du message garde une certaine validité.

Le propriétaire de Bitwarden c'est 8bit Solutions LLC.
Bitwarden est open source, mais pas  entièrement libre.
 
Ils utilisent 3 licences :
 
- Bitwarden clients: GPL 3.0 (open source et libre)
- Bitwarden server: AGPL 3.0 (open source et libre)
- Commercial.Core et SSO integration: Licence Bitwarden "sources availabe" (open source non libre)
 
Ils précisent pour cette dernière :

Source : https://github.com/bitwarden/server [...] NSE_FAQ.md
 
Par exemple c'est pour ça que VaultWarden n'est pas gêné : ils n'utilisent que la partie serveur (sous licence AGPL 3.0) qui est réécrite en Rust.
 
Et dans mon message précédent, partie VaultWarder mise à part, c'est surtout parce que je me pose des questions sur l'orientation que veut donner l'éditeur à Bitwarden pour la suite.
C'est pour ça que j'insiste sur la différence entre open source et libre.

Les nouveautés pour les versions 2024.10.x :
 
PASSWORD MANAGER
2024.10.2
    - Désormais, tout nouvel utilisateur qui s'inscrit devra valider son email avant de créer sont mot de passe maitre (détails).
    - Les utilisateurs sous Linux peuvent maintenant utiliser la biométrie dans les navigateurs basés sur Chromium (détails).
    - Les applications Windows et MacOS bloquent désormais la capture et l'enregistrement de l'écran (détails).
    - Les applications desktop peuvent maintenant synchroniser le coffre même s'il est verrouillé (détails).
 
SECRET MANAGER
Pas de nouveautés.
 
BITWARDEN AUTHENTICATOR
Pas de nouveautés.
 
ADMIN CONSOLE
2024.10.2
    - Intégration native du SIEM Microsoft Sentinel (détails).
    - La possiblité de provisionner automatiquement les utilisateurs et les groupes depuis le gestionnaire d'identité fédéré SCIM (détails).
    - Des améliorations sur l'UI pour changer de plan pour les licences (détails).
    - Des nouvelles règles pour autoriser l'authentification automatique des applications non-SSO (détails).
 
2024.10.4
    - Restriction aux utilisateurs ayant un profil owners, admins, ou custom users avec le droit "Manage users".
    - Migration progressive des providers tiers vers le nouveau système de facturation (détails).
 
AUTO-HÉBERGEMENT
Pas de nouveautés.