Merci Bruno pour les précisions. Je ne suis pas expert de Bitwarden, mais il y a dans votre argumentation certains points que je pense être incorrects. J’explique ci-dessous, et bien entendu heureux d’en débattre si vous avez des précisions à apporter:
Pour bitwarden, quand un mot de passe est modifié, seul ce nouveau mot de passe est envoyé au serveur, pas tout le vault.
C’est incorrect d’après la documentation trouvée sur le site web de Bitwarden: le serveur Bitwarden ne manipule pas de mots de passe, uniquement des vaults. Vous pouvez facilement vérifier ce point en regardant les points d’entrées d’API dans la documentation officielle qui ne liste que des points d’entrée permettant de manipuler des collections (et donc des vaults), ou même encore consulter leur security white paper qui indique clairement que seuls des vaults encryptés sont manipulés et non pas des mots de passe. Ci-dessous, une illustration reprise du security white paper :
Illustration du système de vault dans Bitwarden
Également extrait du white paper: Privacy by design: Bitwarden stores all of your logins in an encrypted vault that syncs across all of your devices. Since it’s fully encrypted before it ever leaves your device, only you have access to your data. Not even the team at Bitwarden can read your data (even if we wanted to). Your data is sealed with AES-CBC 256 bit encryption, salted hashing, and PBKDF2 SHA-256.
Je pense donc ne pas me tromper en disant que ce sont donc des vaults cryptés contenant un ensemble de mots de passe qui sont envoyés au serveur en cas d’update, et donc pas des mots de passe individuels. Si vous avez une information prouvant l’inverse, n’hésitez pas à partager.
Bitwarden permet de laisser un commentaire sur un mot de passe donné
Je pense qu’il y a confusion sur la définition de "commentaires". Bitwarden permet de laisser une description sur une entrée, mais ne possède pas de fonctionnalité de commentaires entre utilisateurs à proprement parler. Voici un screenshot de ce qu’offre passbolt en terme de commentaires:
Systeme de commentaires par mot de passe sur Passbolt
Ce système permet donc d'interagir avec d'autres utilisateurs concernant un mot de passe donné.
A ma connaissance, Bitwarden n’implémente pas de fonctionnalités similaires. Pouvez-vous confirmer?
Un petit bémol est que les administrateurs peuvent accéder aux clefs utilisateurs quand l'option de récupération de compte est activée, et donc se faire passer pour les utilisateurs.
Note: pour la fonctionnalité de account recovery dont la sortie est prévue d’ici quelques semaines, il est nécessaire pour un utilisateur d’enclencher lui-même le mode "recovery" avant qu’un administrateur puisse débloquer sa clef. De plus, il est prévu pour bientôt un mode shamir qui permettra de n’activer ce superpouvoir que lorsque le quorum d’administrateurs sera atteint, justement pour pallier cette problématique. Plus d'informations ici.
Il utilise également un système de clés publique/privée en RSA pour partager des secrets avec d'autres utilisateurs.
D’après le security white paper toujours, la clef RSA est utilisée pour encrypter la clef de l’organisation principalement.
Extrait: "An asymmetric key is also generated (RSA key pair) when the user registers their account. The Generated RSA Key Pair is used if and when the user creates an Organization. Organizations can be created and used to share data between users. When you create an organization, an Organization Symmetric key is generated using a Cryptographically Secure Pseudorandom Number Generator (CSPRNG). The Organization Symmetric Key is encrypted using the public key from your Generated RSA Key Pair. The private key from your Generated RSA Key Pair is encrypted with your Generated Symmetric Key using AES-256."
Le partage de mots de passe en soi est effectué en utilisant une combinaison de symétrique et asymétrique. La clef RSA est quant à elle utilisée pour encrypter une clef symétrique.
Pour comparaison, dans passbolt l'ensemble du processus d'encryption des mots de passe est asymétrique et 100% end-to-end.
[^] # Re: BitWarden
Posté par kevin muller . En réponse à la dépêche Passbolt, le gestionnaire de mots de passe pour équipe, lance ses applications mobiles. Évalué à 10. Dernière modification le 27 janvier 2022 à 16:17.
Merci Bruno pour les précisions. Je ne suis pas expert de Bitwarden, mais il y a dans votre argumentation certains points que je pense être incorrects. J’explique ci-dessous, et bien entendu heureux d’en débattre si vous avez des précisions à apporter:
C’est incorrect d’après la documentation trouvée sur le site web de Bitwarden: le serveur Bitwarden ne manipule pas de mots de passe, uniquement des vaults. Vous pouvez facilement vérifier ce point en regardant les points d’entrées d’API dans la documentation officielle qui ne liste que des points d’entrée permettant de manipuler des collections (et donc des vaults), ou même encore consulter leur security white paper qui indique clairement que seuls des vaults encryptés sont manipulés et non pas des mots de passe. Ci-dessous, une illustration reprise du security white paper :
Illustration du système de vault dans Bitwarden
Également extrait du white paper:
Privacy by design: Bitwarden stores all of your logins in an encrypted vault that syncs across all of your devices. Since it’s fully encrypted before it ever leaves your device, only you have access to your data. Not even the team at Bitwarden can read your data (even if we wanted to). Your data is sealed with AES-CBC 256 bit encryption, salted hashing, and PBKDF2 SHA-256.
Je pense donc ne pas me tromper en disant que ce sont donc des vaults cryptés contenant un ensemble de mots de passe qui sont envoyés au serveur en cas d’update, et donc pas des mots de passe individuels. Si vous avez une information prouvant l’inverse, n’hésitez pas à partager.
Je pense qu’il y a confusion sur la définition de "commentaires". Bitwarden permet de laisser une description sur une entrée, mais ne possède pas de fonctionnalité de commentaires entre utilisateurs à proprement parler. Voici un screenshot de ce qu’offre passbolt en terme de commentaires:
Systeme de commentaires par mot de passe sur Passbolt
Ce système permet donc d'interagir avec d'autres utilisateurs concernant un mot de passe donné.
A ma connaissance, Bitwarden n’implémente pas de fonctionnalités similaires. Pouvez-vous confirmer?
Note: pour la fonctionnalité de account recovery dont la sortie est prévue d’ici quelques semaines, il est nécessaire pour un utilisateur d’enclencher lui-même le mode "recovery" avant qu’un administrateur puisse débloquer sa clef. De plus, il est prévu pour bientôt un mode shamir qui permettra de n’activer ce superpouvoir que lorsque le quorum d’administrateurs sera atteint, justement pour pallier cette problématique. Plus d'informations ici.
D’après le security white paper toujours, la clef RSA est utilisée pour encrypter la clef de l’organisation principalement.
Extrait: "An asymmetric key is also generated (RSA key pair) when the user registers their account. The Generated RSA Key Pair is used if and when the user creates an Organization. Organizations can be created and used to share data between users. When you create an organization, an Organization Symmetric key is generated using a Cryptographically Secure Pseudorandom Number Generator (CSPRNG). The Organization Symmetric Key is encrypted using the public key from your Generated RSA Key Pair. The private key from your Generated RSA Key Pair is encrypted with your Generated Symmetric Key using AES-256."
Le partage de mots de passe en soi est effectué en utilisant une combinaison de symétrique et asymétrique. La clef RSA est quant à elle utilisée pour encrypter une clef symétrique.
Pour comparaison, dans passbolt l'ensemble du processus d'encryption des mots de passe est asymétrique et 100% end-to-end.