Bitwarden: le serveur dépend d'un logiciel propriétaire

Services Gestionnaire de mots de passe
#1

https://bitwarden.com/

Ayant entendu parler en bien de Bitwarden, je tente une installation pour découvrir le coté serveur et client, et rend compte de mes impressions ici.

C’est surprenant de ne pas trouver de lien vers l’installation du serveur sur le site. A vrai dire j’ai d’abord cru que seuls les clienst étaient logiciel libre et que le serveur était propriétaire. Mais en allant dans la page des sources du serveur il y a des instructions. J’y découvre que .NET est maintenant logiciel libre et je note dans un coin de ma tête de vérifier que c’est pour de vrai parce que ce ne serait pas la première fois que je crois au père noël à ce sujet.

En suivant les instructions je vois une note concernant les packages .deb qui recommande d’installer:

wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb

Je tente l’installation avec:

# wget https://dotnetcli.blob.core.windows.net/dotnet/Sdk/release/3.1.4xx/dotnet-sdk-latest-x64.deb
#  sudo dpkg -i packages-microsoft-prod.deb
Selecting previously unselected package packages-microsoft-prod.
(Reading database ... 78962 files and directories currently installed.)
Preparing to unpack packages-microsoft-prod.deb ...
Unpacking packages-microsoft-prod (1.0-ubuntu20.04.1) ...
Setting up packages-microsoft-prod (1.0-ubuntu20.04.1) ...
root@vault-lesjours-focal:~# dpkg -i dotnet-sdk-latest-x64.deb 
Selecting previously unselected package dotnet-sdk-3.1.
(Reading database ... 78970 files and directories currently installed.)
Preparing to unpack dotnet-sdk-latest-x64.deb ...
Unpacking dotnet-sdk-3.1 (3.1.403-1) ...
dpkg: dependency problems prevent configuration of dotnet-sdk-3.1:
 dotnet-sdk-3.1 depends on dotnet-targeting-pack-3.1 (>= 3.1.0); however:
  Package dotnet-targeting-pack-3.1 is not installed.
 dotnet-sdk-3.1 depends on netstandard-targeting-pack-2.1 (>= 2.1.0); however:
  Package netstandard-targeting-pack-2.1 is not installed.
 dotnet-sdk-3.1 depends on dotnet-apphost-pack-3.1 (>= 3.1.9); however:
  Package dotnet-apphost-pack-3.1 is not installed.
 dotnet-sdk-3.1 depends on aspnetcore-targeting-pack-3.1 (>= 3.1.8); however:
  Package aspnetcore-targeting-pack-3.1 is not installed.
 dotnet-sdk-3.1 depends on dotnet-runtime-3.1 (>= 3.1.9); however:
  Package dotnet-runtime-3.1 is not installed.
 dotnet-sdk-3.1 depends on aspnetcore-runtime-3.1 (>= 3.1.9); however:
  Package aspnetcore-runtime-3.1 is not installed.

dpkg: error processing package dotnet-sdk-3.1 (--install):
 dependency problems - leaving unconfigured
Errors were encountered while processing:
 dotnet-sdk-3.1

Il faut donc que je trouve dotnet-runtime quelque part. Mais, en me demandant si ce n’est pas packagé pour Ubuntu 20.04, je trouve que

snap install --classic dotnet-sdk

fonctionne donc je me contente de ça.

Présentation isidorus.fr - Projet de chaton
#2

Je passe à la seconde dépendance: SQL server. Et la je me dis que j’ai perdu mon temps: c’est évidement du logiciel propriétaire. Il se peut que bitwarden soit un logiciel libre mais comme il faut installer un logiciel propriétaire pour le faire tourner, je ne vais pas pouvoir m’en servir dans le contexte que j’imaginais, parce qu’il n’est pas question d’installer un logiciel propriétaire. :man_facepalming:

2 Likes
#3

Je me dis qu’il y a peut-être une façon d’utiliser sqlite ou postgres ou mysql comme alternative, même si ce n’est pas indiqué. Je trouve un thread reddit qui dit The Bitwarden server implementation I’m using uses a sqlite database, so it’s going to be pretty easy to backup its data. et je me dis que l’image docker du serveur bitwarden pourrait avoir quelque chose comme ça.

#4

Oh, mais en fait le thread reddit faisait référence à un serveur compatible bitwarden mais différent, donc aucune raison de penser que le serveur bitwarden peut être autre chose que SQL Server. D’ailleurs le script d’installation docker fait une pause et affiche:

.37.1: Pulling from bitwarden/setup
d121f8d1c412: Pull complete 
7b2d5a029506: Pull complete 
778ad5bbc2d1: Pull complete 
6de7a0eb2598: Pull complete 
6d9bf7184ec4: Pull complete 
50bacc86a89e: Pull complete 
2bdc2ead2e4b: Pull complete 
96f1faf21329: Pull complete 
03e963a2f497: Pull complete 
e06889e6ccd3: Pull complete 
Digest: sha256:384d5bfa7616f16dbfb7d0a4f9ab8db93416c043a0d3b94287a1c3527580cc65
Status: Downloaded newer image for bitwarden/setup:1.37.1
docker.io/bitwarden/setup:1.37.1

(!) Enter your installation id (get at https://bitwarden.com/host):

En allant visiter la page je vois:

bitwarden

Qui met fin au suspens: je vais me détourner définitivement de bitwarden. J’aurais probablement gagné du temps en cherchant des articles concernant la politique de distribution de bitwarden. Mais une personne en qui j’ai confiance me l’avait recommandé et était content de l’héberger. Ce n’est pas tout les jours qu’on trouve un logiciel dont on peut installer le serveur mais qui utilise ces pratiques. De mon coté c’est no-go.

2 Likes
#5

Merci de cette information importante.
Je me tatais aussi avec Bitwarden sur la recommandation dans le livre Déclic page 167 , Bitwarden le coffre-virtuel. … !!!

[https://www.decitre.fr/livres/declic-9782711201976.html]

1 Like
#6

J’utilise bitwarden_rs/sqlite (mais il supporte aussi mysql) depuis 6 mois/1 an et niveau fiabilité rien a redire. Je fais une maj par mois environ (et j’aime beaucoup ce logiciel).

Les defauts que je lui trouve:

  • Pas de tag de version
  • Si on le compile a la main ça demande une grosse machine (2Go de ram et 2 coeurs pour compiler en 10 min ou 20 min sur 1Go et 1 coeur)

les avantages:

  • acces gratuitement a des fonctionalités normalement payantes (même sur la version autohébergé) comme les organisations
  • extremement léger (dans les 50 Mo de mémoire pour le serveur)

J’aime beaucoup.

PS: pas besoin de clé chez bitwarden pour exploiter bitwarden_rs, c’est un projet completement indépendant)

1 Like
#7

Chez yunohost le paquet bitwarden_ynh est en fait bitwarden_rs aussi.
Je suppose que c’est sqlite qui est utilisé

https://github.com/YunoHost-Apps/bitwarden_ynh/blob/master/scripts/install

2 Likes
#8

Je confirme, content de mon côté aussi, et au passage le lien: https://github.com/dani-garcia/bitwarden_rs

1 Like
#9

À titre perso, j’utilise l’application passwords de Nextcloud. J’ai également déployée cette solution au travail (+100 utilisateurs) avec plus de 2000 mots de passes enregistrés et ça fonctionne du feu de dieu.
Je trouve dommage de se tourner vers Bitwarden avec ce socle logiciel bancal (à mon sens) alors que des solutions libres et intéressantes existent, comme passwords.

2 Likes
#10

De mon côté j’utilise l’application Nextcloud passman : https://apps.nextcloud.com/apps/passman

Elle dispose de plugin Fiefox https://addons.mozilla.org/fr/firefox/addon/passman/ pour synchronise ces mots de passes…

2 Likes
#11

Pour ne pas oublier les excellentes découvertes de ce fil de discussion, j’ai fait une liste dans la description de cette catégorie, et en mode wiki pour que chacun puisse l’enrichir.

1 Like
#12

Il ne me semble pas possible d’utiliser cette application sans Nextcloud, si je me trompe les instructions pour s’héberger m’intéressent, merci.

1 Like
#13

il y a également keeweb qui fonctionne bien, et est basé sur keepass. Il existe un module nextcloud qui permet d’ouvrir directement les fichier keepass avec keeweb (ce qui permet de ne pas être dépendant de nextcloud, mais de l’utiliser pour pouvoir accéder plus facilement à ses mots de passe). Dommage, ça ne fonctionne pas avec yunohost pour une raison que j’ignore.

3 Likes
#14

Effectivement il faut une instance Nextcloud pour utilser passwords.

1 Like
#15

Je rejoins le fil un peu tard, mais je confirme que tu n’as pas besoin de clé de chez Bitwarden pour faire tourner Bitwarden_rs. J’utilise cela depuis plusieurs mois et ça marche super bien, même avec les applis officielles.