Chez Picasoft, on vient de mettre en place un Vaultwarden pour nos besoins interne. On réfléchis à l’ouvrir au public.
Le problème, c’est qu’on est partagé en interne concernant la responsabilité d’un tel service.
Si demain, notre service est indisponible (ou pire), les personnes ne peuvent plus se connecter à leurs comptes en ligne.
Il y a bien sur des moyens de contournement comme exporter sa base et l’uploader sur le service d’un autre chatons le moment venu. Mais encore faut-il que l’utilisateur le fasse de lui-même.
Pour les chatons qui hébergent un tel service, comment ça se passe ?
Avez vous en tête cette responsabilité ?
Vous faites une communication particulière là dessus ?
Et sur le fait que si le mot de passe maitre est oublié, les mots de passes ne seront plus jamais accessible ?
On est preneur de retours pour alimenter notre réflexions !
Et sur le fait que si le mot de passe maitre est oublié, les mots de passes ne seront plus jamais accessible ?
Sur l’instance Bitwarden officielle, c’est le cas : si tu perds ton MDP, on te dit clairement que ta seule option est de procéder à une réinitialisation du compte, avec perte des données (cf la documentation officielle)
Côté ARN, on s’est posé la question à la fois pour la gestion interne mais aussi pour l’ouverture au public, pour l’instant ce qui nous retient ce n’est pas tant la question de la fiabilité, que celles de la sécurité.
Centraliser beaucoup de mots de passe dans un service accessible en ligne, c’est une question délicate. Ça implique la création d’un point qui peut attirer des attaques ciblées et ce sera d’autant plus risqué si on n’a aucune maîtrise ou connaissance de la nature des accès stockés (dans le cas de l’instance ouverte). Sur ce dernier point, ceci dit, c’est la même chose avec un nextcloud ou de l’hébergement VPS…
Là ce qui me dérange fondamentalement dans vaultwarden, c’est que ce logiciel propose une page web où taper la passphrase de déchiffrement. Peut être que le déchiffrement se passe en local (je ne sais pas), MAIS rien ne garantie que le serveur n’est pas corrompue et que la page web n’est pas remplacée par une autre. Le mécanisme de sécurité pour contrer ça n’existe pas encore dans nos navigateurs.
Si il n’y avait que des clients installables, qui font le déchiffrement en local et synchronise les secrets de façon chiffrés, et avec un processus de publication fiable, ce serait mieux.
Bref, si on déployait ça chez ARN en interne, je pense qu’on le rendrais accessible uniquement par un tunnel (ou autre technique pour ne pas exposer le service directement). Du coup, l’ouvrir au public c’est forcément l’exposer et prendre plus de risque.
De mon côté, je préfère les keepass synchronisés, le seul hic c’est que le format de keepass devrait gérer les équipes et être éclaté en plusieurs fichiers pour simplifier sa synchronisation, ce qui n’est pas le cas. Mais même ça je trouve que ce n’est pas à la hauteur de ce qui pourrait se faire en matière de sécurité de ce genre de solution…
Cela m’a toujours gêné également de donner les différents mots de passe à un service centralisé accessible via internet directement. Et forcément je ne me vois pas proposer ce genre de service car pour moi il y a trop de risque.
Il vaut mieux proposer aux utilisateurs (et peut être faire un petit guide spécifique) d’utiliser un outil du style KeePassXC avec le plugin associé dans le navigateur, si nécessaire synchronisé dans un nextcloud pour permettre l’ouverture sur téléphone et tablette…
Ainsi que l’utilisation de la fonctionnalité KeeShare pour partager à plusieurs des identifiants, cela demande un peu d’organisation au départ mais c’est très efficace et je pense plus sécurisé, chacun est maitre de ses fichiers, les stocks selon les besoins soit sur un pc unique, un réseau interne ou si vraiment nécessaire dans un cloud.
A titre personnel, j’ai également monté une instance vaultwarden il y a 2 mois environ, pour mes proches (3 personnes) afin que certains arrêtent d’envoyer leurs mots de passes chez Google et que les autres ne les stockent plus dans des fichiers imprimés régulièrement.
Cette solution était plus à leur portée qu’un pass(word-store) que j’utilise aujourd’hui au quotidien ou qu’un keepass.
Ils sont très content de vaultwarden car ils peuvent realiser tout ce dont ils ont besoin directement dans leur navigateur.
Anecdote :
Côté sauvegarde, hier je faisait la mise à jour du container et à cause d’une fausse manip j’ai supprime le volume des données. Alors je me lance dans la restauration.
Enfin non, puisque au final le dossier n’était pas inclus. Du coup je préviens mes proches pour qu’ils fassent un export chiffré de leurs mots de passes le temps que je modifie ma sauvegarde et reconfigure mon instance.
Je recrée leurs comptes et commence la restauration de leurs comptes. Oups raté, une sauvegarde chiffré, doit-elle être déchiffrable à l`aide d’une clef maître différente du mot de passe ?
Refaisons un export non chiffré depuis les postes. Tiens le poste à été déconnecté. Le conflit entre le compte local et celui du serveur aurait-il forcé une déconnexion du client ?
Je coupe donc le serveur, et utilise le client mobile d’un utilisateur qui ne s’était pas encore fait déconnecter. Je rallume l’instance et relance l’import. Ouff, cette fois c’est bon.
Je refais avec les 2 autres utilisateurs des exports non chiffrés (depuis des postes ne s’étant pas encore fait déconnectés) et les aide à réimporter et reconfigurer leur clients avec leur compte.
Je suis le seul à avoir perdu mon compte car je n’y ai stocké que peu de mots de passes (pour les contacts d’urgence) et n’avait pas de clients branchés dessus.
Conclusion :
Testez-vos sauvegardes et vos restaurations !
Si je relis le message d’origine, le « seul soucis » c’est l’indisponibilité du service ?
Désolé mais je ne comprends pas bien ce problème. Est-ce que vous vous posez la question d’indisponibilité des mails ? Ou de tout autre service sensible ?
Pour moi, seules les sauvegardes sont importantes, à partir de là il n’y a pas trop de questions à se poser.
Éventuellement, je fais juste un export JSON des mots de passe Bitwarden et j’importe ce fichier dans un Keepass. Ca permettrait d’avoir un accès dégradé aux mots de passe en cas de GROS soucis.
Je ne l’héberge pas dans le cadre d’un chaton mais dans un réseau privé accessible par VPN pour (moi aussi) ne pas l’exposer aux attaques.
Mes déboires récents m’ont fait re-paramétrer mes sauvegardes et re-communiquer sur l’importance des sauvegardes côté utilisateurs en les invitants à stocker une copie (non chiffrée mais restaurable et/ou compatible avec d’autres gestionnaires) à un emplacement sécurisé.
Pour ajouter à la discussion, si je me rappelle bien, l’extension Bitwarden/Vaultwarden pour les navigateurs (et peut-être les téléphones) conserve une copie locale encryptée après la 1ère connexion. Donc, si le service devient indisponible, on peut accéder quand même à nos mots de passe sur le même appareil.
Hello, justement on n’héberge pas de comptes utilisateurs/utilisatrices de mails, parce que c’est un service trop sensible pour nous (et complexe à gérer).
Pour les autres services (messagerie Mattermost, etc), l’indisponibilité est bien sûr un problème potentiel aussi.
Seulement, le fait de ne plus avoir du tout accès à ses mots de passe peut être encore plus handicapant (selon moi, mais ce n’est pas un débat très intéressant).
Mais comme précisé juste au-dessus, si une extension est configurée quelque part, on a toujours un cache sauvegardé
Ça ne nécessite pas trop de compétences à part pour l’installation. Je laisse tourner avec des mises à jour automatiques, j’ai jamais de soucis.
Pour les différentes extensions ou applis configurées, il est possible de révoquer les sessions mais je ne sais pas si on peut forcer les utilisateurs à le faire de temps en temps.
InterHop délivre VaultWarden pour les soignant.e.s. Deux petites remarques
il faut un service pas trop complexe et quand même à l’état de l’art.
Un besoin aussi c’est de pouvoir se connecter à ce service en navigateur car dans énormément d’hôpitaux il est totalement impossible d’installer une application ou une add-on.
Bitwarden remplit ce besoin. Le coté central est en effet un problème mais aussi une commodité minimale pour qu’il y ait des utilisateur.trice.s en santé…
Et pis même si c’est sur un modèle client-serveur mais c’est quand même décentralisé puisqu’on a plusieurs instances. Par contre c’est pas fédéré
On a migré notre serveur auto-hébergé très récemment. On a eu une coupure de service pendant 5 jours. Même si le site internet était mort (bien sur), l’application mobile et l’extension navigateur fonctionnaient encore. Et c’est très rassurant. Avant de rédémarrer le service on a demandé un export local (!! attention les pwd sont en clair ) pour se sécuriser et on l’a effacé après. On aurait pu les réimporter dans un Keepass au besoin comme disait @BeWog
Le mode hors ligne est aussi vital sur les smartphone des pro de santé. Y compris pour se connecter à un autre service hors-ligne sur mobile…
bien sur le mot de passe maitre irrécupérable est la faiblesse et la force ! On ne rèsolvera jamais cette problématique. Chez InterHop on a choisi notre camp. Ca sera au max du vrai e2ee. Il faut de l’éducation+++ Aussi il faut faire un mot de passe (passPhrase) complexe mais retenable !!!
@ljf En effet un site internet est toujours moins sécurisé qu’une application certifiée. Mais cf les besoins en santé notamment dans les hopitaux. Il faut de l’éducation : « utilisez le moins possible de site internet », « l’application native c’est mieux ». Le site internet était un mode par défaut.
A bientôt