Gardez vos secrets en sécurité avec Bitwarden

Bitwarden est un gestionnaire de mots de passe open-source qui permet de stocker et de sécuriser ses identifiants de manière chiffrée. Contrairement aux solutions cloud classiques, Bitwarden propose une installation on-premise, permettant aux entreprises et aux utilisateurs soucieux de la sécurité d’héberger eux-mêmes leurs données.

Un peu d’histoire

Bitwarden a vu le jour en 2016, créé par Kyle Spearrin, avec l’ambition de proposer une alternative open-source et sécurisée aux gestionnaires de mots de passe propriétaires. À une époque où la gestion des mots de passe devenait un enjeu majeur en cybersécurité, Bitwarden s’est rapidement imposé grâce à sa transparence et son chiffrement de bout en bout.

Au fil des années, la plateforme s’est enrichie de nombreuses fonctionnalités, notamment le partage sécurisé, l’authentification à deux facteurs (2FA) et l’intégration avec des outils d’entreprise comme LDAP et SSO. Aujourd’hui, Bitwarden est une référence, adoptée aussi bien par des particuliers que par des entreprises cherchant à renforcer leur sécurité numérique.

Fonctionnalités principales de Bitwarden

Bitwarden se distingue par une panoplie de fonctionnalités qui garantissent une gestion sécurisée et fluide des mots de passe. Voici les plus essentielles :

• 🔐 Stockage chiffré et sécurisé : Tous les mots de passe sont chiffrés en AES-256 avec un hachage PBKDF2-SHA256, garantissant que seuls vous (et non Bitwarden) avez accès à vos données.

• 🌍 Synchronisation multi-plateforme : Disponible sur Linux, Windows, macOS, Android et iOS, ainsi que via des extensions navigateur et une interface web, Bitwarden permet un accès fluide à vos identifiants sur tous vos appareils.

• 🔄 Partage sécurisé des identifiants : Avec les Organisations et Collections, il est possible de partager des mots de passe en toute sécurité avec des collègues, des amis ou des membres de la famille.

• 🔑 Authentification à deux facteurs (2FA) : Bitwarden supporte plusieurs méthodes de 2FA : TOTP, FIDO U2F, YubiKey, Duo Security et plus encore, renforçant ainsi la sécurité d’accès.

• 🛠 Intégration : Bitwarden propose des fonctionnalités adaptées aux entreprises : LDAP, SSO, API RESTful, CLI, et même un serveur auto-hébergé pour un contrôle total sur les données.

• 🛡 Audit et génération de mots de passe forts : Un générateur intégré crée des mots de passe complexes, tandis que des rapports de sécurité analysent la robustesse de vos identifiants et détectent d’éventuelles compromissions.

Prérequis pour l’installation sur Linux

Avant d’installer Bitwarden sur un serveur Linux, il est important de s’assurer que votre environnement est prêt. Voici les prérequis nécessaires pour une installation fluide et sécurisée.

Bitwarden peut être installé sur la plupart des distributions Linux, notamment :

• Ubuntu 20.04+
• Debian 10+
• CentOS 8+
• RHEL 8+

Configuration matérielle minimale :

• Processeur : 1 CPU (2 GHz recommandé)
• Mémoire RAM : 2 Go minimum (4 Go recommandé)
• Stockage : 10 Go d’espace disque disponible

Dépendances nécessaires : Selon l’installation choisie (avec ou sans Docker), vous aurez besoin des éléments suivants :

Installation de Bitwarden sur Linux

L’installation de Bitwarden via Docker est la méthode la plus simple et recommandée. Elle permet de déployer rapidement l’application avec toutes ses dépendances, sans avoir à les installer manuellement. Voici les étapes à suivre :

1. Configurer votre domaine : Assurez-vous de disposer d’un nom de domaine pointant vers votre serveur. Ouvrez les ports 80 et 443 sur votre machine pour permettre le trafic HTTP et HTTPS.

2. Installer Docker et Docker Compose : Si Docker n’est pas déjà installé, suivez mon guide pour installer Docker sur Linux.

3. Créer un utilisateur dédié à Bitwarden : Pour des raisons de sécurité, il est recommandé de créer un utilisateur dédié à Bitwarden et de l’ajouter au groupe docker.

   sudo apt update && sudo apt upgrade -y
   sudo adduser bitwarden
   sudo passwd bitwarden # Définir un mot de passe fort
   sudo usermod -aG docker bitwarden

4. Créer un répertoire pour Bitwarden : Créez un répertoire pour stocker les données de Bitwarden et assurez-vous que l’utilisateur Bitwarden en est le propriétaire.

   sudo mkdir -p /opt/bitwarden
   sudo chmod -R 700 /opt/bitwarden
   sudo chown -R bitwarden:bitwarden /opt/bitwarden

5. Obtenir les identifiants d’installation : Rendez-vous sur https://bitwarden.com/host ↗ pour obtenir votre ID d’installation et votre clé d’installation.

6. Installer Bitwarden en utilisant le script :

   su - bitwarden
   cd /opt/bitwarden
   curl -Lso bitwarden.sh "https://func.bitwarden.com/api/dl/?app=self-host&platform=linux" && chmod +x bitwarden.sh
   ./bitwarden.sh install

7. Suivez les instructions à l’écran, en fournissant :

   • Votre nom de domaine.
   • Votre ID d’installation et votre clé d’installation.
   • Votre région (Europe ou États-Unis).
   • Les informations concernant le certificat SSL (Let’s Encrypt est recommandé).

8. Configurer l’environnement : Modifiez le fichier ./bwdata/env/global.override.env pour ajuster les paramètres selon vos besoins, notamment les configurations SMTP pour les e-mails.

   nano ./bwdata/env/global.override.env

   Remplacez les valeurs suivantes par vos propres paramètres :

   ...
   globalSettings__mail__smtp__host=<placeholder> # Exemple : smtp.gmail.com
   globalSettings__mail__smtp__port=<placeholder>  # Exemple : 587
   globalSettings__mail__smtp__ssl=<placeholder> # Exemple : true
   globalSettings__mail__smtp__username=<placeholder>  # Exemple : toto@gmail.com
   globalSettings__mail__smtp__password=<placeholder>  # Exemple : motdepasse
   ...
   adminSettings__admins=toto@gmail.com  # Ajoutez les adresses e-mail des administrateurs
   ...

9. Démarrer Bitwarden : Exécutez la commande suivante pour démarrer Bitwarden :

   ./bitwarden.sh start

10. Accéder à Bitwarden : Ouvrez votre navigateur et accédez à https://votre-domaine.com pour accéder à Bitwarden. Créez un compte administrateur et commencez à utiliser Bitwarden.

Félicitations, votre serveur Bitwarden est maintenant opérationnel ! 🚀 Vous pouvez maintenant créer un compte et configurer l’accès pour vos utilisateurs.

Gestion avancée de Bitwarden

Portail de l’administrateur système

L’accès au portail se fait via une authentification sécurisée sans mot de passe, en envoyant un lien de connexion à l’adresse e-mail de l’administrateur.

Pour accorder l’accès au Portail de l’administrateur système, il est nécessaire de modifier le fichier d’environnement situé à ./bwdata/env/global.override.env. Ajoutez les adresses e-mail des administrateurs autorisés à la variable adminSettings__admins en les séparant par des virgules.

Par exemple :

adminSettings__admins=john@example.com,bill@gmail.com,tom@example.com

Une fois les configurations effectuées, le Portail de l’administrateur système est accessible à l’adresse https://votre.domaine.com/admin. Lorsqu’un utilisateur tente de se connecter, un lien sécurisé est envoyé à son adresse e-mail, à condition que cette adresse soit spécifiée dans adminSettings__admins. En cliquant sur ce lien temporaire, l’utilisateur est authentifié et accède au portail. Le lien est actif pendant 15 minutes suivant la tentative de connexion.

Bitwarden Secrets Manager

Pour intégrer Bitwarden Secrets Manager dans votre environnement auto-hébergé, voici les conditions requises et les étapes à suivre :

Conditions préalables :

1. Abonnement Enterprise : L’auto-hébergement de Bitwarden Secrets Manager est disponible pour les organisations disposant d’un abonnement Enterprise.
2. Version du serveur : Assurez-vous que votre serveur Bitwarden auto-hébergé est mis à jour vers la version 2023.10.0 ou ultérieure.

Étapes d’intégration :

1. Souscription à Secrets Manager :
   • Connectez-vous à votre organisation Bitwarden hébergée sur le cloud.
   • Souscrivez à un abonnement Secrets Manager via la page de gestion des abonnements.
2. Mise à jour du serveur auto-hébergé :
   • Mettez à jour votre serveur Bitwarden vers la version 2023.10.0 ou une version ultérieure.
3. Obtention du nouveau fichier de licence :
   • Après la souscription, récupérez le nouveau fichier de licence depuis votre organisation hébergée sur le cloud.
4. Chargement de la licence sur le serveur auto-hébergé :
   • Téléversez le fichier de licence sur votre serveur auto-hébergé pour activer Secrets Manager.

Fonctionnement de Secrets Manager en environnement auto-hébergé

Une fois configuré, Bitwarden Secrets Manager vous permet de :

• Stocker et gérer des secrets : Centralisez le stockage de vos clés API, mots de passe de bases de données et autres informations sensibles.
• Déployer des secrets : Intégrez les secrets dans vos pipelines CI/CD et autres processus automatisés.
• Contrôler l’accès : Définissez des permissions granulaires pour les membres de l’équipe et les comptes machine.
• Auditer les accès : Surveillez l’utilisation des secrets grâce à des journaux d’audit détaillés.

Conclusion

Installer Bitwarden en auto-hébergement sur Linux s’est avéré relativement simple et accessible, surtout avec Docker. Grâce à ce guide, vous avez pu déployer votre propre gestionnaire de mots de passe sécurisé et prêt à l’emploi.

Cependant, certaines fonctionnalités avancées, comme la gestion des secrets avec Bitwarden Secrets Manager, ne sont pas incluses par défaut dans la version auto-hébergée. Pour en bénéficier, une licence Enterprise est requise. Malgré cette contrainte, Bitwarden reste une solution robuste, sécurisée et flexible, idéale pour une utilisation personnelle ou en entreprise.

Dans un prochain guide, nous verrons comment utiliser la CLI Bitwarden pour gérer vos identifiants et secrets en ligne de commande, ce qui ouvrira encore plus de possibilités d’automatisation et d’intégration avec vos workflows DevOps