Bitwarden

Bitwarden est le gestionnaire de mot de passe de la CLIC et de ses commissions.

Comité CLIC

• Chaque pôle a un dossier de mot de passe.
• Le 2FA est obligatoire (il faudrait peut-être le rendre obligatoire pour les commissions qui ont des mots de passe sensibles comme des identifiants bancaire).
• La présidence a accès à tout les dossiers.

Commissions

• Chaque commission a le droit d'avoir une organisation bitwarden.
• La présidence de la CLIC doit être owner de ces organisations.
• L'organisation et les accès aux dossiers d'une organisation est laissée à discrétion des responsables de la commission.

Bitwarden en bref

Bitwarden est un logiciel open-source server et client de gestionnaire de mot de passe.

Petite parenthèse sur les gestionnaires de mots de passe, vous n'en avez peut être pas déjà, mais c'est un outil que je trouve essentiel pour la vie numérique. Voici quelques points clés à prendre en compte:

• Réutiliser des mots de passe est critique: votre identité numérique a une haute dimensionalité, si un mot de passe est perdu, c'est souvent avec une adresse mail. Il est très facile d'utiliser des pairs email/mots de passe sur tous les sites standards.
• Les mots de passe trop courts ou trop faibles (sans même parler des mots de passes fréquents) sont aujourd'hui très faciles à craquer.
• Le gestionnaire de mots de passe est un endroit où organiser sa vie numérique: on range tous les comptes que l'on a sur internet, on sait lesquels on a et éventuellement lesquels on va vouloir supprimer
• Bitwarden en tous cas est open-source et basé sur une cryptographie de type Zero-Knowledge: votre mot de passe maître n'est jamais envoyé sur le serveur, jamais stocké nulle part. Il est dérivé de votre mot de passe que seul vous savez. Vous n'avez qu'à retenir un mot de passe fort (des astuces pour en créer un solide). C'est le cas pour la plupart des gestionnaires de mots de passe, prenez celui que vous préférez! Notez que de ce fait, oubliez votre mot de passe maître est fatal: vous perdez votre clé de décryption pour vos mots de passe.

Prenez le temps de vous y intéresser, ça vaut le coup. Nous utilisons donc une version de Bitwarden qui tourne sur le serveur de la CLIC.

N'hésitez pas à jouer avec le module interactif bitwarden crypto en ligne pour comprendre le fonctionnement et la sécurité informatique derrière le gestionnaire de mot de passe.

Pourquoi on utilise Bitwarden

Avec la CLIC, on a tout un tas de comptes sur des sites (réseaux sociaux par exemple) et on a besoin que plusieurs personnes y accèdent. Afin de partager correctement les mots de passe (et ne plus utiliser un fameux Google Doc contenant les mots de passe), nous préférons Bitwarden et pouvons gérer les accès très finement (collections par pôle, organisation par commissions,...).

Configuration et connexion

Différents clients

Rendez vous sur la page de téléchargement des clients Bitwarden. Il en existe:

• Pour web, rendez vous sur clic.epfl.ch/armoire, rien à télécharger
• Pour mobile, vous devez changer l'URL du serveur pour ne pas vous connecter à bitwarden.com mais clic.epfl.ch/armoire (c.f. les images ci-dessous, elles ne sont pas prises sur ces appareils mais le principe est le même).
• Pour desktop, même fonctionnement qu'au dessus
• Comme extension de navigateur, même fonctionnement qu'au dessus
• Egalement disponible en CLI et autres dingueries

Pour se connecter, comme le montrent les images ci-dessous, il faut simplement se rendre sur la page de connexion (et éventuellement ajouter un compte si vous en avez plusieurs sur les applications mobiles et desktop) et cliquer sur le rouage des paramètres. Ici, entrez l'URL du serveur de la CLIC (https://clic.epfl.ch/armoire), sauvegardez, puis connectez vous avec votre compte !

Ajouter des membres

Afin de limiter la création de membres, il n'est possible d'ajouter des membres que par le biais d'une organisation. Cela signifie que toute personne du bitwarden CLIC doit faire parti d'une organisation.

Pour ajouter quelqu'un, utilisez le panneau de droite pour accéder à votre organisation, et une fois dans celle-ci, ajouter un.e membre avec le bouton bleu que vous voyez dans l'image suivante:

Vous pourrez personnaliser l'accès à chacune des collection, d'une façon générale, le rôle d'utilisateur.trice est suffisant pour quasiment tout le monde sauf la présidence de l'association/la commission.

Vous devrez faire valider la personne par mail (de préférence, mail EPFL), mais pour compléter le fait de rejoindre l'organisation, un.e admin de celle-ci doit aller regarder les personnes "Acceptées" comme vous le voyez dans l'image ci-haut, à droite de "Tous", et confirmer la venu de la personne dans l'organisation.

Personnalisation et features

Bitwarden propose de nombreuses features que nous vous invitons à explorer depuis l'interface web. Nous en détaillerons certaines qui paraissent essentielles.

Collections et partage

Une fois dans une organisation, sous le panneau "Gérer", vous trouverez la gestion des collections. Ces dernières sont des bouts de coffres partagés entre les personnes (détails cryptographiques page 15 du Security Whitepaper.

Il est possible de gérer l'accès de chaque personnes aux différentes collections, ce qui naturellement laisse imaginer une séparation par pôle/comité-équipier.e.s des mots de passe.

Importation et exportation

Dans le menu "Outils" sur le bandeau supérieur global ou le bandeau supérieur d'une organisation, vous pouvez exporter et/ou importer tous vos mots de passe. Notamment pratique si vous migrez vers/depuis un autre gestionnaire (comme les mots de passe sauvegardé de Firefox).

Génération de mots de passe forts

Dans le menu "Outils" sur le bandeau supérieur global ou le bandeau supérieur d'une organisation, vous pouvez accéder à un générateur de mots de passe forts. Privilégiez ceux-ci pour les mots de passe de comptes de l'association.