Gestionnaire de mots de passe : Définition et importance pour votre sécurité
On répète sans cesse qu'il faut des mots de passe différents, longs et complexes pour chaque compte en ligne. Mais dans la réalité, gérer une multitude de mots de passe différents et complexes n'est pas vraiment possible. Un gestionnaire de mots de passe est conçu pour résoudre ce problème en stockant, générant et organisant vos mots de passe de manière sécurisée. Plutôt que de devoir mémoriser chaque mot de passe, vous n'avez qu'à retenir un seul mot de passe. C'est celui qu'on appelle « mot de passe maître ». Ce dernier permet d'accéder à tous vos autres mots de passe.
L'importance d'un gestionnaire de mots de passe réside principalement dans la sécurité renforcée qu'il offre. En utilisant des mots de passe forts et uniques pour chaque compte, vous réduisez considérablement les risques de piratage. En plus de ça (et c'est déjà très bien !), un gestionnaire de mots de passe facilite la gestion quotidienne de vos accès en remplissant automatiquement vos identifiants lors de vos connexions, ce qui vous fait gagner un temps précieux et minimise les erreurs de saisie.
Pourquoi choisir Vaultwarden : Avantages par rapport aux autres gestionnaires
Vous l'aurez compris, c'est donc Vaultwarden que je vais vous présenter aujourd'hui ! En réalité Vaultwarden est un dérivé open source de Bitwarden, conçu pour offrir une solution auto-hébergée. En s'appuyant sur le code de Bitwarden, Vaultwarden permet aux utilisateurs de contrôler pleinement leurs données sensibles sans dépendre d'un service tiers.
Parmi les nombreux gestionnaires de mots de passe disponibles sur le marché, Vaultwarden se distingue par une panoplie d'avantages qui en font la solution parfaite pour les personnes soucieuses de leur sécurité. Tout d'abord, Vaultwarden est une solution open source, ce qui signifie que son code source est accessible à tous. Cette transparence lui permet d'être audité par la communauté, contrairement aux gestionnaires de mots de passe commerciaux dont on ne connaît pas toujours la qualité du code source. Cette caractéristique assure une meilleure fiabilité et une sécurité renforcée, car les vulnérabilités peuvent être identifiées et corrigées plus rapidement.
Un autre atout majeur de Vaultwarden est sa capacité à être auto-hébergé. Contrairement aux gestionnaires de mots de passe commerciaux qui stockent vos données sur leurs propres serveurs, Vaultwarden vous permet d'héberger vos mots de passe localement ou sur un serveur de votre choix. Cela vous offre un contrôle total sur vos données, vous réduisez ainsi les risques de violation de données par des tiers et augmentez la confidentialité de vos informations personnelles et professionnelles.
Enfin, un module complémentaire est disponible sur Home Assistant, ce qui vous permet de l'intégrer de manière extrêmement facile. Grâce à cette compatibilité, Vaultwarden devient une extension naturelle de votre système de domotique.
En termes de coût, Vaultwarden se positionne comme une alternative économique comparée à des solutions payantes telles que LastPass ou Dashlane. En effet, Vaultwarden est gratuit ! Je sais que certains se diront « si c'est gratuit c'est forcément moins bien ». Eh bien ce n'est pas forcément vrai. Le meilleur exemple est LastPass, l'un des gestionnaires leader mondial. En 2022 il a subi un piratage très important exposant les mots de passe chiffrés des utilisateurs mais également leurs informations personnelles non chiffrées !
Installation de Vaultwarden avec Home Assistant
Avant toute chose, sachez que l'accès à Home Assistant avec un nom de domaine est obligatoire pour suivre cet article. Je vous montre depuis toujours Cloudflared donc c'est ce que nous utiliserons. Pour ceux utilisant Nginx Proxy Manager, ce sera facilement adaptable pour vous. Dans tous les cas Cloudflared (ou Nginx Proxy Manager) doit déjà être configuré !
Pour ça rien de plus simple, un module complémentaire est là pour ça.
Allez direction Paramètres > Modules complémentaires > Boutiques des modules complémentaires puis dans la section Home Assistant Community Add-ons vous devriez trouver Vaultwarden (Bitwarden). Cliquez dessus et « Installer ».
Et avant de le lancer on va se rendre dans sa configuration (onglet Configuration). Ici on va désactiver l'option SSL, puisque ce sera automatiquement géré par Cloudflared. Puis dans réseau on note le port sur lequel on peut accéder à l'interface de Vaultwarden, généralement ce sera 7277.
Configurer Cloudflared pour accéder à Vaultwarden
Pour accéder à notre gestionnaire nous allons devoir préciser à Cloudflared d'utiliser un nouveau sous-domaine qui va rediriger vers notre port 7277, utilisé par Vaultwarden.
Pour cela rendez-vous dans Paramètres > Modules complémentaires > Cloudflared. Puis dans l'onglet Configuration vous allez trouver un espace Hôtes supplémentaires. Voici un exemple de configuration à entrer :
Pour plus d'explications en face de hostname vous allez renseigner un nouveau sous-domaine, ça peut être n'importe lequel.
Puis en face de service ce sera le nom d'hôte (hostname) de votre instance Home Assistant suivi du port de Vaultwarden. Le plus souvent c'est « homeassistant ». Pour connaître votre nom d'hôte rendez-vous dans Paramètres > Système > Réseau. Le premier champ correspondra au nom d'hôte.
Une fois fait, vous pouvez enregistrer et redémarrer Cloudflared.
Démarrer Vaultwarden et accéder à l'administration
Retournez sur le module Vaultwarden, lancez le et cliquez sur l'onglet Journal en haut. Vous devriez avoir quelque chose ressemblant à ceci :
Comme vous le voyez nous avons un token TEMPORAIRE, ici « jNhKtXrmFh0A5MVHZFJ0iV8RCRcj8F7m27T9MwTQf02co6sfHL0s9QCrsCvuKNN7 ». Copiez-le et accédez à vaultwarden.VOTRE_DOMAINE.fr (à changer suivant ce que vous avez mis dans Cloudflared).
On va vous demander le « admin token ». Collez le code que vous venez de copier.
Comme je viens de vous le dire, le token d'accès est temporaire, et vous avez un message qui vous le rappelle en haut (en anglais oui, désolé...). En fait pour être en sécurité il va falloir générer un mot de passe chiffré en Argon2 avec certains paramètres spécifiques. Pour les plus néophytes ça peut être un peu délicat alors cet article est là pour vous simplifier la tâche ! 🤓
Vous pouvez utiliser le générateur juste en dessous pour entrer un mot de passe qui sera converti en Argon2. ATTENTION ! Ce mot de passe doit être particulièrement fort et vous devrez vous en rappeler. Il permet d'accéder à votre administration de Vaultwarden. Entrez votre mot de passe et copiez le hash qui sera généré.
Générateur de Hash Argon2id
Bien. Maintenant dans l'administration de Vaultwarden cliquez sur « General settings » puis vous trouvez en bas « Admin token/Argon2 PHC », c'est là qu'il faut coller le hash obtenu. Une fois votre hash collé vous pouvez cliquer sur « Save » en bas. Vous pouvez vous déconnecter et vous reconnecter (avec le mot de passe entré dans le générateur au-dessus) pour vérifier que tout fonctionne bien.
Vérifier les diagnostics de Vaultwarden
Avant d'aller plus loin, rendez-vous dans l'onglet Diagnostics de l'administration. Vous devriez voir plusieurs indicateurs au vert, mais probablement aussi du rouge, notamment sur le Domain Configuration. C'est normal : Vaultwarden pense que vous êtes sur le localhost alors qu'en réalité vous utilisez votre nom de domaine personnel.
Pour corriger cela, allez dans Settings > General Settings et renseignez votre nom de domaine complet dans le champ prévu à cet effet (par exemple https://vaultwarden.VOTRE_DOMAINE.fr). Cliquez sur « Save » puis retournez dans Diagnostics : tout devrait maintenant être au vert.
Si vous n'utilisez pas Cloudflared et que l'indicateur IP header reste au rouge, rendez-vous dans Settings > Advanced Settings et remplacez la valeur du champ Client IP Header par CF-Connecting-IP (sans espace au début). Cela permet à Cloudflare de transmettre correctement l'adresse IP réelle des visiteurs. Cliquez sur « Save » et vérifiez à nouveau que tout est au vert.
Configurer l'envoi d'emails (SMTP via Gmail)
L'envoi d'emails est une étape importante, notamment pour la récupération de compte en cas de perte de mot de passe ou pour activer la double authentification par email. Pour cela, Vaultwarden a besoin d'un serveur SMTP.
La bonne nouvelle, c'est que vous pouvez utiliser Gmail gratuitement pour cela. Je vous conseille cependant de créer un compte Google dédié plutôt que d'utiliser votre compte personnel, car l'utilisation du même compte pour l'envoi et la réception pose parfois des problèmes.
Voici la marche à suivre :
1. Activer la validation en deux étapes sur le compte Google
Rendez-vous dans les paramètres de sécurité de votre compte Google et activez la validation en deux étapes. C'est un prérequis absolument nécessaire pour la suite.
2. Créer un mot de passe d'application
Une fois la validation en deux étapes activée, accédez à la page des mots de passe d'application. Pour y accéder directement, remplacez la fin de l'URL dans Sign-in options par AppPasswords. Donnez un nom à votre application (par exemple « Vaultwarden ») et cliquez sur « Créer ». Un mot de passe sera généré : copiez-le immédiatement.
3. Configurer le SMTP dans Vaultwarden
Retournez dans l'administration de Vaultwarden, section Settings > SMTP Email Settings, et remplissez les champs comme suit :
Cliquez sur « Save » en bas de page. Vous pouvez ensuite tester l'envoi en entrant une adresse email dans le champ de test et en cliquant sur « Send test e-mail ». Si vous recevez bien l'email, tout est correctement configuré !
Activer la double authentification par email
Maintenant que l'envoi d'emails fonctionne, vous pouvez activer la 2FA par email pour vos utilisateurs. Rendez-vous dans Settings > Email 2FA Settings et activez l'option. Par défaut, un code de 6 caractères sera envoyé par email avec une expiration de 600 secondes et un maximum de 3 tentatives. Ces valeurs conviennent dans la plupart des cas, il vous suffit de cliquer sur « Save ».
Configurer les clés YubiKey
Si vous ne connaissez pas les clés YubiKey, je vous conseille vraiment de vous renseigner dessus. Concrètement, c'est une clé physique que vous branchez à votre ordinateur et sur laquelle vous devez appuyer pour valider une connexion. Même si quelqu'un connaît votre mot de passe, sans cette clé en sa possession, il ne pourra pas accéder à votre compte. Vous comprenez donc l'intérêt énorme avec un gestionnaire de mots de passe : si quelqu'un arrive à se procurer votre mot de passe maître mais qu'il n'a pas cette clé, il ne pourra pas accéder à votre coffre-fort.
Pour configurer les clés YubiKey dans Vaultwarden, il faut d'abord obtenir une API Key depuis le site de Yubico. Rendez-vous sur la page dédiée (lien en description de la vidéo), entrez votre adresse email, acceptez les termes et conditions, puis insérez votre clé dans l'ordinateur et appuyez dessus. Vous obtiendrez un Client ID et une Secret Key.
Dans l'administration de Vaultwarden, rendez-vous dans Settings > YubiKey Settings et renseignez le Client ID et la Secret Key obtenus. Laissez le serveur par défaut. Cliquez sur « Save ».
Récupérer l'administration après désactivation
Si vous avez désactivé l'administration en supprimant le admin token et que vous souhaitez la réactiver (par exemple pour ajouter un nouvel utilisateur alors que les inscriptions sont fermées), voici la procédure. Elle nécessite un accès en ligne de commande via le terminal SSH de Home Assistant.
1. Installer le terminal SSH
Si ce n'est pas déjà fait, installez le module complémentaire Advanced SSH & Web Terminal depuis la boutique des modules complémentaires. Dans l'onglet Infos, désactivez le mode protégé (une alerte vous préviendra que c'est une opération sensible) puis redémarrez le module.
2. Accéder au conteneur Docker de Vaultwarden
Ouvrez le terminal et listez les conteneurs Docker :
Repérez le conteneur dont le nom contient « bitwarden » (Vaultwarden étant un dérivé de Bitwarden). Copiez son nom, puis entrez dans le conteneur :
3. Modifier le fichier de configuration
Déplacez-vous dans le dossier de données et installez l'éditeur de texte Nano :
Ouvrez ensuite le fichier de configuration :
Descendez tout en bas du fichier et ajoutez, avant le dernier accolade fermante, la ligne suivante :
N'oubliez pas la virgule à la fin de la ligne précédente. Enregistrez avec CTRL+X, puis Y, puis Entrée.
4. Redémarrer et vérifier
Retournez dans Home Assistant et redémarrez le module Vaultwarden. Accédez à nouveau à vaultwarden.VOTRE_DOMAINE.fr/admin : vous devriez pouvoir vous connecter avec le mot de passe correspondant à votre hash Argon2.
Important : une fois la manipulation terminée, pensez à réactiver le mode protégé sur le module Advanced SSH & Web Terminal et à le redémarrer.
Créer un compte utilisateur
Maintenant que Vaultwarden est entièrement configuré, il est temps de créer votre premier compte utilisateur. Vérifiez d'abord que les inscriptions sont bien autorisées dans Settings > General Settings (l'option « Allow new signups » doit être cochée).
Accédez à votre URL Vaultwarden (sans le /admin) et cliquez sur « Créer un compte ». Renseignez votre adresse email, votre nom, et surtout votre mot de passe principal (le fameux mot de passe maître). Ce mot de passe est crucial : c'est lui qui protège l'accès à l'ensemble de votre coffre-fort. Choisissez-le long, complexe et unique.
Si d'autres membres de votre famille souhaitent utiliser Vaultwarden, c'est le moment de créer également leurs comptes.
Désactiver les inscriptions et sécuriser l'installation
Une fois tous les comptes créés, je vous recommande fortement de :
1. Désactiver les nouvelles inscriptions : dans l'administration, General Settings, décochez « Allow new signups ». Sans ça, n'importe qui trouvant votre URL pourrait créer un compte et utiliser votre service.
2. Désactiver l'administration : toujours dans General Settings, supprimez entièrement le contenu du champ Admin token et cliquez sur « Save ». Plus personne ne pourra accéder à l'espace d'administration (sauf via la procédure de récupération vue précédemment).
Redémarrez Vaultwarden pour que les changements soient bien pris en compte. Si vous tentez d'accéder à /admin, vous verrez un message vous indiquant que l'administration est désactivée. Et si quelqu'un tente de créer un compte, il recevra une erreur indiquant que les enregistrements sont désactivés.
Se connecter et vérifier son email
Connectez-vous maintenant à Vaultwarden avec votre compte fraîchement créé. Un message vous demandera de vérifier votre adresse email. Cliquez sur « Envoyer le courriel », ouvrez l'email reçu et cliquez sur le bouton de vérification. Reconnectez-vous et vous accéderez enfin à votre coffre-fort.
Si vous utilisiez déjà un autre gestionnaire de mots de passe, vous pouvez importer vos données directement depuis l'interface web de Vaultwarden en suivant la procédure d'importation proposée.
Installer et configurer l'extension de navigateur
Pour profiter pleinement de Vaultwarden au quotidien, installez l'extension Bitwarden disponible sur Chrome, Firefox, Edge et autres navigateurs. Une fois installée, épinglez-la dans votre barre d'outils pour y accéder facilement.
Au premier lancement de l'extension, au lieu de « Accès en cours bitwarden.com », cliquez et choisissez « Auto-héberger ». Dans le champ URL du serveur, renseignez l'URL de votre service Vaultwarden (par exemple https://vaultwarden.VOTRE_DOMAINE.fr) et enregistrez.
Connectez-vous ensuite avec votre adresse email et votre mot de passe principal. Si vous avez configuré une clé YubiKey, il vous sera demandé de la toucher pour valider la connexion.
Si vous êtes le seul utilisateur de votre session, vous pouvez aller dans Paramètres > Sécurité du compte de l'extension et modifier le délai d'expiration du coffre pour éviter d'avoir à vous reconnecter à chaque fermeture du navigateur.
Des applications mobiles Bitwarden sont également disponibles sur Android et iPhone. Elles fonctionnent exactement de la même manière que l'extension de navigateur, ce qui vous permet d'avoir vos mots de passe sur absolument tous vos appareils.
Activer la double authentification sur votre compte
Avant de commencer à utiliser votre coffre-fort au quotidien, prenez le temps de sécuriser votre compte. Rendez-vous dans Paramètres > Sécurité > Authentification à deux facteurs.
Activer la clé YubiKey : cliquez sur « Gérer » à côté de l'option Clé de sécurité OTP YubiKey, entrez votre mot de passe principal, puis cliquez dans un champ vide, insérez votre clé et appuyez dessus. Vous pouvez enregistrer jusqu'à 5 clés YubiKey par compte. Je vous recommande d'en avoir au moins 2, au cas où vous perdriez la première.
Activer la vérification par email : vous pouvez également activer la double authentification par email. Entrez votre mot de passe principal, validez l'envoi du code par courriel, puis renseignez le code reçu. Vous aurez ainsi au moins deux types de double authentification activés sur votre compte.
Utilisation quotidienne de Vaultwarden
Concrètement, Vaultwarden fonctionne vraiment très bien au quotidien. Voici les principales fonctionnalités que vous utiliserez :
Enregistrement automatique des mots de passe
Lorsque vous vous connectez à un site web, Vaultwarden vous proposera automatiquement d'enregistrer le mot de passe. Cliquez simplement sur « Enregistrer » et le site sera ajouté à votre coffre-fort.
Remplissage automatique
La prochaine fois que vous visiterez ce même site, Vaultwarden vous proposera de pré-remplir automatiquement les champs de connexion. Un simple clic et vous êtes connecté.
Générateur de mots de passe
Lors de l'inscription sur un nouveau site, utilisez le générateur intégré de l'extension. Pensez à cocher les caractères spéciaux et à choisir une longueur suffisante. Copiez-collez le mot de passe généré et Vaultwarden vous proposera de l'enregistrer automatiquement.
Gestion de la double authentification (TOTP)
Vaultwarden est aussi capable de gérer la double authentification par code d'application (TOTP). Lorsqu'un site vous propose d'activer la 2FA, récupérez le code (souvent en cliquant sur « Je ne peux pas scanner le QR code ») et renseignez-le dans votre entrée Vaultwarden, dans le champ « Clé Authenticator TOTP ». Un code de vérification sera alors généré automatiquement.
L'avantage, c'est que lorsque vous utilisez le remplissage automatique pour vous connecter à un site, Vaultwarden copie automatiquement le code TOTP dans votre presse-papier. Il vous suffit alors de le coller lorsque le site vous le demande.
Modifier les informations d'un identifiant
Il arrive parfois que Vaultwarden enregistre le pseudo à la place de l'email comme identifiant de connexion, ou l'inverse. Pas de panique : cliquez sur l'entrée concernée, puis sur « Modifier » pour corriger le nom d'utilisateur.
Cartes de paiement
En plus de vos mots de passe, vous pouvez enregistrer vos cartes de paiement dans Vaultwarden pour éviter de les retaper à chaque achat en ligne.
Identités (formulaires)
Les identités permettent de stocker vos informations personnelles (nom, prénom, adresse, etc.) pour remplir automatiquement les formulaires d'inscription ou de livraison. Pour les utiliser, faites un clic droit sur la page, puis Bitwarden > Saisie automatique de l'identité et sélectionnez l'identité configurée.
Stocker les codes de sauvegarde
Lorsque vous activez la double authentification sur un site, celui-ci vous fournit généralement des codes de sauvegarde. Ces codes vous permettent de récupérer l'accès à votre compte en cas de perte de votre moyen de 2FA. Pensez à les stocker dans Vaultwarden, soit dans les notes de l'entrée correspondante, soit dans des champs masqués personnalisés pour plus de sécurité.
achetez le bon model de clé . il faut acheter la Yubico 5 NFC ou 5c nfc à 69 € et non Yubico - Security Key C NFC à 38€40 .
et ainsi eviter de chercher pendant des heures pourquoi ca ne fonctionne pas ! merci gemini