====== Gérer ses mots de passe ======
Des organismes certifiés rappellent quelques bons principes pour la gestion de ses mots de passe :
* La CNIL : [[https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe|https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe]]
* l'ANSSI : [[https://www.ssi.gouv.fr/guide/mot-de-passe/|https://www.ssi.gouv.fr/guide/mot-de-passe/]]
En résumé :
* Utilisez un mot de passe unique pour chaque service
* Un mot de passe complexe, non trivial
* Changez aussitôt les mots de passe par défaut
* Changez vos mots de passe sensibles en cas de doute
* Ne stockez pas vos mots de passe de manière simple (dans un fichier, sur un papier..)
* pas de mos de passe stockés dans les messageries
Et pour créer un mot de passe :
* au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux)
====== Les outils Bitwarden ======
Bitwarden est une solution de stockage dans le cloud de vos mots de passe. Il vous permet ainsi d'accéder à vos mots de passe depuis n'importe quel ordinateur (mac, windows et linux), ainsi que depuis votre téléphone (Android ou iOS). Vos mots de passes sont stockées de manière chiffrés (ainsi, Bitwarden ne connaît jamais le contenu de vos mots de passe) grâce à un **mot de passe maître**.
Pour commencer, il faut créer un compte bitwarden. Les CEMEA hébergent leur propre instance, à destination du réseau, accessible à [[https://coffrefort.cemea.org|cette adresse]]. Sinon, il est également possible de créer un compte auprès de [[https://vault.bitwarden.com/#/register?layout=default|la société éditant bitwarden]], mais vous aurez des fonctionnalités limitées (partage à une seule autre personne).
Attention, il est impératif que votre mot de passe maître soit sécurisé, et que vous ne l'oubliez pas ! En cas d'oubli, impossible de le changer et vous perdrez l'accès à tous vos mots de passe.
===== Les différents clients =====
Il est possible d'accéder à Bitwarden de différente manière :
* Par le site web qui héberge vos mots de passe : [[https://coffrefort.cemea.org|https://coffrefort.cemea.org]]. C'est le plus simple, mais pas forcément le plus pratique (ne fonctionne pas hors ligne, nécessite de laisser son navigateur ouvert en permanence)
* Par [[https://addons.mozilla.org/firefox/addon/bitwarden-password-manager/|l'extension de navigateur]] : cela vous permettra d'avoir un "auto-fill" des identifiants / mot de passe : plus besoin de les copier/coller, Bitwarden les remplira à votre place. C'est ce que nous vous conseillons ! Les modifications seront ausi enregistrées dans votre coffre fort. Attention, elle n'existe actuellement qu'en anglais !
* Le client de bureau, pour [[https://vault.bitwarden.com/download/?app=desktop&platform=linux|Linux]], [[https://itunes.apple.com/app/bitwarden/id1352778147|Mac OS]] et [[https://vault.bitwarden.com/download/?app=desktop&platform=windows|Windows]] : Nécessite d'être installé sur votre ordinateur, mais est disponible en français.
* L'application mobile, pour Android et iOS : pratique si vous avez régulièrement besoin de rentrer des identifiants sur votre téléphone
* Linux en CLI : l'installation se fait via un binaire à stocker localement ou via snap
===== Tutos d'utilisation des clients =====
Pour l'instant, se référer à la doc officielle pour utiliser [[https://bitwarden.com/help/getting-started-webvault/|le site web]], [[https://bitwarden.com/help/getting-started-browserext/|l'extension de navigateur]], [[https://bitwarden.com/help/getting-started-desktop/|le client de bureau]] ou [[https://bitwarden.com/help/getting-started-mobile/|l'application mobile]]
===== Partage de mots de passe avec d'autres utilisateurs =====
Un des gros avantages de bitwarden est de permettre de partager des mots de passe avec d'autres utilisateurs de manière sécurisée. Fini les mots de passe qu'on s'envoie par mail, ou qu'on note sur des bouts de papier, on peut désormais bien faire ça ! Ainsi, les identifiants d'accès à des comptes partagés (framaform, peertube, email commun …)
Pour partager un secret avec une ou plusieurs personnes, il faut impérativement faire parti d'une organisation. Chaque utilisateur peut faire parti d'une ou plusieurs organisations. Dans une organisation, on range les secrets par "Collection" ; un secret peut être dans une ou plusieurs collections (mais il doit toujours être dans au moins une Collection). Les utilisateurs ont des droits d'accès par collection - par exemple, on peut donner accès à la collection "serveurs" à uniquement François et Guillaume, "serveur dev" à François, Guillaume et Killian, etc. Il y a aussi la possibilité de donner à un utilisateur accès en lecture seule à une collection.
TODO : trouver de meilleurs exemples !
===== Gestion d'une organisation =====
La gestion d'une organisation, ainsi que la gestion des partages (qui peut voir quoi) se gère uniquement par le site web. Pour l'instant, voir [[https://bitwarden.com/help/getting-started-organizations/|la doc officielle]] à ce sujet pour plus d'informations !
===== Rangement d'une collection =====
À l'intérieur d'une collection, il n'est pas possible d'organiser les mots de passe / secret : ils sont tous stockés au même niveau (hiérarchie "à plat"). Pour s'organiser, il est donc conseillé d'organiser les collections par objet, plutôt que par équipe. Par exemple, on pourrait avoir les collections suivantes :
* Collections pour mon équipe
* Collections avec mon équipe et le secrétariat
En pratique, la recherche est bien faite et cherche de base parmi notre "vault" personnel + toutes les collections d'une organisation : on n'a pas besoin de savoir où est rangé exactement un mot de passe pour le trouver, juste le site concerné. De plus, avec l'auto-complétion de l'extension de navigateur, bitwarden va probablement trouver par lui même les bons identifiants, en fonction du site que vous visitez !
===== Tutos ressources =====
* [[https://tutos.cemea.org/M5Y93FFEQaaxk9qdUuPGtw?view|https://tutos.cemea.org/M5Y93FFEQaaxk9qdUuPGtw?view]]
* [[https://lecrabeinfo.net/utiliser-bitwarden-gestionnaire-mots-de-passe-gratuit-et-open-source.html|https://lecrabeinfo.net/utiliser-bitwarden-gestionnaire-mots-de-passe-gratuit-et-open-source.html]]
* [[https://www.it-connect.fr/comment-gerer-ses-mots-de-passe-avec-bitwarden/|https://www.it-connect.fr/comment-gerer-ses-mots-de-passe-avec-bitwarden/]]
* [[https://www.tech2tech.fr/comment-utiliser-bitwarden/|https://www.tech2tech.fr/comment-utiliser-bitwarden/]]
===== Notes pour les geeks sous Linux =====
==== Petites astuces pour le client CLI ====
Sous ubuntu, il y a un petit bug qui fait que la CLI n'est pas utilisable directement … Il faut plutôt l'appeler avec (cf [[https://github.com/bitwarden/clients/issues/2726|issue github]] :
OPENSSL_CONF=/dev/null bw
A définir comme alias dans .bashrc par exemple :
alias bw='OPENSSL_CONF=/dev/null bw'
On commence par définir les paramètres du serveur :
bw config server https://coffrefort.cemea.org
La config sera enregistrée dans ''.config/Bitwarden\ CLI/data.json''
Puis on se loggue une fois :
bw login
Puis saisie du login et mot de passe.
Ensuite, quand on veut utiliser la CLI, il faut unlock, ce qui donne une variable à exporter. Perso, je fais ça avec un oneliner :
alias bwunlock='export BW_SESSION=$(/home/GuillaumeD/bin/bw unlock --raw)'
Et ensuite on peut faire des commandes bw dans le terminal actuel (puis ''bw lock'' ou on ferme le terminal pour refermer la vault) Vu que bw renvoie du JSON, perso je pipe ça à ''jq'' pour avoir un rendu un peu sympa (indentation + couleur) via une fonction dans mon bashrc :
function bw {
out=$(OPENSSL_CONF=/dev/null /home/GuillaumeD/bin/bw "$@")
echo $out | jq
}
Pour chercher :
bw list items --search motachercher
Si on veut filtrer dans une organisation/collection précise, on récupère l'id de l'organisation ou de la collection :
bw list organizations
bw list collections
Et ensuite on peut refaire notre recherche :
bw list items --search manioc --collectionid mon_id_de_collection
bw list items --search manioc --organizationid mon_id_dorganization