Passbolt, ou comment gérer ses mots de passe en entreprise pour pas un rond ?

Salut les techos,

Comme vous savez certainement, la gestion des mots de passe en entreprise ou personnels est souvent une aventure difficile. Le choix de la solution, Cloud ou Local, Open source ou payante, duo authentification ou simple … bref … il faut de tout pour faire un monde !

J’ai eu l’occasion de me jeter dans l’aventure des gestionnaires de mots de passe et j’aimerais partager ce voyage avec vous … bon en gros c’est un peu long donc on va découper ça en 3 parties

• La solution
• L’installation
• La gestion

Sinon c’est trop long et comme c’est mon premier article, il s’agirait de ne pas se louper ^_^

Le choix de la solution …

C’est lorsqu’on m’a proposé de mettre en place une solution de gestion des mots de passe pour l’ensemble de nos équipes en Europe, que je me suis intéressé au sujet. Et voici le cahier des charges que j’ai reçu :

• Gérer plus de 500 mots de passe
• Serveur Local
• Créer des groupes différents avec des niveaux d’accès différent
• Mettre en place un processus de « Fire Fighting » ^{(je vous explique ça après)}
• Sécurisation de la Base de données
• Sécurisation des attaques type « Man in the Middle« 
• Une belle interface utilisateur, simple et intuitive

Et évidemment, tous les basiques de la gestion de mot de passe (Chiffrage, Sécurité contre les failles, SSL, et autres joyeusetés). Comme tout bon geek qui se respecte, j’étais déjà au jus des différentes solutions d’entreprise type :

• Dashlane
• Keepass
• Lastpass
• …

Mais mes problématiques étant multiples, le budget inexistant, les utilisateurs peu habitués à une solution Global, le Top Management, très à cheval sur la sécurité et les fonctionnalités … il me fallait du bon et du gratuit ! J’en ai donc discuté avec notre « Chevalier IT« , l’inénarrable Mikael, qui m’a doucement poussé vers Passbolt, une solution que je ne connaissais pas.

La techno de sécurisation des mots de passe

Tout d’abord, j’ai jeté un œil à leurs technos pour couvrir le besoin sécurité avant même de vérifier les fonctionnalités et le moins qu’on puisse dire, c’est que c’est pas mal du tout :

Nos frenchies ont construit leur solution, d’une maniéré assez bien ficelé coté sécurité, et uniquement open source ! Elle est donc hébergée sur Github et le code accessible à tous (d’où l’anglais).

Pour la faire simple, on utilise une clef OpenPgp privée et publique pour chiffrer et on utilise une clef privée, un email et une passphrase pour les logins. C’est simple, mais diablement efficace, à noter  qu’on couvre pas mal de types d’attaques, dont el famoso « Man in the Middle »

L’architecture du logiciel a vite été validée au travers d’un audit très positif réalisé par CakeDC, la société derrière le framework CakePHP, mais aussi en travaillant étroitement avec des hackers au travers des programmes de « Bug Bounty » mis en place.

J’ai eu la chance de gérer un projet RGPD au sein de ma boite et j’étais donc particulièrement sensible au chiffrement des données, et j’ai été agréablement surpris, je vous invite à jeter un œil à leurs FAQ.

Je ne vais pas vous détailler ici les briques de solution open source qui sont utilisés chez Passbolt (on fera ça dans l’article d’installation), mais je peux vous « teaser » d’ores et déjà que nos amis linuxiens que ce soit Debian 9 ou CentOS7 vont être ravis.

• Maria DB
• Nginx
• Php-Fmp7
• Cake
• …

Et l’interface dans tout ça ?

Et bien en plus d’être sécurisé, il est terriblement efficace. Passbolt s’intégrera très facilement à votre navigateur (Firefox et Chrome) à l’aide d’un petit complément/module. Vous pourrez ensuite peupler Passbolt de tous vos mots de passe personnels ou d’équipe. Oui, puisque Passbolt c’est aussi le partage de mot de passe entre les équipes.

Local ou Cloud ?

Ce qui est sympa avec Passbolt, c’est la flexibilité, que ce soit Cloud ou local  :

• Self hosted
  • Docker
  • VM
  • Install from Scratch
• Cloud Based
  • À checker
  • Offre de Hosting chez passbolt (OVH, AWS, Azure …)

Pour résumer, on peut tranquillement l’installer sur un serveur local Linux ou le faire directement chez Passbolt ou un autre hébergeur. Pour aider dans la tâche il y a deux solutions, soit en loup solitaire, mais avec l’aide de la communauté GitHub sinon via leurs scripts d’install, VM et autre Docker à condition de payer une suscription.

Et comme j’ai fait les deux … ben on va analyser ça dans le prochain article 🙂

Passbolt, ça coute combien ?

En fonction de votre besoin, Passbolt peut être soit gratuit, soit payant. En effet, une version « CE » pour Community Edition est disponible gratuitement, mais sans support de la part de la team passbolt.

Si vous avez besoin d’aide, dans ce cas, il existe plutôt type de souscription que je vous laisse observer dans le tableau ci dessous (disponible a cette adresse) :

À noter également que cela fait plusieurs années que la team Passbolt œuvre pour faire le meilleur gestionnaire de mot de passe pour entreprise. Et pour ça, de nombreuses fonctionnalités sont récemment sorties, mais aussi beaucoup d’autres encore en développement.

Vous pouvez consulter la Roadmap du projet ici.