Journal PSA: N'oubliez pas de faire des sauvegarde de Bitwarden !

Coucou nal'

Aujourd'hui je voudrais vous faire part d'un comportement étrange de Bitwarden qui m'a occasionné une fort désagréable mésaventure…

Saviez-vous que Bitwarden ne fourni pas de fonctionnalité d'historique ?

"M'euh ça s'peux pas !" me suis-je exclamé.

"Ça semble trivial (et absolument vital !) comme feature: y'a qu'à dupliquer une entrée à chaque fois qu'elle est modifiée plutôt que d'écraser son contenu"

"KeepassX le fait depuis toujours !"

"Dans Bitwarden, pour chaque entrée, y'a un champ 'Item history' qui indique la date de création et de modification. Tu vas pas me dire que cliquer dessus ça n'ouvre pas un historique ?" o_O'

"Y'a littéralement un article dans leur doc intitulé « How to use the Bitwarden built-in password history tool »"

https://bitwarden.com/blog/how-to-use-the-bitwarden-built-in-password-history-tool/
(spoiler: Bitwarden contient un générateur de mot de passe qui garde un historique de ce qu'il a généré en local, c'est tout :/)

"Si y'avait besoin d'un truc aussi critique que faire des sauvegardes, ce serait listé en gros et gras sur leur doc de mise en place de Bitwarden en entreprise !"

https://bitwarden.com/resources/bitwarden-enterprise-password-manager-implementation-guide/
(spoiler: y'a rien)

Bref, je vous passe ma sidération (ainsi que le détail de ce qui m'est arrivé ಥ﹏ಥ) quand j'ai "découvert" cela !

Allez je vous offre quelques scénarios quand même:

Scénario 1:
1. Tu stockes ton MDP du service A dans Bitwarden
2. Tu mets à jour ton MDP pour le service B, mais tu fais pas gaffe et tu écrases celui du service A

Bon là ça va: tu peux faire un reset de mot de passe et tout retourne dans l'ordre

Scénario 2:
Même que scénario 1, sauf que tu stockais ton TOTP dans Bitwarden.

Dans ce cas, et pour peu que tu ais stocké tes recovery codes au même endroit, t'es bloqué: la plupart du temps quand un TOTP est configuré il est nécessaire de le fournir pour faire un reset de compte !

Scénario 3:
Même que scénario 1 sauf que tu stockais un truc arbitraire (genre clé SSH/PGP), bah là tu l'as perdu et y'a rien à faire :/

Scénario 4:
1. Tu utilises Bitwarden en entreprise pour partager des secrets
2. Tu utilises Bitwarden à titre perso
3. Tu utilise un service A à titre perso et pro (ex: compte AWS)
4. Tu te trompe et mets à jour ton compte pro au lieu du perso (ou vice-versa)
5. T'es viré ¯_(ツ)_/¯

Évidemment la solution à ces problèmes est de faire des sauvegardes, m'enfin en pratique on se prend un pique de complexité:
- Ou on héberge les sauvegardes ?
- Comment on automatise les sauvegardes ?
- Pour faire la sauvegarde il faut le mot de passe maître, donc comment on garde ça sécurisé et automatisé ?
- Comment on gère le fait qu'une modification peut en écraser une autre qui n'a pas encore été sauvegardée ? on accepte juste le risque ?

J'imagine que c'est d'ailleurs pour ça que Bitwarden reste assez discret sur le besoin de faire des sauvegardes…

Bref et vous, comment vous sauvegardez votre Bitwarden ? Et plus généralement vous utilisez quoi setup pour gérer vos mot de passes / TOTP / secrets

PS: Avant j'utilisais KeepassX avec le fichier stocker dans Dropbox, et le client dropbox qui tourne sur mon téléphone et mes PCs.
Avec ça j'avais la base KeepassX (un fichier sqlite3 quoi) stockées sur plusieurs machines, et sur Dropbox avec un historique des version sur un mois. Et la base elle-même contenait l'historique des changements pour chaque entrée.
C'était pas parfait (conflits de versions dans Dropbox en cas de modifs sur plusieurs machines, intégration de KeepassX sur mobile pas ouf à l'époque) mais j'ai jamais perdu de données