Aller au contenu

BITWARDEN - Automatiser l'export de la base de donnée


Kramlech

Messages recommandés

Bonjour à tous

Il y a déjà quelque temps, au fils d'un sujet traité dans ce forum,  j'ai découvert le gestionnaire de mot de passe Bitwarden, ainsi que les moyens d'implémenter la partie serveur de ce produit dans nos NAS, via Docker.

Au fil du temps, j'ai usé et abusé de ce gestionnaire. Mais j'ai quand même dans le coin de ma tête une petite voix qui me dit : attention !!!

Voici les quelques points qui nourrissent cette petite voix :

  1. Bitwarden (ou Vaultwarden, même combat, pour simplifier je ne parlerai plus que de bitwarden...) est un super outil pour générer et stocker les mots de passe.
  2. Héberger Bitwarden sur son NAS, cela fait partie des bons principes que je veux appliquer.
  3. Utiliser Bitwarden est une "drogue" dont il devient très vite difficile de se passer (surtout quand on a commencé avec une drogue "douce" comme "keepass" il a plus de 15 ans)
  4. Alors que se passe-t-il si brusquement notre hébergement disparait (plantage NAS, vol, incendie ...). Ne plus avoir accès à nos comptes et mots de passe peut être extrêmement pénalisants, même pour une durée relativement courte, le temps de remonter une nouvelle machine ou de récupérer nos sauvegardes (au fait les sauvegardes sont bien en sécurité, via des credentials forts stockés ... dans notre base Bitwarden à laquelle on n'a plus accès !!!).

Bref vous comprenez mon soucis (et je ne dois pas être le seul dans ce cas)...

Donc mon idée toute simple est la suivante : Avoir continuellement sous la main un fichier d'export qui contiendra ma base Bitwarden. Ce fichier pourra potentiellement être réimporté en urgence sur le site officiel Bitwarden pour permettre de continuer à travailler ...

Pour cela, les points à résoudre sont les suivants :

  1. Pouvoir faire générer l'export automatiquement via un script
  2. Stocker le fichier export d'une manière chiffrée (pour ne pas lancer dans la nature un fichier qui contiendra en clair tous mes mot de passe !!!)

Le point 2 ne me semble pas forcément le plus complexe. D'après la doc, on peut faire un export au format "encrypted_json". Mais dans mon cas on ne pourra pas l'utiliser, car ce fichier est chiffré avec la clé de chiffrement du compte, et ne peux donc être réimporté que dans ce compte. Mais il existe divers utilitaires de chiffrement qui pourront être utilisés dans ce cas.

Le point 1 est le plus complexe. Déjà il faut être capable de faire générer l'export en ligne de commande.

Ce premier point m'a demandé quelques recherches : il existe bien un CLI pour Bitwarden, mais j'ai eu un peu de mal à trouver comment l'utiliser avec les instances Docker. En fait, c'est tout simple, et cela est indépendant de Docker : il s'agit d'un simple exécutable (bw), qui existe pour Windows, Linux et MacOS. Notre script pourra donc tourner soit sur un PC, soit directement sur le NAS... Toutes les informations sont là : https://bitwarden.com/help/article/cli/

Juste pour info, la séquence des commandes à passer est :

  • bw config server <url> (pour identifier le serveur à joindre)
  • bw login <user> <mot de passe> (pour se connecter à son compte)
  • bw export <mot de passe> <format>

Voila c'est très simple...

Maintenant, il y a un hic si on veut scripter tout cela : il faut indiquer le mot de passe de notre compte Bitwarden au niveau du script, et ceci n'est pas vraiment .... sécurisé !!!

Donc, après ce long préambule, voici ma question :

  • Est-ce que quelqu'un connait une méthode sécurisée pour passer un mot de passe à un script, soit en linux, soit en windows ?

D'après mes recherches, je n'ai rien trouvé pour Linux. Par contre pour windows, dans mon ancienne vie (professionnelle), j'ai utilisé des logiciels qui utilisaient les credentials stockés dans Windows pour faire leurs accès. C'est donc qu'il doit y avoir des API Windows qui peuvent faire cela...

Donc je suis preneur de toute bonne idée sur le sujet, c'est pour cela que je sollicite la communauté. J'ai bien quelques idées, mais je voudrais me confronter à d'autres personnes, sans doute plus compétentes que moi sur ce sujet.

Bien entendu, une fois que tout cela sera finalisé (si j'y arrive) et si certains sont intéressés, j'en ferai un vrai tutoriel ...

Merci à tous pour votre aide...

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @Kramlech

J'avais prévu une autre technique, je ne suis pas très certain que ce soit sans faille mais tu vas me dire ce que tu en penses.

J'ai Bitwarden sur mon PC et ma tablette (appli Android). Si la tablette est en WIFI à l'ouverture de l'appli le coffre qui est quelque part sur la tablette se synchronise avec le coffre du NAS. Idem sur le PC, lorsque l'on déverrouille  l'extension bitwarden dans le naviguateur le coffre du PC se synchronise avec le NAS.

Mais quand je n'ai pas le WIFI ou que le NAS est déconnecté du réseau, bitwarden continue a fonctionner avec le coffre interne (tablette ou PC). On peut même l'exporter en .json sans chiffrage vers une nouvelle machine. 

Evidemment si la maison prend feu, que je n'ai pas pris ma tablette ou bien que celle-ci plante je n'ai plus qu'à utiliser l'option mot de passe oublié 😉

 

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Jeff777 a dit :

On peut même l'exporter en .json sans chiffrage vers une nouvelle machine. 

Effectivement, je n'avais pas noté qu'on pouvait exporter la base depuis les appli des devices... Ça peut être une solution en cas de problème.

Je me fais peut-être des nœuds au cerveau pour pas grand chose ....

Lien vers le commentaire
Partager sur d’autres sites

Tu peux toujours utiliser du chiffrage gpg dans ton script pour ne pas mettre en plain text ton mot de passe maître.
En utilisant une paie de clé publique/privée gpg par exemple.

Comme l'a dit @Jeff777 tu as un accès en cache via les applis à ton coffre.

Pour ma part j'ai une tâche récurrente mensuellement dans mon calendrier qui me rappelle d'exporter mon coffre BW 😄 
Et j'ai une sauvegarde tous les trois jours des données de mes conteneurs.

Lien vers le commentaire
Partager sur d’autres sites

Le 24/05/2021 à 18:54, Jeff777 a dit :

Mais quand je n'ai pas le WIFI ou que le NAS est déconnecté du réseau, bitwarden continue a fonctionner avec le coffre interne (tablette ou PC). On peut même l'exporter en .json sans chiffrage vers une nouvelle machine. 

Je viens de vérifier ce qu'il se passe quand le réseau (ou le serveur) n'est pas accessible : on peut faire l'export depuis l’extension des navigateurs ou depuis les applications portables, mais à condition d'être connecté ... Si on est déconnecté, il est impossible de se connecter sans accès au serveur !!!

Donc si comme moi, vous vous déconnectez régulièrement, on en revient à la case départ ....

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Pour ma part, j'ai aussi testé en mode déconnecté. Il lit parfois la base de données, mais dès lors que je souhaite écrire dans la base, il recherche plusieurs minutes et finit par afficher un message d'erreur. Ensuite, il n'est plus possible de lire la base.

Donc pour moi aussi, impossible de me servir de cette application sans être connecté au serveur. 

Modifié par PatrickBt
Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, PatrickBt a dit :

Donc pour moi aussi, impossible de me servir de cette application sans être connecté au serveur. 

Il faut distinguer nas déconnecté du réseau locale et application déconnectée (dans les paramètres de Bitwarden).

Si l'option déconnection est activée dans les paramètres effectivement le cache disparait et il ne semble pas être possible de récupérer son coffre sans reconnection du nas hébergeant bitwarden au réseau.

Personnellement je n'active jamais la déconnexion de Bitwarden que ce soit l'application Android ou les extensions navigateurs sur Windows 10 les coffres sont simplement verrouillés .  Le cache reste actif même en cas d'arrêt du périphérique ou/et de déconnexion du nas. Je peux dans ce cas exporter le coffre depuis le périphérique puis l'importer dans le nas une fois le problème réglé et j'ai la version la plus récente. 

Ceci dit je suis preneur du future tuto 😉

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, Jeff777 a dit :

Si l'option déconnection est activée dans les paramètres effectivement le cache disparait et il ne semble pas être possible de récupérer son coffre sans reconnection du nas hébergeant bitwarden au réseau.

Merci à toi.

Effectivement, je me déconnecte, alors je perd donc le cache. Je ne vais donc pas me déconnecter de l'application ou de l'extension. Je ferais l'essai demain. 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Alors, après test, tout cela fonctionne très bien hors connexion, mais il ne faut pas déconnecter l'application si le port 443 n'est pas ouvert sur le routeur.

Ce qui m'embêtais, c'était le cas où l'application se déconnecte en étant hors de chez moi. Il me serais alors impossible d'avoir mes mots de passe. Je passe donc dans ce cas là avec le vpn et l'application se reconnecte.

Merci pour l'aide.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.