Passbolt, un nouveau gestionnaire de mots de passe pour les équipes

Posté par . Édité par Davy Defaud, Benoît Sibaud, Nils Ratusznik, ZeroHeure et palm123. Modéré par ZeroHeure. Licence CC by-sa
29
16
avr.
2016
Sécurité

Passbolt est un gestionnaire de mots de passe open source [N. D. M. : licence libre AGPL v3 pour le code, mais licence non libre CC BY-NC-SA pour leur site Web] conçu pour la coopération. Il permet aux membres d’une équipe de stocker et partager leurs mots de passe de manière sécurisée, et d’être intégré à un écosystème existant par l’intermédiaire de son API et de son client console. Le chiffrement des mots de passe se base sur un standard reconnu : OpenPGP.

passbolt logo

Passbolt passwords workspace

Pourquoi passbolt ?

La gestion des mots de passe au sein d’une société ou d’une équipe est une problématique récurrente. Il n’est pas toujours possible d’avoir des mots de passe uniques pour chaque personne (par exemple, le mot de passe administrateur pour un routeur) ou parfois il est nécessaire de transmettre un mot de passe temporaire (par exemple, Alice crée un compte pour Bob en lui demandant de changer son mot de passe).

Nombre d’organisations utilisent des pratiques peu recommandées (courriels en clair, fichiers partagés) pour échanger les mots de passe communs à plusieurs utilisateurs, fragilisant ainsi leur caractère confidentiel.

Passbolt peut également aider les administrateurs à mettre en place des règles de rotation, d’audit et de remplacement de mots de passe, par exemple, lorsqu’un collaborateur quitte une organisation. Passbolt aide les utilisateurs finals à employer des mots de passe forts et uniques.

C’est pour répondre à ces problématiques que passbolt a été créé.

En quoi passbolt est‐il différent des autres gestionnaires de mots de passe ?

Beaucoup de solutions de gestion de mots de passe existantes se concentrent sur les besoins personnels de leurs utilisateurs. Passbolt a été conçu pour répondre aux besoins d’une équipe dans les petites et moyennes organisations. De plus, passbolt est entièrement libre [N. D. M. : licence libre AGPL v3 pour le code, mais licence non libre CC BY-NC-SA pour leur site Web] et respectueux de votre vie privée.

Passbolt se démarque également par son extensibilité, grâce à son interface de programmation (API) REST/JSON. Deux clients sont déjà disponibles : le client Web et le client console.

Est‐ce sécurisé ?

Le chiffrement des mots de passe fonctionne de manière asymétrique en se basant sur GPG. Aucun mot de passe en clair n’est jamais échangé avec le serveur et la phase de chiffrement est effectuée par un greffon Firefox afin de protéger l’intégrité du code JavaScript en charge des opérations sensibles.

À l’heure actuelle, passbolt est disponible en version alpha et l’une de nos prochaines étapes est de soumettre l’application à un audit de sécurité externe, afin de proposer des garanties concrètes vis‐à‐vis de la sécurité.

Technologies

Passbolt API est écrit en PHP sur la base du framework CakePHP. Le client Web est implémenté en JavaScript en se basant principalement sur CanJS, StealJS et jQuery. Le client console est, quant à lui, réalisé en Node.js.

Les bibliothèques GPG utilisées sont OpenGPG.js, ainsi que le module GPG de PHP. Ce dernier n’est mis à profit que pour l’authentification et la validation des clefs publiques.

L’application est testée en profondeur par l’intermédiaire de tests unitaires et de Selenium.

Prochaines étapes

Après plusieurs mois de développement, nous avons enfin une version que nous estimons utilisable. Passbolt est donc disponible en tant que démonstration de faisabilité. D’ici quelques semaines nous lancerons une campagne de financement participative afin d’avancer dans les prochaines étapes du développement du logiciel, incluant notamment :

  • un audit de sécurité externe ;
  • un greffon pour le navigateur Chrome ;
  • une option pour une gestion manuelle des clefs et des signatures ;
  • la gestion des catégories et des groupes ;
  • la compatibilité avec d’autres systèmes (Keepass, etc.) ;
  • l’intégration avec d’autres services (LDAP, OAuth…) ;
  • l’internationalisation, une meilleure accessibilité, etc.

En conclusion

Nous vous invitons à tester la solution soit par l’intermédiaire de la démo en ligne, soit en l’installant directement sur votre machine (un conteneur Docker est disponible sur GitHub), puis à nous soumettre vos impressions dans les commentaires.

  • # Pas complètement open source

    Posté par (page perso) . Évalué à 0.

    Par curiosité (j'aime bien regarder la rapport à l'open source des projets :) ), j'ai regardé la FAQ sur le licence.

    Il faut corriger :

    Passbolt est un gestionnaire de mots de passe open source (AGPL v3)

    en "Passbolt est un gestionnaire de mots de passe open source (AGPL v3) sauf la documentation qui n'est pas open source (CC BY-NC-SA)".
    (la documentation fait partie d'un logiciel… D'où mon titre "pas complètement open source")

    A noter aussi que la version open source est en copyleft non pas pour le principe du copyleft, mais pour faire à la MySQL et vendre une version non libre :

    Commercial licenses are also available from Bolt Softwares Pvt. Ltd.

    (que ce soit clair : ça n'enlève pas du tout le fait que le logiciel sans documentation est open source, juste que ça m'amuse de voir les licences de RMS, qui a utilisé le copyright pour s'opposer au non libre, être utilisées pour vendre du non libre, RMS aide à vendre du non libre grâce à son travail sur les licences :) )

    Noter aussi le discours "faux" très marketing :

    Our goal in selecting the AGPL v3.0, as our default license is to require that enhancements are released back to the community.

    Non, ça c'est du beau discours marketing et seulement marketing, si le but était réellement ça, on ne vendrait pas 1 ligne en dessous une version qui permet de cacher les modifications, bref on ferait pas une offre qui permette de faire exactement l'inverse de ce qu'on dit.
    Ne tombez pas dans le panneau, l'AGPL est ici pour vous vendre une version payante, et vos patchs ne sont pas que pour la communauté mais pour la version payante surtout.
    C'est chiant le discours marketing qui n'assume pas les idées de la boite sur son utilisation de l'open source.
    (que ce soit clair : ça n'enlève pas du tout le fait qu'une version du logiciel sans documentation est open source, faut juste être conscient que c'est en échange de servir de moyen de pub pour vendre du non open source, on prend l'idée quand on décider d'en parler)

    Source: https://www.passbolt.com/faq#licensing

    • [^] # Re: Pas complètement open source

      Posté par (page perso) . Évalué à 10. Dernière modification le 16/04/16 à 09:28.

      J'avais remarqué ce point en modération et je m'étais fié à https://www.passbolt.com/terms qui explique que les logiciels sont sous AGPL v3 et leur site web sous CC BY NC SA 3.0.

      "Unless otherwise noted, all Passbolt software presented on the Site (including but not limited to Passbolt application and browser extensions, testing and deployment tools, etc.) is available under Free Software Foundation's GNU AGPL v3.0."

      "Unless otherwise noted, the Site content (including but not limited to articles, blog entry, technical documentation, diagrams and illustrations, etc.) are licensed under Creative Commons BY NC SA 3.0 License."

      Mais en fait cela à l'air plus compliqué (et du coup j'ai mis à jour la dépêche) :

      Voir https://github.com/passbolt/passbolt_firefox/blob/master/README.md qui semble plutôt dire autre chose :

      "Licence (code): http://www.gnu.org/licenses/agpl-3.0.en.html
      Licence (text & art): http://creativecommons.org/licenses/by-nc-sa/3.0/
      "

      Voir https://github.com/passbolt/passbolt_styleguide/blob/master/README.md ou https://github.com/passbolt/passbolt_wireframes/blob/master/README.md où c'est seulement les images :

      "Other images are distributed under creative common BY-NC-SA https://creativecommons.org/licenses/by-nc-sa/3.0/"

      • [^] # Re: Pas complètement open source

        Posté par (page perso) . Évalué à 0.

        Mais en fait cela à l'air plus compliqué (et du coup j'ai mis à jour la dépêche)

        Euh… Effectivement, j'étais resté sur "la documentation", mais si c'est carrément "text & art" dans le logiciel, on n'a plus rien d'open source en résultat…
        Rappel pour les intéressés : si vous mettez un seul truc non compatible AGPL (et BY-NC-SA ne l'est pas) dans votre livraison, vous violez la licence (comme les seuls lésé sont vous, pas de problème juridique mais pour les autres votre livraison est non open source, elle est légalement impossible).

        C'est ça de choisir du copyleft, on a tout de suite des problème de compatibilité de licence… :-D.

      • [^] # Re: Pas complètement open source

        Posté par . Évalué à 6. Dernière modification le 16/04/16 à 12:01.

        Nous avons mis a jour les licences dans les repo github. Pour clarifier, tout ce qui est actuellement distribué sur Github est en AGPL, y compris les images, les textes, etc. Le contenu sur le site en disponible en CC BY-NC-SA. Nous mettrons également à disposition dans le future la documentation technique ou manuel utilisateur, sur github, sous FDL.

        • [^] # Re: Pas complètement open source

          Posté par (page perso) . Évalué à -2.

          Nous mettrons également à disposition dans le future la documentation technique, sur github, sous FDL.

          Par curiosité, pourquoi ce choix de licence? Perso je vois de moins en moins cette licence même pour de la doc, et je dirais de :
          - mettre en AGPL pour que tout soir en AGPL, plus simple à l'affichage
          - mettre ne CC BY-SA (plus connu que la GFDL pour la documentation de nos jours et avec plus de protection tout en évitant le piège du non libre en GFDL avec les sections invariantes possibles, et oui, je suis contre la prolifération des licences donc si on peut flinguer la GFDL peu utilisée…)

    • [^] # Re: Pas complètement open source

      Posté par . Évalué à 8.

      Bonjour Zenitram, je suis un des développeurs de passbolt, je me permets de rebondir sur ton commentaire pour expliquer un peu nos choix.

      L'idée de la licence CC BY-NC-SA pour le texte et les illustrations dans nos conditions était surtout pour protéger d'une utilisation commerciale le contenu du site public, en particulier les illustrations cosmétiques non techniques. Cependant nous comprenons vos réserves et nous allons donc proposer l’ensemble de notre contenu sous FDL, dés la semaine prochaine.

      Concernant le choix d'offrir passbolt sous AGPL tout en se laissant la possibilité d’offrir une licence commerciale: nous n'avons pas l'intention de proposer une version payante qui serait meilleure qu'une version non-payante. Nous souhaitons permettre, au cas par cas, à des entreprises qui veulent héberger passbolt et qui ne souhaitent pas partager leurs changements (avec nous ou leur utilisateurs) de pouvoir le faire mais seulement en échange de participer au financement de la version open source.

      • [^] # Re: Pas complètement open source

        Posté par (page perso) . Évalué à -7. Dernière modification le 16/04/16 à 10:21.

        protéger d'une utilisation commerciale

        Euh… Justement, l'open source a exactement pour but de laisser les gens libres, y compris de faire une utilisation commerciale.
        On ne peut pas vouloir faire de l'open source tout en refusant la concurrence commerciale, c'est incompatible.
        Je crois qu'il va falloir réfléchir si l'open source est ce que vous voulez… Car ce discours de "protection" n'est pas tenable pour qui fait de l'open source.

        en particulier les illustrations cosmétiques non techniques.

        Voit pas le rapport : technique ou non technique, ce n'est pas le sujet.
        Le site est une autre histoire, séparé. Est-ce qu'il y a un seul truc en -NC quand j'installe le serveur ou le plugin? Si oui, c'est incompatible avec l'AGPL, donc pas AGPL.

        donc proposer l’ensemble de notre contenu sous FDL

        Penser à vérifier que la FDL est compatible avec l'AGPL pour la partie "text & image" fournie dans les binaires. Penser à na pas utiliser de section invariante (non open source / libre malgré le fait que ce soit une licence faite par la FSF…).

        nous n'avons pas l'intention de proposer une version payante qui serait meilleure qu'une version non-payante.

        Je n'ai pas dit que le modèle était "open core", j'ai dit qu'il était "dual licensing".

        Nous souhaitons permettre, au cas par cas, à des entreprises qui veulent héberger passbolt et qui ne souhaitent pas partager leurs changements (avec nous ou leur utilisateurs) de pouvoir le faire mais seulement en échange de participer au financement de la version open source.

        Oui, c'est bien ce que je dis donc : vous êtes "achetables" ;-). Encore une fois, ça n'enlève pas le côté open source de l'offre, mais l'AGPL est la pour vendre du non AGPL. C'est un choix, juste que ça enlève le côté "on a choisi l'AGPL pour récupérer du code" mis en avant. C'est pour vous financer surtout (note : ce n'est pas un mal, je n'ai pas dis ça, juste que perso ce discours marketing sur le copyleft négociable m’énerve un peu).

        Par curiosité, quel CLA vous demandez à vos contributeurs?

        Au passage :

        avec nous

        tout comme "are released back to the community" dans la FAQ : c'est faux. l'AGPL ne s’intéresse ni à vous ni à la communauté. Si le but est que vous et la communauté reçoive obligatoirement le code, il faut une autre licence (non libre).
        l'AGPL s’intéresse à celui qui reçoit le logiciel, jamais à vous ni à la communauté. l'AGPL n'oblige à rien envers vous ni la communauté. Cette partie de la FAQ est donc fausse, et pour information votre version AGPL me suffit amplement pour ne pas vous filer ma modif (surtout pour un logiciel qui va rester au sein de l'entreprise comme passbolt).

        Je vous conseille de vous renseigner sur l'AGPL et l'open source, j'ai l'impression que vous en avez une idée qui n'est pas la réalité.
        Pour résumer :
        - l'open source a pour but d’empêcher les développeur de garder le monopole de l'utilisation commerciale.
        - l'open source, y compris l'AGPL, s’intéresse à celui qui reçoit, aucunement à la communauté ni au développeur.

        Si votre but est d’empêcher l'utilisation commerciale et/ou d'obliger les gens fournir à la communauté si ils veulent modifier le logiciel, l'open source n'est pas adapté.

        • [^] # Re: Pas complètement open source

          Posté par . Évalué à 7.

          Oui, c'est bien ce que je dis donc : vous êtes "achetables" ;-). Encore une fois, ça n'enlève pas le côté open source de l'offre, mais l'AGPL est la pour vendre du non AGPL. C'est un choix, juste que ça enlève le côté "on a choisi l'AGPL pour récupérer du code" mis en avant. C'est pour vous financer surtout .

          Si votre but est d’empêcher l'utilisation commerciale et/ou d'obliger les gens fournir à la communauté si ils veulent modifier le logiciel, l'open source n'est pas adapté.

          Faut bien vivre.
          J'en connais qui distribuent leur logiciel dans une version payante et qui viennent faire la leçon de morale aux autres:
          https://mediaarea.net/en/MediaInfo/Download/Mac_OS

          Super accueil, comme d'hab.

          Venir présenter son projet sur DLFP c'es la garantie de se faire bâcher.

          • [^] # Re: Pas complètement open source

            Posté par (page perso) . Évalué à 10.

            Venir présenter son projet sur DLFP c'es la garantie de se faire bâcher

            … par Zenitram

            "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

          • [^] # Re: Pas complètement open source

            Posté par (page perso) . Évalué à -9. Dernière modification le 16/04/16 à 11:46.

            J'en connais qui distribuent leur logiciel dans une version payante et qui viennent faire la leçon de morale aux autres

            Dans l'exemple que tu fournis, n'importe qui peut faire exactement la même chose (sauf le nom, protégé, c'est autre chose, ça sert à éviter le cybersquatting), ma critique concerne le fait que l'auteur se garde un monopole sur certaines possibilités et que c'est affiché comme pour aider la communauté (alors que le but est de se financer).

            Super accueil, comme d'hab.
            Venir présenter son projet sur DLFP c'es la garantie de se faire bâcher.

            Sortir une critique, c'est bâcher?
            Ha oui, excusez-moi, il faut dire que du positif, et ne pas parler des petits problèmes genre licences problématiques (petits… Enfin, oui c'est petit si on a rien à faire du libre, j'ai dû me tromper de site).
            Je n'avais pas compris comment ça fonctionnait.

            Ok, je vous laisse donc dans le bonheur de devoir (sinon "tu es pas un gentil") dire que du bien. Je me fais avoir à chaque fois, cette liberté qu'on a à condition d'être dans le moule… (quel accueil des critiques, je dirais pour en copier un autre)

            • [^] # Re: Pas complètement open source

              Posté par . Évalué à 9.

              Dans l'exemple que tu fournis, n'importe qui peut faire exactement la même chose (sauf le nom, protégé, c'est autre chose, ça sert à éviter le cybersquatting), ma critique concerne le fait que l'auteur se garde un monopole sur certaines possibilités et que c'est affiché comme pour aider la communauté (alors que le but est de se financer).

              Quelle différence avec leur projet ? On peut aussi dire qu'artificiellement tu te livres à de l'open-source washing. C'est aussi hypocrite qu'eux.
              Tu respectes la licence, eux aussi (sauf pour l'histoire de artworks et ils ont pris en compte tes remarques)
              Je suis libre de repackager ton app et la revendre sur l'app store. Parfait
              Je suis aussi libre d'améliorer leur produit et de le commercialiser pour peu que je reverse mes modifs

              Ah oui tu es en BSD et là on on du copyleft, ta position est plus morale

              J'ai souvenir d'un intervenant sur ce site qui prétendait que la licence n'obligeait en rien une éthique quelle qu'elle soit, quelqu'un pour me le rappeler, j'ai comme un doute.
              Il y a un Z dans son pseudo je crois.

              • [^] # Re: Pas complètement open source

                Posté par (page perso) . Évalué à -10. Dernière modification le 16/04/16 à 12:18.

                Ah oui tu es en BSD et là on on du copyleft, ta position est plus morale

                Peux-tu essayer de comprendre avant de réagir en tapant le HS complet?
                Le sujet n'est pas le copyleft ou non copyleft, je n'ai fait aucune critique sur le copyleft (j'ai bien fait attention de ne pas mettre mes idées sur le copyleft dans ma critique)

                La critique est de se réserver des droits pour les vendre (je ne ferai aucune critique sur un projet qui file qu'une version AGPL, c'est cohérent sur la volonté de laisser le code libre partout) qui n'est pas cohérent avec l'affichage "on aime le libre" (je ne fais aucune critique sur Oracle qui a le même business model mais qui affiche bien que le business est sur du non libre, bref je ne critique pas quand il y a une cohérence entre l'affichage et les faits).

                Bon, abandon tellement il y a une déformation des propos pour pouvoir rester dans ses idées quand on ne peut pas contre-argumenter sur le propos lui-même (débattre sur les idées, pourquoi pas, mais il faut alors être de bonne foi et contre-argumente sur ce que l'autre dit, pas sur ce qu'on veut lire qu'il dit).

                • [^] # Re: Pas complètement open source

                  Posté par . Évalué à 4. Dernière modification le 16/04/16 à 16:27.

                  Peux-tu essayer de comprendre avant de réagir en tapant le HS complet?

                  Peux-tu essayer de ne pas toujours prendre tes interlocuteurs pour des lapins de garenne ?
                  Allons donc sur le fond puisque tu insistes:

                  La critique est de se réserver des droits pour les vendre (je ne ferai aucune critique sur un projet qui file qu'une version AGPL, c'est cohérent sur la volonté de laisser le code libre partout) qui n'est pas cohérent avec l'affichage "on aime le libre"

                  La critique est donc bien sur l'éthique. Je ne suis pas tant HS que ça.
                  Et là je t'objecterai l'argument phare de Zenitram… l'autre, celui qui l'utilise quand il s'agit de défendre une position contre les pourfendeurs moralistes de la GPL.
                  Les licences libres n'ont cure de l'éthique. Si on choisit une licence libre et qu'on la respecte il n'y a rien à redire

                  Le sujet n'est pas le copyleft ou non copyleft, je n'ai fait aucune critique sur le copyleft (j'ai bien fait attention de ne pas mettre mes idées sur le copyleft dans ma critique)

                  Non tu ne l'as pas dit mais tu l'a pensé tellement fort:

                  Je cite:

                  juste que ça m'amuse de voir les licences de RMS, qui a utilisé le copyright pour s'opposer au non libre, être utilisées pour vendre du non libre, RMS aide à vendre du non libre grâce à son travail sur les licences :) )
                  et
                  Ne tombez pas dans le panneau, l'AGPL est ici pour vous vendre une version payante, et vos patchs ne sont pas que pour la communauté mais pour la version payante surtout.

                  A quoi servirait un dual licensing proprio/BSD sachant qu'on a aucune restriction à embarquer ce code dans une version ?
                  Et chose étrange (et tout à ton honneur, je le confesse), ton travail est diffusé sous licence BSD.

                  C'est donc bien des copyleft dont il est question.
                  Car oui, seul ce type de licence lorsqu'elle est adossée à une licence proprio permet d'en conserver un avantage concurrentiel.
                  Moi ce ne choque pas plus que ça qu'une boîte qui veuille faire du proprio qui veuille pouvoir se lier à du libre puisse en avoir la possibilité, si ca me permet en tant qu'utilisateur de bénéficier grâce à ça d'un logiciel de meilleure qualité car financé. Oui la BSD le permet de base mais c'est une question de choix. Et oui par effet de bord, un concurrent devrait reverser son code pour pouvoir se faire du beurre mais ne peut pas faire du proprio avec. Mais la liberté de l'utilisateur reste, la liberté celle du LL est respectée. En revanche, contrairement à toi, je n'affirme (n'insinue pardon, chacun sait que tu sais jouer sur le fil du rasoir) pas que c'est "la raison" pour laquelle ils ont opté pour l'AGPL. Et après tout c'est eux qui l'ont pondu ce soft à la base et la règle du jeu est claire pour les contributeurs. Comme dirait encore ce cher Zénitram (l'autre). Tu est libre de ne pas l'utiliser ou de ne pas contribuer. Tout comme ça ne me choque pas que tu veuilles faire payer les users friqués qui n'ont pas envie de se faire chier à repackager ton soft.

                  Il y a donc bien ce jugement moral qui émane de tes propos (le projet ne respecte pas l'éthique" du libre ou alors il faut qu'ils s'abstiennent de dual licence ou en change pour une type BSD) et une autre belle petite pique envers ce bon vieux RMS qui se retrouve avec son bébé "dévoyé".

                  Moi, comme l'autre Zenitram, je préfère le pragmatisme

                  • [^] # Re: Pas complètement open source

                    Posté par . Évalué à 2.

                    A quoi servirait un dual licensing proprio/BSD sachant qu'on a aucune restriction à embarquer ce code dans une version proprio?
                    petite omission de ma part… mon clavier s'est blo…

            • [^] # Re: Pas complètement open source

              Posté par . Évalué à 6. Dernière modification le 16/04/16 à 12:13.

              Ok, je vous laisse donc dans le bonheur de devoir (sinon "tu es pas un gentil") dire que du bien. Je me fais avoir à chaque fois, cette liberté qu'on a à condition d'être dans le moule… (quel accueil des critiques, je dirais pour en copier un autre)

              Pov petit piou piou. Je vais verser une larme. On peut faire des critiques constructives (comme pointer des incohérences sur le licensing comme tu l'as fait) sans pour autant vouloir jeter l'opprobre, prêter des intentions. Mais on ne se refait pas hein.

            • [^] # Re: Pas complètement open source

              Posté par (page perso) . Évalué à 10.

              Sortir une critique, c'est bâcher?

              Si tu ne comprends pas la différence entre ce que tu fais et une critique constructive, il vaut mieux que tu t'abstienne de le faire.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Pas complètement open source

              Posté par . Évalué à 10.

              Sortir une critique, c'est bâcher?

              Tant que tu rentrera dans les gens aussi brusquement, tu te fera à ton tour rentrer dedans rudement.

              Critiquer c'est une chose, mais tu ne te contente pas de relever des points plus ou moins objectifs qui te pose problème. Tu juge et tu remet en cause les gens qui sont derrière.

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: Pas complètement open source

        Posté par (page perso) . Évalué à -3. Dernière modification le 16/04/16 à 10:44.

        donc proposer l’ensemble de notre contenu sous FDL

        https://fr.wikipedia.org/wiki/Licence_de_documentation_libre_GNU#Incompatibilit.C3.A9_entre_GPL_et_GFDL

        "La GFDL est incompatible dans les deux sens avec la GPL, ce qui signifie que des documents distribués sous une GFDL ne peuvent pas être insérés dans un programme informatique placé sous une licence GPL"

        Pas pour le site web, mais pour le logiciel lui-même ("text & art" dans les plugins, le serveur…) le résultat sera une licence nulle (car incompatible entre des éléments qui doivent l'être, vous avez choisi l'AGPL, qui se base sur la GPL, est celle-ci pose des contrainte sur les mélanges).

        vous avez choisi une licence copyleft et non une licence plus permissive, il faut en accepter aussi les contraintes de compatibilité.

        Je vous conseille donc de mettre les "text & art" dans les plugins, le serveur… en AGPL pour vous faciliter la vie. Jouer avec 36 licences est un casse-tête inutile et repoussant.
        (pour la doc externe et le site web, la GFDL peut aller, c'est juste moins cohérent à l'affichage de ce que vous faites comme licence, bien qu'assez classique)

    • [^] # Re: Pas complètement open source

      Posté par (page perso) . Évalué à 2. Dernière modification le 16/04/16 à 10:22.

      Libre ne veut pas dire gratuit. Ils peuvent très bien vendre un produit non libre et proposer du service payant pour financer un produit libre et c'est très bien. Si le libre était tout le temps gratuit, il y a longtemps qu'on n'en parlerait plus.
      Si tu trouve d'autres moyens de payer leurs salaires, je pense que ça les intéressera fortement.

      • [^] # Re: Pas complètement open source

        Posté par (page perso) . Évalué à -6. Dernière modification le 16/04/16 à 10:28.

        Libre ne veut pas dire gratuit.

        Ai-je dit le contraire?
        Ca m'étonnerai, vu que je dis exactement ça, généralement.

        Si tu trouve un moyen de payer leurs salaires, je pense que ça les intéressera fortement.

        Ai-je critiqué le principe?

        S'il te plait, avant de te jeter dans la contre-critique, comprend ce que tu critiques, tu verras que je n'ai pas critiqué le principe mais l'affichage (le côté marketing un peu trop poussé "on est à fond dans l'open source et la communauté" tout en proposant de gagner des sous sur du non open source; rappel : dans ce dual licensing, celui qui offre un patch fournit dans une licence type MIT pour que le site offre en AGPL, je préviens juste qu'il faut aimer ça).

        • [^] # Re: Pas complètement open source

          Posté par . Évalué à 8.

          S'il te plait, avant de te jeter dans la contre-critique, comprend ce que tu critiques […]

          Je te dis ça en passant, Zenitram, ne le prends pas en mauvaise part mais apprends à t'exprimer. La plupart du temps quand je lis un de tes commentaires, je suis obligé de le faire plusieurs fois avant de comprendre ce qu'au juste tu veux dire. Je ne sais que te conseiller pour ce faire, il y a juste des pistes, lire de la littérature, te relire toi-même, essayer de comprendre quand un texte te semble particulièrement compréhensible ce qui justement le rend particulièrement compréhensible. Ce n'est pas pour te basher, de ce côté-là tu as vraiment du boulot.

          Je laisse de côté ton approche particulière de redresseur de torts qui veut en imposer aux moralistes en invoquant leur propre morale, rôle dans lequel tu te complais, et même tu commences à te confire. Mais la plupart du temps les polémiques que tu déclenches sont plus dues à l'incompréhension de ce que tu énonces qu'à un désaccord avec ce que tu veux exprimer.

    • [^] # Re: Pas complètement open source

      Posté par (page perso) . Évalué à 1.

      J'ai créé une issue sur le GitHub du projet: https://github.com/passbolt/passbolt/issues/2

  • # Test rapide

    Posté par (page perso) . Évalué à 0.

    Il faut s'enregistrer avec une adresse mail, même pour la démo. Bon, je comprend que ce soit utile, admettons. Merci jetable.org.
    First Name / Last Name sont obligatoires, aucune raison que ça le soit.

    Après avoir validé mon adresse mail et cliqué sur "Next" plein de fois (ça a l'air compliqué, trop compliqué pour moi qui pense juste stocker des passwords et serai curieux de voir l'interface), j'ai un "loading, please wait…" depuis 5 minutes. après un "F5", ça va mieux et j'ai l'interface.
    Je créé un pass, clique sur "save" et… Rien. "Cancel" marche, je retente, toujours rien, je retente et la c'est bon j'ai créé un password.
    je voudrai retrouver le password, il semble que je dois l'éditer pour ça, je clique sur l'oeil et ça prendre 20 secondes pour le "déchiffrer". Un peu long.

    J'ai encore du mal à comprendre le besoin du plugin (il fait "tout" en local? mais il y a l'URL sur la démo), vu qu'il n'y a pas d'interaction avec les sites. J'avoue que que pour moi, la principale utilité d'un password management system, c'est de me simplifier la vie en automatisant le login au maximum, et c'est ce qui me fait utiliser LastPass (qui n'est pas open source, et ça m'embète bien, mais je n'ai pas trouvé d'alternative open source, donc j'espérai en trouver une la, car qui peut le plus peut le moins, si Passbolt permet la coopération, je me dit que ça peut coopérer avec moi-même) et je ne retrouve rien de tout ça ici. Ce n'était certes pas en pub, mais de mon point de vue, à part pour les fans purs et durs, il y a besoin de cette fonctionnalité, sinon les gens mettent leur pass dans un fichier sur DropBox et utilisent LastPass (quand le pass est refusé, ils regardent le fichier de pass et change le pass dans leur LastPass, ça arrive moins souvent que de se taper le login de Twitter et autres).

    Bref, je ne comprend pas l'utilité d'installer un plugin, tout semble pouvoir être fait à partir du serveur, ça me semble compliqué pour une utilité de cette complexité que je n'ai pas trouvé (que le serveur n'ai pas les pass en clair? OK, mais c'est un besoin très très rare par rapport au niveau de sécurité nécessaire). Pour être plus précis, j'ai l'impression de la complexité liée à une forte protection digne d'un secret défense alors que je suis un TPE ou PME, et une forte complexité jugée inutile nuit à la sécurité (les gens trouveront autre chose de plus simple si ils ne sont pas convaincu que ce niveau de sécu est nécessaire).
    L'idée des rotations peut être pas mal, mais j'ai du mal à comprendre comment il marche : y a-t-il des exemple? (par exemple, un bot qui change le pass d'un routeur donné toutes les 2 semaines et met à jour le pass sur passbolt? Ou est-ce une utilité potentielle future?)

    Je ne suis peut-être pas la cible, donc je vais m'arrêter la :).

    Sinon, quelques remarques sur les fonctionnalités dites dans la dépêche :

    parfois il est nécessaire de transmettre un mot de passe temporaire (par exemple : Alice créé un compte pour Bob en lui demandant de changer son mot de passe).

    Où est le problème? Un bon site a une option "forcer le changement de pass à la prochaine connexion", donc envoyer le pass temporaire en clair ne pose généralement pas de problème.


    Le diagnostic initial semble être bon (clair qu'il y a des soucis de gestion de mots de passe de certains sites où on ne peut mettre son propre SSO), le site est super propre (bon design, semble accessible pour qui comprend et veut ce niveau de sécurité, agréable) mais après j'ai des doutes que la complexité soit acceptée en échange de plus de sécurité. A suivre, dans le cas où la complexité se réduit et l'interaction avec les sites webs (pour les pass de réseaux sociaux par exemple) s'améliore.

    • [^] # Re: Test rapide

      Posté par (page perso) . Évalué à -5.

      Tu veux pas arrêter tes critiques systématiques ?

      En plus tu es mal placé pour tester un logiciel conçu pour les équipes puisque tu travailles seul.
      Enfin, tu n'y connais rien en problématiques de sécurité.

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

      • [^] # Re: Test rapide

        Posté par (page perso) . Évalué à -3. Dernière modification le 16/04/16 à 11:51.

        Enfin, tu n'y connais rien en problématiques de sécurité.

        J'en sais assez pour savoir qu'une sécurité disproportionnée avec des contraintes d'utilisation est contournée par les utilisateurs.
        Tu peux te le cacher, ça n'enlève pas que la porte blindée avec une fenêtre ouverte à côté à cause qu'il faut 5 minutes pour ouvrir la porte quand on a le droit fait que la porte blindée parfaite qu'elle soit est inutile.

        Si tu ne sais pas ça, je dirais que tu n'y connais rien en problématiques de sécurité (et que j'en connais plus que toi).

        Sérieux, il vaut faut quoi? un préambule dans la page de commentaire "seuls les commentaires positifs sont tolérés"? Excusez moi, je croyais que l'esprit critique était quelque chose de bien, je vous laisse donc à apprécier le côté non libre et les problèmes de la complexité en trop bien génial continuez.

  • # Mode hors ligne

    Posté par (page perso) . Évalué à 4.

    Est-il possible d'avoir la base des mots de passe chiffrés en local sur la machine. Parce que si on cherche le mot de passe de sa connexion internet par exemple1, ce n'est pas pratique d'avoir ça en ligne.


    1. par exemple pin de la carte sim, compte du firewall parce qu'on a tout cassé, mot de passe du portail captif… 

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Mode hors ligne

      Posté par . Évalué à 3.

      Bonjour Xavier. Nous avons prévu d’implémenter plusieurs fonctionnalités qui pourraient répondre à cette problématique :

      1. Une notification email (configurable) envoyé à chaque création / édition / partage d’un mot de passe. Cet email contiendrait le mot de passe encrypté au format GPG. A l’heure actuelle, une notification email est déjà envoyé lorsqu’un mot de passe est partagé. Il nous reste à implémenter la création et l’édition.

      2. Une fonctionnalité “hors ligne”: une possibilité d’avoir la synchronisation des mots de passe entre le plugin et le serveur, où le plugin stockerait les mots de passe encryptés en local. Il serait ensuite possible d’y accéder d’un simple clic (suivi du master password), sans la nécéssité de devoir se connecter à l’application en ligne.

      3. Import / export depuis et vers différents formats, permettant ainsi de faire des backups de l’ensemble des mots de passe.

  • # Partage ?

    Posté par . Évalué à 3.

    Le fonctionnement en équipe, ça a l’air d’être « je créé puis je partage ».

    Quelques questions donc :
    - Un partage est-il une copie ou un lien ? Autrement dit, si moi ou mon collègue modifions un élément, la modification sera-t-elle vue par les deux, ou seulement par celui qui a fait la modification
    - Une fonctionnalité « d’auto-partage » (pour les membres d’une équipe par exemple) est-elle envisagée ? Parce que pour l’instant, je vois venir gros comme une maison le problème de « oups, mon collègue qui est en vacances et injoignable a oublié de partager ce mot de passe ».

    • [^] # Re: Partage ?

      Posté par . Évalué à 2.

      Bonjour Moonz. Les réponses ci-dessous :

      • Un mot de passe mis à jour est mis à jour pour tous les utilisateurs avec lequel il est partagé. Donc pour reprendre ton exemple, la modification sera vue par les deux : ton collègue et toi. De manière pratique, le mot de passe est réencrypté deux fois : une fois avec ta clef, et une fois avec la clef de ton collègue.

      • Pour répondre à cette problématique du collègue injoignable (que nous avons tous déjà vécus ;)), nous avons prévus de mettre en place un système de groupes d’utilisateurs et de catégories. Après création d’un mot de passe il sera donc possible soit de l’ajouter à une catégorie déjà partagée avec des utilisateurs ou un groupe d’utilisateurs. Soit de partager directement le mot de passe avec un groupe. Ce système est déjà supporté en partie dans l’implémentation actuelle de notre API, et du système de permissions. Il nous reste à le polir et à le mettre en place dans le client web et console.

      • [^] # Re: Partage ?

        Posté par (page perso) . Évalué à 4.

        Un mot de passe mis à jour est mis à jour pour tous les utilisateurs avec lequel il est partagé.

        Y a-t-il une gestion des versions ? Pour éviter de perdre un mot de passe qui a été modifié par erreur.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Partage ?

          Posté par . Évalué à 2.

          Oui une gestion des versions est prévue dans la roadmap, avec la possibilité de restaurer une version précédente.

          Les notifications emails mentionnés plus haut et qui seront implémentées à plus court terme, permettront également de garder un historique des différentes versions pour un mot de passe donné.

    • [^] # Re: Partage ?

      Posté par . Évalué à 3.

      Justement, typo. Je crée.

  • # histoire de ne pas me faire troller à coup de terrorisme intellectuel...

    Posté par . Évalué à -9. Dernière modification le 16/04/16 à 14:03.

    …et puis de toute façon à -6 je ne crains plus rien.

    Bref, c'est juste bien comme software, l'idée me trottait dans la tête aussi.

    Quand je serais motivé j'irais voir si il existe des alternatives. Ou ptet que les lecteurs en connaissent déjà ?

    Ça fait combien de temps que vous travaillez dessus ? J’arrive pas à remonter la timeline dans github c'est trop long…

  • # GPG n'est pas un standard.

    Posté par . Évalué à 2.

    GPG est un logiciel (en fait, GnuPG - gpg est le binaire). OpenPGP est la norme. Même le site de Passbolt fait cette erreur assez commune.

    https://help.ubuntu.com/community/GnuPrivacyGuardHowto#GnuPG.2C_GPG.2C_PGP_and_OpenPGP

    • [^] # Re: GPG n'est pas un standard.

      Posté par (page perso) . Évalué à 3.

      Corrigé, merci.

      • [^] # Re: GPG n'est pas un standard.

        Posté par . Évalué à 1.

        Corrigé sur notre site également, merci. Nous avons également mis a jour nos termes et conditions: le contenu du site web est désormais disponible on CC BY-SA.

      • [^] # Re: GPG n'est pas un standard.

        Posté par (page perso) . Évalué à 3.

        La correction nécessite peut-être une correction (et/ou une clarification) :

        Le chiffrement des mots de passe se base sur un standard reconnu : OpenPGP (en utilisant GnuPG).

        La partie en italique est trompeuse. On apprend en effet plus loin dans la dépêche que les implémentations de OpenPGP utilisées sont « OpenPGP.js, ainsi que le module GPG de PHP ».

        Le module PHP fait bien appel à GnuPG en arrière-plan, mais OpenPGP.js est une implémentation indépendante, aucunement basée sur GnuPG.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.