BitWarden est l’un des gestionnaires de mots de passe les plus utilisés. Sa tarification Premium, particulièrement bon marché (10 dollars par an), couplée à une synchronisation mobile présente dès la version gratuite et sans limite d’appareils, le rendent très accessible. Il est également connu pour son code en partie open source et la possibilité de […]
Ma compréhension du sujet, peut-être erronée car j’ai regardé ça vite fait en tant que simple utilisateur de bitwarden :
Le bug c’est qu’il n’est pas possible de compiler l’app desktop sans le SDK propriétaire. Il n’est pas strictement nécessaire à la compilation vu qu’il n’est pas lié directement au code de l’app dans le binaire (l’app et le SDK communiquent via des “protocoles standards” un peu comme un client/serveur).
Le truc c’est qu’une fois compilé, pour exécuter le programme le SDK propriétaire est nécessaire. Donc au final quand on installe l’app desktop on se retrouve avec un logiciel qui n’est pas 100% libre, “bug” ou pas.
Après le code du SDK est dispo sur github, et on a le droit de le compiler et de l’exécuter, gratuitement dans un cadre privé, ou en payant une license dans un cadre pro (pour un usage interne à l’entreprise uniquement). Ce qui est interdit c’est de diffuser sa propre app basée sur le SDK.
En pratique, avant on pouvait modifier l’app desktop et distribuer une version custom de bitwarden desktop, maintenant on ne peut plus la distribuer. Une fois le “bug” résolu, on devrait pouvoir produire et distribuer cette version modifiée, mais qui nécessiterait l’installation du SDK par un autre biais pour qu’elle soit fonctionnelle. Et sans pouvoir modifier le comportement de ce SDK (changer l’algo de chiffrement par exemple).
Donc je dirais qu’à ce stade, pour un utilisateur lambda c’est pas trop grave d’un point de vue sécurité et vie privée. On est plus sur des questions philosophiques et des craintes pour l’avenir si cette tendance se confirme.
Ma compréhension du sujet, peut-être erronée car j’ai regardé ça vite fait en tant que simple utilisateur de bitwarden :
Le bug c’est qu’il n’est pas possible de compiler l’app desktop sans le SDK propriétaire. Il n’est pas strictement nécessaire à la compilation vu qu’il n’est pas lié directement au code de l’app dans le binaire (l’app et le SDK communiquent via des “protocoles standards” un peu comme un client/serveur).
Le truc c’est qu’une fois compilé, pour exécuter le programme le SDK propriétaire est nécessaire. Donc au final quand on installe l’app desktop on se retrouve avec un logiciel qui n’est pas 100% libre, “bug” ou pas.
Après le code du SDK est dispo sur github, et on a le droit de le compiler et de l’exécuter, gratuitement dans un cadre privé, ou en payant une license dans un cadre pro (pour un usage interne à l’entreprise uniquement). Ce qui est interdit c’est de diffuser sa propre app basée sur le SDK.
En pratique, avant on pouvait modifier l’app desktop et distribuer une version custom de bitwarden desktop, maintenant on ne peut plus la distribuer. Une fois le “bug” résolu, on devrait pouvoir produire et distribuer cette version modifiée, mais qui nécessiterait l’installation du SDK par un autre biais pour qu’elle soit fonctionnelle. Et sans pouvoir modifier le comportement de ce SDK (changer l’algo de chiffrement par exemple).
Donc je dirais qu’à ce stade, pour un utilisateur lambda c’est pas trop grave d’un point de vue sécurité et vie privée. On est plus sur des questions philosophiques et des craintes pour l’avenir si cette tendance se confirme.