Passbolt, une solution pour gérer les secrets au sein de votre équipe

le 17/02/2020 par Simon Pruneau, Tanguy Patte
Tags: Cloud & Platform, Devops, SRE

La question des mots de passe est un sujet sensible. Pour les mots de passe personnels, l’utilisation d’un gestionnaire de mots de passe est largement recommandée. En revanche, il est parfois nécessaire de partager certains secrets et mots de passe (clés d’API, comptes génériques, etc.) au sein d’une même équipe (qu'elle soit réduite ou non). La gestion de ces mots de passe en est souvent rendue plus compliquée.

Cet article a pour objectif de présenter notre recherche d’un outil de gestion de mots de passe pour notre équipe ainsi qu’un rapide retour d’expérience sur la solution choisie.

Notre besoin

Nous cherchions une solution de gestion et partage de mots de passe avec les caractéristiques suivantes :

  • Possibilité de partager un secret avec une personne ou un groupe
  • Libre et open-source pour la confiance dans l’outil
  • Possibilité de l’auto-héberger afin d’en garder la complète maitrise
  • Utilisable sur différents OS (Windows, Mac OS, Linux)
  • Utilisable par tout type de profils (technique ou non)

Exit donc des solutions comme Keepass (utilisation personnelle uniquement), Pass & GoPass (limitation au niveau des OS ou de l’accessibilité), 1Password, Dashlane & Lastpass (non open-source ni auto-hébergeable).

Après une rapide étude des solutions disponibles pouvant répondre à notre besoin, nous nous sommes orientés vers Passbolt, une solution pensée pour les équipes et organisations de taille petite à moyenne.

Passbolt, à quoi ça sert ?

Passbolt est un gestionnaire de mots de passe orienté “équipe” qui permet à ses différents membres de stocker et de partager des secrets de manière sécurisée. Chaque membre peut créer de nouveaux secrets et choisir de les partager avec un ou plusieurs autres membres de l’équipe ou directement avec un groupe préalablement défini.

Une fois connecté à son compte Passbolt, le membre de l’équipe pourra accéder à ses mots de passe via une interface Web ou directement via l’extension Passbolt de son navigateur (disponible sur Mozilla Firefox et Google Chrome). Cette dernière permet de plus le remplissage automatique des champs de connexion.

Concrètement, comment ça marche ?

Passbolt propose lors de la création d’un nouveau compte utilisateur la génération d’un couple de clés PGP (ou l’importation de clés existantes). Les secrets sont donc protégés via un chiffrement asymétrique.

La clé publique de l’utilisateur, envoyée au serveur Passbolt, est utilisée de manière transparente pour chiffrer l’ensemble des mots de passe partagés avec la personne en question.

La clé privée générée, stockée de manière chiffrée (par chiffrement symétrique cette fois, via un mot de passe / une phrase de passe) dans l’extension du navigateur, permettra de déchiffrer les mots de passe partagés via Passbolt.

Lors de l’utilisation de l’interface web (à l’instar de l’outil en ligne de commande et de l’API), tout cela se fait de manière transparente pour la personne utilisatrice. Elle a simplement à insérer le mot de passe qui permet le déchiffrement et l’accès à la clé privée stockée en local dans l’extension.

Les avantages de Passbolt

Les avantages que nous avons le plus appréciés :

  • Passbolt est une solution libre et open-source
  • C’est un outil ergonomique, simple à utiliser par tout type de profil et sur tout OS
  • Il est possible de partager des mots de passe par groupe (ACL) et de facilement ajouter ou supprimer l’accès aux mots de passe d’un membre
  • La solution utilise des standards de sécurité reconnus comme OpenPGP
  • Il est possible d’héberger la solution et donc de sécuriser son accès (par exemple via filtrage par IP)
  • La solution est simple à héberger : une application PHP et une base de données MySQL

Ses limites

Suivant votre contexte, certaines limites peuvent vous orienter vers d'autres solutions :

  1. Impossibilité d'utiliser plusieurs instances de Passbolt avec le même navigateur
  2. Pas d'accès aux secrets en mode hors-ligne (la seule possibilité étant un export manuel des secrets à un format compatible avec Keepass) *
  3. Pas d'accès possible sur un terminal mobile *
  4. Pas de partage avec un utilisateur externe ne disposant pas d’un compte Passbolt *
  5. Pas de récupération de comptes si la clé privée (ou son mot de passe) est perdue
  6. Processus d’onboarding en plusieurs temps :
    • création de l’utilisateur ;
    • première connexion à son compte Passbolt (enregistrement de sa clé publique) ;
    • assignation de l’utilisateur à des groupes afin que les secrets soient chiffrés avec sa clé.

* fonctionnalités prévues ou en cours de développement

Conclusion

Passbolt répondait très bien à l’ensemble de nos critères de sélection d’outil (open source, auto hébergeable, avec des fonctionnalités de partage, etc.) et après plusieurs mois les retours sont dans l’ensemble très satisfaisants, que ce soit côté gestion ou utilisation de la solution.

A noter que certaines fonctionnalités (LDAP, gestion par dossiers, suivi de l'activité, double authentification) sont seulement disponibles avec Passbolt PRO, qui est aussi une solution auto-hébergeable mais payante.

Si vous avez des interrogations au sujet de cette solution (hébergement, sécurité, etc.), Passbolt dispose d’une Foire Aux Questions fournie.