2025/01/05 (Neutriton : Gestionnaire de mot de passe)

• Réunion précédente
• Pad de la réunion

Heure de début : 14h

Présences:

• Célo
• Tharyrok
• HgO

Moment informel durant lequel on exprime en peu de mots comment on se sent et si on a une attente forte pour la réunion. Ce n'est pas un moment de discussion mais d'expression individuelle et ce n'est pas obligatoire

Fin: grand max 18h, ou même 17h grand grand max

Si l'une ou l'autre personne exprime une attente forte, merci de vous en occuper en priorité ou de la noter dans le hub ou dans un point approprié.

Nous avons choisi a l!époque password-store puis gopass car tout le monde avait une cles gpg et était familié avec git. Cela nous a permis d'avoir un gestionaire décentralisé avec une synchro entre ses membres.

Présentement nous utilisons donc gopass, mais la gestion des utilisateurs est complexe. La gestion des cles gpg n'est pas intuitif. Quand un cles expire cela bloque la création de nouveau mots passe.

De plus, cela rend compliqué l'usage sur un smartphone (même si ce n'est pas forcément un besoin dans Neutrinet). Il n'est pas forcément souhaitable d'avoir sa clé privée sur un smartphone - ou alors, il faut utiliser une YubiKey qui permet d'éviter de mettre sa clé privé sur le smartphone.

Surtout, cet outil ne nous permet pas de partager des mots de passe déjà entre les membres du hub-infra et des membres des autre hub qui ne maîtrisent pas forcément git et gpg, comme par exemple certaines personnes du hub-admin pour récupere les factures chez nos fourniseurs.

En résumé, nos besoins :

• Avoir un outil facile d'accès pour d'autres hubs
  • Facilement installable et configurable
  • Ne pas avoir besoin de comprendre GPG et Git pour l'utiliser
  • Compatible avec un hypothétique sso
• Avoir plusieurs niveaux d'accès
  • Par exemple, on n'a pas besoin de la même sécurité pour le mot de passe du site web ou pour les déchiffrement des serveurs
• Gérer la fuite de mots de passe, facilité le renouvellement de tous les mots de passes
  • Avoir un mécanisme de rappel pour changer le mot de passe au bout d'un certain temps (mais ça peut aussi être une entrée dans un agenda)
• Avoir du TOTP (jeton unique)
  • Certains sites web nécessittent une authentification 2FA, donc avec TOTP
• Un outil disponible même quand Neutrinet est down
• (Facultatif, c'est plutôt une envie) Envisager la possiblité de l'ouvrir a nos membres
• Ne pas avoir deux outils de gestion de mots de passe en même temps
• Un gros plus avec l'integration de haveibeenpwned.com

Comme un des besoin est d'avoir accès aux données si Neutrinet est down, il faut soit que ce soit hébergé hors Louise DC (par nous ou non), soit qu'on ait une copie locale des informations.

On peut avoir un backup des mots de passes dans un second gestionnaire de mot de passe.

Le backup peut ne pas être aussi accessible que la solution qu'on cherche.

On a trois possibilités: - Exporter les mots de passe critiques vers un gopass, en chiffrant avec les clés GPG du hub infra et en synchronisant avec git - Exporter les mots de passe critiques vers un keepass, et en synchronisant avec Nextcloud - Exporter les mots de passe critiques vers un passage, en chiffrant avec les clés AGE du hub infra et en synchronisant avec git

On utilise tous (ou on a utilisé) le client, via le client linux, le plugin pour Firefox et/ou pour Android. Il existe aussi une version en ligne de commande, mais c'est pas ouf.

On peut synchroniser la base de donnée localement tant que le token est valide. S'il n'est plus valide, il faut que le serveur soit up.

Il y a une intégration de haveibeenpwned, ainsi qu'un générateur TOTP.

La gestion d'utilisateurs est disponible uniquement pour la version payante.

Le SSO est disponible dans la version payante.

La séparation des mots de passe ce fait dans des collections que tu peux sync dans ton vault personnel. La gestion des autorisations se fait sur toutes une collection et pas sur un mots de passe spécifique.

Donc, le hub infra peut créer des mots de passe dans la collection “Hébergement” et ensuite donner accès à cette collection au hub admin pour qu'il puisse aussi gérer ces mots de passe.

Cela demande de réfléchir un peu beaucoup à la structure des mots de passe.

C'est possible de l'autoheberger mais c'est du mono et du mssql.

C'est comme bitwarden mais avec une récriture complete du serveur, il conserve la même interface web/cli/plugin/application. C'est ecrit en rust et une bdd en postgresql. La possibilité de SSO n'est pas implementé. Mais la fonctionalité de gestion des utilisateurs est disponible gratuitement.

Il faut l'auto-héberger, ou alors utiliser une instance fournie par un CHATONS par ex (VaultWarden Corp ne fournit pas d'instance).

Il y a une instance de test ici:

https://pass.neutrinet.be hub-infra@neutrinet.be

On peut l'auto-héberger, mais Passbolt propose une version hébergée par leurs soins (plutôt cher, mais il y a des offres pour les ONG et associations sans but lucratif). Pour l'auto-héberger, l'installation est complexe et pas très bien documentée. Il y a un script, mais il ne fonctionne pas comme prévu. Il y a peut-être moyen de l'installer avec PostgreSQL : https://www.passbolt.com/blog/how-to-configure-passbolt-with-postgresql-experimental

Au niveau du client, il existe une extension pour Firefox. Si le serveur est down, il n'y a pas de mots de passe. Il n'y a pas de client desktop mais uniquement une CLI. Il y a une app Android.

On peut partager des mots de passes avec des utilisateurs ou des groupes soit sur un mots de passe donnée soit sur un dossier qui contient plusieurs mots de passes. Mais on n'a pas de SSO avec la version communautaire (comme pour Valtwarden donc).

Pour l'instant il n'y a qu'une personne du hub-infra qui est familière avec cette solution.

Il faut l'utiliser avec un outil de synchro, sinon c'est juste un fichier en local. Si nous utilisons notre Nextcloud, il est vivement nécessaire d'utiliser le client de synchro de ce dernier pour actualiser la base de données et gérer automagiquement les conflits.

Il y a qu'un mots de passe pour déverrouiller la base de données que tout le monde utilise, ce qui n'est pas génial. De plus, si on veut gérer plus finement les accès, cela signifie avoir plusieurs bases de données.

L'accès via l'extension de navigateur doit être configuré dans le client (mais ce n'est pas difficile à faire).

Pour partager un meme mots de passe entre plusieurs hub, il doit être copié dans chaque hub.

Comment on partage le mots de passe maître, comment on le renouvelle, comment on le perd ? Post-it ou pas post-it ?

Par contre comme c'est sync localement, donc chacun a une copie, si l'infra de Neutrinet n'est plus là on a toujours acces au mots de passe.

On peut faire du TOTP.

Intégration possible avec Keeweb dans directement Nextcloud https://apps.nextcloud.com/apps/keeweb Cela peut permettre de donner accès à une personne qui a besoin d'un mot de passe ponctuellement sans qu'elle installe tout. Mais le projet keeweb n'est plus maintenu (le paquet seul est mis à jours).

Application pour Nextcloud, on peut partager les mots de passe comme un fichier dans Nextcloud. Il y a des folders, des tags, etc.

On peut importer/exporter des mots de passe.

Il n'y a pas de TOTP. Le SSO est géré par Nextcloud.

Par contre, il y a une application OTP Manager qui ferait le taf : https://apps.nextcloud.com/apps/otpmanager

Il y a une extension Firefox et une app Android

Outils propriétaires, pas auto-hébergeables, etc. Gestion des groupes toute pourrie, toutes web only.

Disqualifié parce qu'il faudrait embaucher une floppée de singes moines copistes pour tenir à jour les carnets. Et même si on avait ces moines copistes, il faudrait qu'ils copient sans lire les mots de passe.

• Tester Passbolt
• Tester Nextcloud Password
• Contacter Passbolt pour savoir si nous sommes éligible a une licence pour les pauvres ou les radins.

Échelle de temps : pour la prochaine réunion hub infra (26/01) tester les deux outils.

Prochaine réunion : 26/01 à 14h

Lieu : Chez Tharyrok

Garde-Pad: Célo

Moment informel durant lequel on exprime en peu de mots comment, à titre personnel, la réunion a été vécue que ce soit positif ou négatif. Si une ou plusieurs tension est née durant la réunion, il est peut-être nécessaire d'envisager l'une ou l'autre réunion pour y remédier.