Passbolt est un gestionnaire de mots de passe libre conçu pour l’utilisation en équipe et la collaboration. La première version du logiciel avait été annoncée ici même sur LinuxFr il y a quelques années.
Depuis son lancement initial en 2016, passbolt a beaucoup évolué : de nombreuses fonctionnalités ont été ajoutées ainsi que le support de nombreux systèmes. Le serveur passbolt peut maintenant être installé sur un large éventail de serveurs Linux (packet debian, ubuntu, centos, redhat…), docker, ou même encore sur Raspberry Pi. Sur le plan de la sécurité, les différents composants de la solution ont été intégralement audités en 2021 par une société indépendante (Cure53).
Passbolt dispose d’un forum communautaire sur lequel les membres peuvent proposer ou voter pour de nouvelles fonctionnalités. La fonctionnalité la plus demandée étant depuis un moment et de loin la disponibilité d’applications mobiles, il devenait important de prioriser ces développements.
Après plus d’un an de travail et beaucoup de sueur, l’équipe passbolt est donc fière d’annoncer la sortie de ses deux applications mobiles iOS et Android, toutes les deux entièrement libres, intégralement auditées, et compatibles avec l’ensemble des éditions du logiciel : communauté, pro et cloud édition.
Avant d’entrer dans les détails, voici une petite vidéo de démonstration (en anglais).
Sommaire
Des applications natives, pour une meilleure compatibilité et davantage de sécurité
La première difficulté en amont du développement fût d’établir le cahier des charges et de décider de quelle manière construire ces applications. Le marché disposant à l’heure actuelle d’un grand nombre d’options, il peut être facile de s’y perdre.
Certaines technologies hybrides (React Nativ, Flutter, Iconic, etc… ) peuvent s’avérer tentantes tant du point de vue facilité de développement que réutilisation de la base de code pour plusieurs plateformes. Étant une petite équipe de développeurs à Passbolt, c’est donc naturellement la première option qui a été explorée. Cependant, les nombreuses contraintes liées aux aspects sécuritaires du logiciel et aux besoins d’accès aux couches les plus proches du système (stockage sécurisé, gestion du trousseau de clefs systèmes) nous ont poussé à renoncer à cette option hybride assez rapidement.
Finalement, et malgré les dures implications de ce choix, l’équipe a donc opté pour un développement intégralement natif. C’est en conséquence deux applications complètement différentes, l’une pour iOS, l’autre pour Android, avec des expériences utilisateurs distinctes, qui ont été développées pendant plus de douze mois. L’effort fût coûteux, mais le résultat en vaut largement la chandelle en termes de possibilités logiciels offertes.
Le code source des deux applications, ainsi que les instructions de compilation sont disponibles ici :
La gestion du transfert de clefs OpenPGP
Passbolt étant basé sur OpenPGP pour la partie chiffrement, et chaque utilisateur disposant de sa propre clef privée qui comme son nom l’indique n’est pas transmise au serveur, la première difficulté consistait à permettre le transfert de cette clef entre le navigateur et le mobile.
Après avoir étudié la possibilité d’effectuer le transfert de la clef par certaines méthodes exotiques telles que NFC ou fréquences sonores, nous avons finalement retenu la méthode plus traditionnelle, mais éprouvée du code QR. “La plupart des clefs OpenPGP sont trop grosses pour être contenues dans un code QR” me direz-vous. Vous avez tout à fait raison. C’est la raison pour laquelle le transfert s’effectue au travers du scan de plusieurs codes QR à tour de rôle, s’enchaînant automatiquement sans intervention de l’utilisateur. Cela se déroule en quelques secondes au plus, jugez par vous-mêmes.
Connexion sans mot de passe
De manière plutôt surprenante pour un gestionnaire de mots de passe, la connexion à Passbolt depuis l’application mobile peut se faire sans…. mot de passe. Ceci grâce à la biométrie.
D’un point de vue technique, le stockage sécurisé de l’appareil est utilisé pour stocker la phrase secrète permettant de chiffrer la clef OpenPGP. La phrase secrète est donc débloquée par l'utilisateur en utilisant sa biométrie, laquelle est ensuite utilisée pour déchiffrer la clef OpenPGP, se connecter et accéder aux mots de passe contenus dans passbolt.
Les opérations supportées
Cette première version des applications mobiles supporte les opérations de base du logiciel telles que la création, la lecture, la mise à jour et la suppression de mots de passe. Il est également possible d’accéder aux données méta d’un mot de passe. Enfin, il est possible d’utiliser l’application pour remplir automatiquement les identifiants sur tout site web ou application connu de passbolt.
Avantages liées à l’architecture granulaire
Sur passbolt, chaque mot de passe a sa propre entrée en base de données et sa propre granularité en termes de permissions d’accès au moment d’un éventuel partage sécurisé. Cela a de nombreux avantages par rapport à des solutions de type vault où l'entièreté du vault est partagé avec d’autres utilisateurs posant donc des contraintes de bande passante, d’écritures concurrentielles et de révocations de clefs.
Dans le cas précis des applications mobiles, cela permet de garantir qu’un utilisateur aura toujours accès à la dernière version version d’un secret partagé et que les logs d’accès maintiennent leur intégrité.
Pour en savoir plus sur le modèle de sécurité, n’hésitez pas à consulter le livre blanc du modèle de sécurité (en anglais).
Les prochaines étapes
Malgré la sortie de cette première version pour les applications mobiles, la feuille de route reste relativement ambitieuse. Les prochaines évolutions incluront entre autres la possibilité de partager un mot de passe depuis l’application mobile ou encore la possibilité d’effectuer des opérations passbolt sur desktop intégralement grâce à la biométrie (connexion, déblocage d’un mot de passe, recouvrement d’un compte).
Partagez vos feedbacks
L’équipe derrière passbolt étant en majeure partie francophone, n’hésitez pas à partager vos retours directement dans les commentaires ci-dessous. LinuxFR étant à l’origine de la toute première publication lors de la sortie initiale de passbolt, il y a maintenant presque cinq ans déjà, c’est avec beaucoup de plaisir que nous répondrons à vos questions, messages ou critiques.
