Bonjour,
Le 30/05/2019 à 13:44, Olivier Vailleau a écrit :
Hello, Nous, on tourne depuis un an avec TeamPass et on est assez satisfaits. Full web, Lié au LDAP / AD, Notion de rôles, on peu faire de la gestion de droits assez fine, même si le concept est pas forcément des plus intuitifs. Chaque user se voit en plus ajouter un coffre fort "perso" dont lui seul aura la clé de salage. Possibilité d'exporter une version "offline" en HTML/javascript (pour pallier à la non dispo de la solution en cas de crash severe), mais quand même chiffrée. Des fonctions de 2FA, possibilité de stocker des fichiers (certificats, licences, etc)
Désormais, on l'ouvre à nos utilisateurs Mr et Mme Michu pour qu'ils puissent stocker leurs affaires.
...en open source et sans limitation.
Je recommande !
Chez ${job}-1 les devs (PHP) ont vite fait jeté un œil au code et ont doctement déclaré que c'était trop sale pour être déployé.
J'ai toujours pensé que c'était une excuse pour m'obliger à déployer LastPass (ce que tout le monde voulait sauf moi), mais c'est vrai que le truc avait l'air vieillot et loin du modèle de sécurité que propose LastPass ou d'autres.
Le White Paper de LastPass [1] décrit le modèle de sécurité zero-knowledge leur permettant de garantir un service vendu à une clientèle (basé sur des clefs qui débloquent d'autres clefs, une réplication et un rechiffrement des contenus pour le partage en groupe collaboratif, etc.).
Je ne défends pas LastPass (modèle SaaS auquel il est difficile de faire confiance), mais j'ai dû gérer le déploiement dans une entreprise où la culture officielle est que la sécurité de l'information est une contrainte qui emmerde massivement le monde, l'accompagnement proposé a permis de surprenants bons résultats. C'est cher, moche et lourd, mais c'est bien proposé et c'est facile à faire passer. Ce n'est pas l'idéal mais c'est déjà ça.
[1] : https://enterprise.lastpass.com/wp-content/uploads/LastPass-Technical-Whitepaper-3.pdf
Bien cordialement,