je reprends pour  http://www.vaultier.org ... la chose bizarre est que je demande si le produit est toujours "vivant" car les docs sont non accessible entres autres chose

Le jeu. 30 mai 2019 à 16:37, Maxime DERCHE <maxime@mouet-mouet.net> a écrit :
Bonjour,

Le 30/05/2019 à 13:44, Olivier Vailleau a écrit :
> Hello,
> Nous, on tourne depuis un an avec TeamPass et on est assez satisfaits.
> Full web, Lié au LDAP / AD,
> Notion de rôles, on peu faire de la gestion de droits assez fine, même si le concept
> est pas forcément des plus intuitifs.
> Chaque user se voit en plus ajouter un coffre fort "perso" dont lui seul aura la clé
> de salage.
> Possibilité d'exporter une version "offline" en HTML/javascript (pour pallier à la
> non dispo de la solution en cas de crash severe), mais quand même chiffrée.
> Des fonctions de 2FA, possibilité de stocker des fichiers (certificats, licences, etc)
>
> Désormais, on l'ouvre à nos utilisateurs Mr et Mme Michu pour qu'ils puissent stocker
> leurs affaires.
>
>
> ...en open source et sans limitation.
>
> Je recommande !

Chez ${job}-1 les devs (PHP) ont vite fait jeté un œil au code et ont doctement
déclaré que c'était trop sale pour être déployé.

J'ai toujours pensé que c'était une excuse pour m'obliger à déployer LastPass (ce que
tout le monde voulait sauf moi), mais c'est vrai que le truc avait l'air vieillot et
loin du modèle de sécurité que propose LastPass ou d'autres.

Le White Paper de LastPass [1] décrit le modèle de sécurité zero-knowledge leur
permettant de garantir un service vendu à une clientèle (basé sur des clefs qui
débloquent d'autres clefs, une réplication et un rechiffrement des contenus pour le
partage en groupe collaboratif, etc.).

Je ne défends pas LastPass (modèle SaaS auquel il est difficile de faire confiance),
mais j'ai dû gérer le déploiement dans une entreprise où la culture officielle est
que la sécurité de l'information est une contrainte qui emmerde massivement le monde,
l'accompagnement proposé a permis de surprenants bons résultats. C'est cher, moche et
lourd, mais c'est bien proposé et c'est facile à faire passer. Ce n'est pas l'idéal
mais c'est déjà ça.


[1] :
<https://enterprise.lastpass.com/wp-content/uploads/LastPass-Technical-Whitepaper-3.pdf>


Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5
<https://www.mouet-mouet.net/maxime/blog/>

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/