• loutr@sh.itjust.works
    link
    fedilink
    Français
    arrow-up
    3
    ·
    14 days ago

    Ma compréhension du sujet, peut-être erronée car j’ai regardé ça vite fait en tant que simple utilisateur de bitwarden :

    Le bug c’est qu’il n’est pas possible de compiler l’app desktop sans le SDK propriétaire. Il n’est pas strictement nécessaire à la compilation vu qu’il n’est pas lié directement au code de l’app dans le binaire (l’app et le SDK communiquent via des “protocoles standards” un peu comme un client/serveur).

    Le truc c’est qu’une fois compilé, pour exécuter le programme le SDK propriétaire est nécessaire. Donc au final quand on installe l’app desktop on se retrouve avec un logiciel qui n’est pas 100% libre, “bug” ou pas.

    Après le code du SDK est dispo sur github, et on a le droit de le compiler et de l’exécuter, gratuitement dans un cadre privé, ou en payant une license dans un cadre pro (pour un usage interne à l’entreprise uniquement). Ce qui est interdit c’est de diffuser sa propre app basée sur le SDK.

    En pratique, avant on pouvait modifier l’app desktop et distribuer une version custom de bitwarden desktop, maintenant on ne peut plus la distribuer. Une fois le “bug” résolu, on devrait pouvoir produire et distribuer cette version modifiée, mais qui nécessiterait l’installation du SDK par un autre biais pour qu’elle soit fonctionnelle. Et sans pouvoir modifier le comportement de ce SDK (changer l’algo de chiffrement par exemple).

    Donc je dirais qu’à ce stade, pour un utilisateur lambda c’est pas trop grave d’un point de vue sécurité et vie privée. On est plus sur des questions philosophiques et des craintes pour l’avenir si cette tendance se confirme.