1Password : pourquoi des experts très remontés recommandent de ne plus l’utiliser

1Password vient de provoquer la consternation de nombreux experts en sécurité : le gestionnaire de mots de passe serait en train de développer une offre payante, basée sur le Cloud. Les experts craignent que les mots de passe des utilisateurs dans le cloud deviennent des proies faciles pour les hackers, faisant peser de très lourds risques inutiles pour la sécurité de leurs données. Et recommandent désormais d’arrêter d’utiliser cette solution pour vos mots de passe. 

1password

Comme le rapportent nos confrères de Motherboard, au cours du weekend, plusieurs chercheurs en sécurité ont twitté que 1Password allait changer de modèle économique. Fini l’achat d’une licence à vie, place à un modèle de souscription payant. Le hic, c’est qu’au passage 1Password cesse de stocker les mots de passe uniquement localement : tout sera désormais aussi aspiré dans le cloud !

1Password : des experts très remontés recommandent de ne plus l’utiliser, voici pourquoi

Certains experts parlent de “trahison” estimant que ce qui faisait justement la force de 1Password auparavant sur les autres solutions, c’était le stockage local des mots de passe. En effet désormais, il suffit à un hacker de pirater les serveurs de 1Password pour retrouver tous les mots de passe de tous les abonnés au service. Alors qu’auparavant, les pirates devaient d’abord s’introduire dans une machine spécifique avant de casser la sécurité du coffre fort de mots de passe.

Du coup, 1Password que nous recommandions nous aussi entre autres solutions alternatives de gestion des mots de passe devient instantanément persona non grata au sein de la communauté des experts en sécurité. Crypto Village, une association qui promet des ateliers et des conférence autour de la sécurité informatique estime par exemple que :

 Malheureusement, @1Password trahit ses utilisateurs en évoluant vers un service uniquement basé sur la souscription. C’est très regrettable. Nous ne pouvons pas recommander [cette solution]

AgileBits, l’éditeur de 1Password, s’est défendu en expliquant sur twitter “que c’est la meilleure façon d’utiliser 1Password”. L’application demandera désormais de souscrire à un abonnement de 2,99 dollars par mois. Le site ne proposera plus de télécharger la version qui permet d’acheter une licence unique à vie. Mais il sera possible de la réclamer par email, selon AgileBits, qui tente depuis d’éteindre la polémique.

 

Réagissez à cet article !
  • Mick

    Un alternatif gratuit a conseiller?

    • Bibelo

      Keepass?

    • Filipus

      Perso j’utilise avast password

    • iAndroid

      iOS

      • Cabodfon

        … ou plutot le service iCloud de synchro des mots de passe, qu’on est pas obligé d’activer sous iOS.
        Soyons précis mon cher.

    • Alain Squirrel

      your brain….:-)

      • Mick

        J’ai testé mais c’est trop buggé. Et sauvegarde à peine 5 mdp.
        Sinon keepass et lastpass sont payant Il me semble

    • javascript

      Lastpass ? (Je l’utilise)

  • Matt Hieu

    “il suffit à un hacker de pirater les serveurs de 1Password pour retrouver tous les mots de passe de tous les abonnés”
    Cette affirmation est quand même un poil exagérée… Parce que sur le serveur, les données sont chiffrées, et si la clé n’est pas stockée sur le serveur, il n’y a donc pas spécialement de risques (à la limite, je me demande même si la base de données de mot de passe n’est pas plus à l’abri sur un serveur géré par des professionnels que sur le PC du particulier lambda…).

    Ce qu’il faudra surveiller, c’est si 1Password met en place une architecture où le déchiffrement est toujours effectué côté client, donc sans que la clé de chiffrement ne passe jamais par le serveur (car si elle passe par le serveur, un intrus ayant accès au serveur pourrait récupérer les clés de ceux qui se connectent pendant qu’il a son accès au serveur…).

    D’autres gestionnaires stockent les données sur leur serveur depuis des années, sans qu’il n’y ait jamais eu le moindre problème (bon bien sûr ça ne veut pas dire qu’il n’y en aura jamais…).

    • thgfgfgfg

      Je la trouve pas exagérée: on dit d’un système qu’il est sécurisé jusqu’à ce qu’il se fasse pirater!
      Et tout système est piratable (regarde les scandales de la nsa). Mais tout dépends des moyens qu’on y mets pour y parvenir.

      Et la si tout les mots de passe de tout les utilisateur de 1Password se retrouvent sur le cloud, les pirates y mettront les moyens pour le pirater!

      Alors que si chacun garde ses mot de passe sur son terminal les pirates sont obligés d’accéder a chaque terminal (beaucoup plus couteux et moins intéressant)

      • Matt Hieu

        C’est exagéré. Il ne “suffit” pas de pirater les serveurs. En plus de pirater les serveurs, il faut casser le chiffrement des données. Et ça c’est une autre histoire… Car autant pirater un serveur, ça peut être “facile” pour certains, autant casser un chiffrement, si le boulot a été correctement fait, c’est impossible. Même pour la NSA ou le FBI (cf le cas de l’iPhone de San Bernardino, ils n’étaient pas en mesure de casser le chiffrement, mais sachant que la clé de chiffrement était simplement protégée par un code PIN, ils ont voulu obtenir d’Apple une version spéciale d’iOS qui autorise un bruteforce sur le code PIN).

        On l’a vu avec LastPass aussi. Ça fait des années qu’ils stockent les bases de mots de passe sur leur serveur. Ils ont été piratés plusieurs fois. Mais pas encore le moindre témoignage qui prouverait que des mots de passe ont pu être déchiffrés.

        Un chiffrement bien fait, aujourd’hui, ça ne se casse pas avec des ordinateurs conventionnels, parce que la puissance de traitement nécessaire dépasse tout ce qui existe et tout ce qui existera. Seul un ordinateur quantique peut éventuellement y arriver. Mais il existe déjà des algorithmes de chiffrement qui sont à l’épreuve des ordinateurs quantiques (par exemple, les algorithmes à courbes elliptiques, que Google a déjà expérimenté dans les communications HTTPS).

        “Alors que si chacun garde ses mot de passe sur son terminal les pirates
        sont obligés d’accéder a chaque terminal (beaucoup plus couteux et moins
        intéressant)”

        Pas si couteux que ça, il existe des “kits” pour créer facilement un malware, en y mettant la charge qu’on veut. Il suffit donc de mettre une charge qui récupère le fichier de données de 1Password et un keylogger pour récupérer le mot de passe maître, et hop, on diffuse ça, par exemple via des logiciels infectés sur les réseaux P2P…. L’avantage étant que du coup on n’a pas à casser le chiffrement, puisqu’on a récupéré le mot de passe maître. Ce qui est impossible en piratant le serveur, si l’architecture choisie est correctement foutue (comme c’est le cas avec LastPass par exemple, où le mot de passe maître n’est JAMAIS envoyé au serveur… et je doute qu’il en soit autrement avec 1Password, ils sont pas cons…).

        • doggy310

          C’est clair que si ton mot de passe est haché avec salage dynamique pour tous les utilisateurs et tout, bonne chance pour retrouver le mot de passe si tu n’as que l’emprunte de stockée côté serveur ^^

  • lemaitre

    Sur ios des apps comme 1Password n’ont aucune utilité du fait de la présence sur l’os, et en natif, du Trousseau .
    Avec ios 11, la nouvelle version du Trousseau rend même les choses plus pratiques, avec plus de sécurité.
    Une évolution qui s’est d’ailleurs traduite par des changements dans l’accès au trousseau des mots de passe. Il a quitté la section des préférences de Safari et gagné une place au premier rang dans les réglages d’iOS.
    Y sont combinés les mots de passe des sites web et ceux des apps. La liste est protégée par Touch ID puis, passé cette étape, on peut ajouter des mots de passe manuellement comme on le faisait déjà précédemment,
    modifier ceux enregistrés ou en supprimer. Voilà un avantage de plus qu’a ios par rapport à Android

  • Velis

    J’me contente de les retenir. Un mot de passe pour chaque site. Avec majuscules, symboles, chiffres. Faut juste se trouver un algorithme simple à retenir.

    • lemaitre

      Exacte moi aussi je fais pareil et pour l’instant pas d’alzeimer à l’horizon 😀

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
SFR : l’opérateur impose une option à 5 euros, la goutte de trop pour les clients

SFR s’attire à nouveau les foudres des usagers et plus précisément celles des abonnés mobiles à qui l’opérateur impose tout simplement l’option “Privilège” à 5€ par mois. Ces derniers ne peuvent retirer ni désactiver ce service contrairement aux abonnés fixes, qui eux peuvent s’en séparer depuis leur espace client. Un coup qui passe forcément mal !

5f1f99147f5aab8ae90c7ce97b1059aazzzzzzzzzzzzzzzz