Un ancien format de 1Password entrouvre le coffre-fort de mots de passe
AgileBits, l’éditeur du coffre-fort de mots de passe 1Password, est dans l’œil d’un cyclone déclenché par Dale Myers, ingénieur logiciel chez Microsoft. Ce dernier, qui travaille sur les versions d’Office pour iOS et OS X, a repéré une faille de sécurité dans le format .agilekeychain : il est en effet susceptible de donner des informations en clair sur les données censées être protégées par le logiciel.
Ce format .agilekeychain est utilisé par la fonction 1PasswordAnywhere, un service en désuétude qui permet d’accéder à ses mots de passe depuis un navigateur web. Pour y accéder, il faut synchroniser son vault avec Dropbox, ce qui génère un fichier 1Password.agilekeychain qu’il est possible de consulter depuis internet. Malheureusement, les URL ne sont pas chiffrées : elles sont donc susceptibles de révéler des informations sensibles — pire encore, Google peut indexer ces URL et les mettre à disposition de tous. Ces données peuvent constituer un trésor pour les malandrins adeptes d’ingénierie sociale, par exemple…
Pour sa défense, AgileBits précise l’historique du format .agilekeychain : il a été créé en 2008 dans un contexte bien spécifique où les performances de nos ordinateurs n’étaient pas aussi élevées qu’aujourd’hui. Le déchiffrement d’un mot de passe, voire une simple recherche dans le logiciel, consommait alors bien plus d’énergie et de ressources processeur. Afin de ne pas grever davantage les performances des machines, le studio a décidé de ne pas chiffrer les URL.
En décembre 2012, l’éditeur lançait un nouveau format, OPVault, bien plus sécurisé et qui, entre autres, chiffre aussi les métadonnées. AgileBits l’exploite sur iCloud, ainsi qu’en local sur iOS et OS X. Mais pour les versions Windows, Android et Dropbox de sa plateforme, le studio a décidé de ne pas migrer automatiquement tous les utilisateurs vers OPVault. Beaucoup d’entre eux dépendent en effet d’anciennes versions de 1Password et le passage au nouveau format aurait bloqué la connexion à leurs comptes.
« Nous savions que nous pouvions compter sur la sécurité d’AgileKeychain pour protéger les données confidentielles de nos utilisateurs », écrit AgileBits, « c’est pourquoi nous ne voulions pas nous précipiter dans quelque chose qui aurait perturbé leurs habitudes ». Le billet de Dale Myers va maintenant pousser l’éditeur à bouger sur cette question, même si ce dernier n’a pas attendu pour faire d’OPVault le format par défaut : c’est le cas dans la dernière bêta de 1Password pour Windows, et c’est en développement pour Android. Des changements similaires vont être apportés pour les moutures iOS et OS X du logiciel.
Il est d’ores et déjà possible de basculer complètement sous OPVault : sur iOS, il faut synchroniser son coffre-fort avec iCloud ; sur Android, il faut utiliser la synchro Wi-Fi ; pour OS X, il y a une FAQ sur la question ainsi que des explications pour Windows.
De toutes façon, dans un très proche futur, tous les efforts d'Apple pour la "Sacro- Sainte" sécurité seront réduits à néant. et ça me fait bien rigoler...
Décidément, on ne peut faire confiance à personne. Pas un de ces systèmes prétendument hautement sécurisés qui n'ait sa faille.
«Afin de ne pas grever davantage les performances des machines, le studio a décidé de ne pas chiffrer les URL»
L'excuse la plus débile de l'informatique des 10 dernières années !
Allez les mecs, faut plutôt avouer la verité: Patriot Act...
C'est ça ou alors c'est de l’incompétence
@C1rc3@0rc : Moi aussi j'hallucine en lisant cela !
c'est comme pour ton orthographe et ta grammaire : c'est de l'incompétence.
@C1rc3@0rc :
Mais lol, pour toi l'URL est sensible ? Explique moi car je saisi pas le risque ...
Je suis surpris de l'info indiquant que Google peut indexer le contenu du fichier .agilekeychain...
Sauf erreur, ce fichier n'est pas dans un dossier Public de Dropbox.
Si Google peut indexer ce fichier, alors ça signifie qu'il peut indexer egalement tout le contenu de nos Dropbox??
Ben oui, tu le savais pas?
Google peut indexer tout ce qui n'est pas chiffré et qui se trouve par un lien internet.
ben justement... les fichiers dans une DropBox ne sont accessibles via URL que si on les déclare "partagés". Est-ce que ce fichier 1password est déclaré "partagé" quand il est placé dans la DropBox?
(merci secretliar d'avoir donné, un peu plus bas dans les réactions, la phrase complète de l'article initial qui confirme que ca necessite d'avoir partagé son fichier agilkeychain...)
Le lien d'un fichier partagé est transmis par mail. Les emails n'etant que tres rarement chiffrés le contenus est scanné automatiquement.
De plus le scan se fait aussi sur les adresses IP de maniere automatique. S'il existe un lien entre un fichier dans une dropbox et un service internet, alors il y a un chemin, alors il est scanné.
Le seul moyen d'eviter le scan de Google c'est de passer par le darkweb, qui n'a pas de lien dans le web.
Mettre tout ses mots de passe à un seul endroit..
Synchroniser ses MdP sur le cloud... Mais bien sûr !
Tu rigoles mais y en a meme qui envoient leurs mots de passe par email (genre des operateurs internet), et d'autres qui utilise un compte Yahoo pour stoker leurs mots de passe - j'en connais quelques uns, et qui sortent l'argument qui tue: ben c'est un compte anonyme, personne sait qu'il m’appartient... et évidement ils sont sur Facebook et twitter!
Avec Trousseau on a le même problème ?
Parce que je l'utilise tous les jours..
Jamais eu confiance dans ce truc là, perso.
Plus ou moins dans le même sujet (en fait pas trop, bref)
Un sauvegarde time machine peut elle sauvegarder toutes mes données de me mon mac? Sinon je fais comment?
"Un sauvegarde time machine peut elle sauvegarder toutes mes données de me mon mac?"
Par défaut Time Machine sauvegarde tout, à l'exception des volumes externes que vous pouvez inclure via les préférences de Time Machine.
Tous vont se faire un jour avoir. Apple compris. Reste plus que BlackBerry que je place au-dessus niveau sécurité. Leur BES et leur coffre-fort inclus via leurs mobiles tiennent le coup apparemment. Je serais curieux de voir le futur avec leur PRIV sous Android. Certains vous se donner à coeur joie de vouloir démonter ce PRIV alors que BlackBerry annonce avec Google que ce sera le mobile sous Android le plus sécurisé au monde.
Super programme mais j'ai jamais eu confiance pour la sauvegarde des mots de passe dans le cloud. Je synchronise tout en local. Bien m'en a pris...
Idem pour le trousseau, surtout pas dans iCloud.
Voilà pourquoi je n'ai jamais utilisé le trousseau ou les applications comme celle-ci.
J'ai toujours eu peur d'une fuite de données un jour. Je préfère que mon mot de passe soit stocké sur le téléphone et pas ailleurs.
Je préfère utiliser le trousser d'icloud plutot qu'une appli tierce.
Donc moi ils sont tous dans cloud et c'est super pratique. Et de toute facon c'est chiffré le cloud, non?bon ba tanpis ;)
Dans un monde // les lecteurs lisent les articles avant de commenter. ..
J'utilise 1Password et 1PasswordAnywhere très fréquemment. Je devrais surement passer au nouveau format et juste utiliser mon téléphone pour accéder à mes mots de passe au travail.
Mais il faut bien lire que Google peut indexer : "Thanks to people having links for easy access to their keychain on their websites".
Ça veut bien dire que si vous n'avez pas créer un lien de partage vers votre 1PasswordAnywhere et que vous allez juste dans votre compte Dropbox et ensuite dans votre fichier, vous êtes la seule personne à accéder à content.js.
Mais là encore, c'est presque de la sélection naturelle. Si tu fais le choix de mettre tes données dans le cloud et qu'en plus tu crée un lien public, et qu'en plus (encore) tu le postes en ligne... C'est p't'être que ce genre de logiciel est pas fait pour toi...
Si tu crée un lien public mais que tu le gardes uniquement pour toi, Google ne pourra pas l'indexer, parce que les moteurs Google vont indexer des pages lorsqu'il a vu le lien quelque part seulement, il ne va pas tenter des pages au hasard en tombant souvent sur un erreur 404 et parfois sur une page.
merci de cette confirmation.
Ca me semblait un peu gros que Google puisse ainsi aller indexer un fichier contenu dans une DropBox si on n'a pas déclaré ce fichier comme "Partagé"
il a été créé en 2008 dans un contexte bien spécifique où les performances de nos ordinateurs n’étaient pas aussi élevées qu’aujourd’hui
Ah ? j'ai dû rater quelque chose, parce que mon hackintosh de 2014 est seulement 2,5 fois plus rapide que mon Mac Pro de 2006.
euh... c'est bien ce que dit AgileBits, non?
Les ordinateurs de 2008 étaient moins puissants que ceux d'aujourd'hui
Il faut relativiser, les mots de passe sont cryptés. Même avec ce genre de faille il est préférable d'utiliser un logiciel pour générer de bons mot de passe, que d'utiliser des mots de passe similaires sur différents sites.
Pour ma part, Keychain et toute info que je juge confidentielle reste en local.
Mode parano always ON !
même sur mon disque dur local je n'ai pas confiance... je ne les ecris que sur des post-it!
;-)
C'est un logiciel a éviter ABSOLUMENT !
@lezardon une argumentation incontestable !! Bravo!
Le problème est en fait le suivant : 1Password permet de générer des mots de passe (très) forts.
Le plus sûr étant d'avoir des mots de passe différents pour chaque site, vous ne pouvez pas tous les retenir (et même un seul, s'il fait 20 caractères avec majuscules, minuscules, chiffres et caractères spéciaux, accrochez-vous!)
Donc il faut les stocker quelque part.
Si vous les stockez uniquement en local et que vous n'avez plus accès à votre machine (perte, vol, panne, destruction), comment retrouver vos mots de passe ?
Réponse : en ligne.
Mais si vous avez synchronisé 1Password sur iCloud, et que vous avez généré un mot de passe très fort et impossible à retenir pour ce même iCloud (ce qu'on ne peut que vous recommander, vu que votre CB est associée à votre compte Apple), alors vous ne connaissez pas votre MDP iCloud, et ne pouvez pas le retrouver : la clé du coffre fort est dans le coffre fort !
Donc: iCloud est plus sécurisé que Dropbox, oui, mais ça peut se retourner contre vous.
Bref : la sécurité à 100% est impossible. Il y a toujours un scénario qui la fait tomber.
Un bon moyen de cacher ses mots ces mots de passe est dans la dissimulation . Par exemple dans un fichier texte.
Je n'ai jamais compris comment pouvait confier tout ses mots de passe , a une société qu'on ne connait ni d’Ève , ni d’Adam, ni ses employés. C'est tout même un peu risqué, même si cela est pratique.
+1 machou,
tout dans keychain et sans synchro exterieure. De toutes façon je n'ai pas confiance dans le cloud ...
Et hop, mis à jour :-)
Ca permet de retrouver les comptes sur l'iPhone !
1Password est un excellent produit. Il suffit de faire sa synchro en local pour s'affranchir des risques induits par le cloud.
Sauf que la synchro iCloud nécessite d'avoir la version de l'App Store.
J'ai la version achetée directement sur le site de l'éditeur (depuis la v4) et donc chocolat pour basculer vers iCloud, sauf à racheter une licence à 30€
il suffit de lire la FAQ en fin d'article pour avoir la methode permettant de synchroniser via DropBox en mode securisé
A lire cette news, Dropbox est une passoire, un libre service où tout pirate peut y faire ses courses.
N'importe quoi.
J'hallucine vraiment en lisant les commentaires, lisez l'article et vous apprendrez que seules les urls ne sont pas chiffrées.
Est ce que cette donnée est sensible ? J'en doute.