Fermer le menu

Extensions et Touch ID sur iOS 8 : 1Password montre l’exemple

Anthony Nelzin | | 12:45 |  24

Avec la dernière version de développement de 1Password 4.6, AgileBits montre ce qu’il sera possible de faire avec les nouvelles APIs d’iOS 8. Ce gestionnaire de mots de passe profite particulièrement des extensions et de Touch ID, qui lui permettent de s’intégrer à Safari et de débloquer son trousseau du bout des doigts.

Images @dteare, @T0ma_94 et @AMITNKALRA.
Images @dteare, @T0ma_94 et @AMITNKALRA.

Entre autres choses, le système d’extensions permet à une application d’offrir des actions à une autre application. Dans iOS 8, 1Password peut ainsi offrir ses services de remplissage de mots de passe à Safari. Les actions apparaissent dans la section inférieure du menu de partage : dans la vidéo ci-dessous, l’utilisateur convoque 1Password pour récupérer ses identifiants Amazon.

Vous remarquerez qu’il utilise Touch ID plutôt que son mot de passe pour déverrouiller son trousseau : toutes les applications peuvent désormais exploiter le lecteur d’empreintes de l’iPhone 5s. Voilà qui fluidifie particulièrement les opérations, alors qu’aller chercher un mot de passe dans 1Password a toujours été particulièrement pénible.

Dans un cas comme dans l’autre, le système fait office d’intermédiaire. Les extensions opèrent dans un cadre très restreint et ne peuvent pas mettre en péril la stabilité ou la sécurité de l’application qu’elles « augmentent ». De même, les applications n’ont pas directement accès aux empreintes digitales : le système se charge de l’authentification et ne leur transmet rien de plus qu’une autorisation ou un rejet.

Catégorie : 

24 Commentaires

avatar jducos 30/06/2014 - 13:00via iGeneration pour iOS

Trop hâte !
C'est pour moi LA nouveauté d'iOS 8 (les extensions Safari)

avatar Tchobilout23 30/06/2014 - 13:04via iGeneration pour iOS

Autant utiliser le trousseau icloud!!!

avatar oomu 30/06/2014 - 15:32

1password permet de stocker en local et de synchroniser via usb

ou de synchroniser via son propre service en ligne

etc.

avatar Monsieur Daz 30/06/2014 - 13:11

Contrairement à 1Password, le trousseau iCloud n'est pas disponible sous Windows et peut être un peu moins pratique pour quelqu'un qui, comme moi, navigue entre MacOS X, iOS et Windows.

avatar MLV 30/06/2014 - 13:12

J'ai pas totalement confiance à l'accès de Touch ID pour les applications... Imagine déjà à la sortie de ios 8 facebook qui va intégrer Touch ID...

avatar Cafeaulait 30/06/2014 - 13:25via iGeneration pour iOS

@MLV :
Ohlalq, quand on y connait rien on parle pas..
Les applications sont sandboxés, elle n'auront évidemment pas accès a ces données et de toutes manières sont stockées en local.
Alors "gnagnagna facebook c'est le mal, le demon, au revoir la vie privé et tout" on t'a pas de demandé de l'installer

avatar MLV 30/06/2014 - 14:53

Modéré par la rédaction (AZ)

avatar oomu 30/06/2014 - 15:59

le problème fondamental des services dit "cloud" ou "sociaux", n'est pas qu'ils vous attrapent et vous volent sauvagement vos infos, bien sur que non

Il y a DEUX problèmes fondamentaux:

Une fois vos infos donnés à ces services, vous ne pouvez compter QUE sur leur BONNE foi. En particulier si hébergé à l'Etranger. Par exemple la constitution des USA ne protège QUE les citoyens américains des abus de l'Etat. (non cela ne va pas de soi dans toutes les nations) ou autre.

Ils peuvent vous donner des réglages (mais ça peut se changer), vous donner une charte (qui n'engage que ceux qui la lisent), vous faire une licence (qui a valeur de contrat mais peut être amendé ou révoquée et vous n'aurez que le choix de l'accepter ou de partir), et vous proposer d'effacer MAIS RIEN ne vous prouvera que c'est effectivement effacé.

En fait, une information gênante (une connerie d'ado) peut potentiellement toujours ressortir, et au pire moment de votre vie (qui se compte au bas mot en décennie, ça laisse du temps pour tout imaginer)

Le 2e problème fondamental est typiquement celui des réseaux sociaux: Leur Modèle Business.

Il leur FAUT, par principe, vous encourager à donner toujours + mais surtout leur accorder le droit d'unifier et fusionner vos infos avec le RESTE (du monde) avec autant que possible votre identité réelle associée à elles (c'est ce qui leur donne de la valeur: une vraie personne).

C'est ainsi qu'elles font leur argent: en valorisant ces informations, permettant de les vendre ou de les utiliser pour cibler de la publicité ou autre idée.

Elles DOIVENT le faire: ce sont des entreprises privées qui ont une responsabilité légale envers leurs investisseurs (des gens qui ont mis leurs sous dedans quand même).

Elles jouent donc sur l'erreur (réglage compliqués qu'il y a fallu calmer à coup de menaces politiques (lois ou taxes géantes) ), la gaffe (oups! trop tard) et le j'm'en-foutisme ("hoaa des paranos").

Conclusion: on ne peut pas leur faire confiance, jour après jour elles inventeront subitement de nouvelles manières d'exploiter. Peut être des manières que vous n'auriez jamais accepter à l'avance.

-
Facebook a manipulé la timeline de 700 000 utilisateurs pour faire une étude sociologique.

pourquoi pas ? c'est pas le Mal Incarné de faire des études sociologiques, mais les gens avaient signé d'être potentiellement cobayes de laboratoires ?

Ce qui est important sont:

- la transparence
- le contrôle

avatar oomu 30/06/2014 - 15:38

en gros: les applications iOS stockent déjà des informations dans le Trousseau du système. Elles stockent des informations dans un "domaine" à leur nom dans le trousseau et ne peuvent lire et écrire que dans le domaine à leur nom.

Une app pourrait y stocker vos identifiants dans le trousseau et les récupérer quand nécessaire, mais le danger serait que si quelqu'un utilise votre iphone déverrouillé, il a aussi accès aux services qu'une app authentifierait.

Ce Trousseau peut être crypté et bloqué par une passphrase , mais quid alors de la commodité, s'il faut taper la passphrase à chaque accès au trousseau ?

La solution est que le trousseau soit crypté et bloqué par une passphrase ET Touch ID.

L'app demande un truc dans le trousseau, le système vérifie que l'empreinte touch id est correcte, décrypte le trousseau et donne le truc demandé par l'App depuis leur domaine.

L'app obtient ce dont elle a besoin, sans avoir eu connaissance de l'empreinte digitale, de la passphrase du trousseau ou de quoi que ce soit de +.

On y gagne en commodité, cela encourage les gens à mettre une passphrase gigantesque, et Facebook n'y gagne STRICTEMENT RIEN sur votre vie privée.

_RIEN_

avatar pim 30/06/2014 - 13:44

Je me suis toujours posé la question de la sécurité offerte par l'enregistrement des mots de passe. Ne peut-on pas facilement créer un site web de toute pièce, qui se fait passer pour le site d'Amazon, et qui demande à Safari ou à 1Password à récupérer le fameux mot de passe ?

avatar Soner 30/06/2014 - 13:54via iGeneration pour iOS

@pim :
Si et ça s'appelle du fishing. Mais c'est pas plus dangereux avec TouchID et 1Password que de se faire avoir et taper son mot de passe soi même.

avatar oomu 30/06/2014 - 15:46

c'est le PHishing

Pour contrer cela, faut d'avantage de règles et du bridage autour des noms de domaine (si on veut amazon.com FAUT que ça soit écrit AMAZON.COM et rien d'autre, ni aucun symbole ressemblant)

Touch Id ne change rien au phishing, ni il le facilite ni il le contre. Si vous autorisiez 1password a donner un identifiant à n'importe quoi, c'est fini (ou via un coller-coller manuel).

CEPENDANT

1password couplé à safari se sert du NOM DE DOMAINE de la page en cours pour ne proposer QUE le mot de passe du même DOMAINE.

Si vous utilisez 1password (ou le trousseau iCloud), vous êtes censé générer un mot de passe via eux lors de la création d'un compte sur le site.
L'identifiant créé est associé au NOM DU DOMAINE du site sur lequel vous créez un compte

Cela permet au trousseau iCloud et 1password de vous proposer les mot de passe enregistré QUE si vous êtes bien sur la page du DOMAINE des mots de passes.

Evitant ainsi les phishing à la amazone.com amazoon.com annazon.tv etc Ces sites n'étant pas du domaine AMAZON.COM, ils ne reçoivent pas les mots de passe enregistrés pour AMAZON.COM.

avatar ChePaki 30/06/2014 - 13:47via iGeneration pour iOS

16€...

avatar Stéphane Moussie 30/06/2014 - 13:59

Ça les vaut.

avatar crash_47 30/06/2014 - 14:11via iGeneration pour iOS

@stephmouss :
C'est clair. Largement.

avatar oomu 30/06/2014 - 15:46

ça les vaut

avatar Ginger bread 30/06/2014 - 14:26via iGeneration pour iOS

Tres fluide et reactif.

avatar Rez2a 30/06/2014 - 15:58via iGeneration pour iOS

J'arrive pas non plus à comprendre l'intérêt de 1password par rapport au trousseau iCloud (si on se fiche du multi plateformes évidemment).
Sinon évidemment que Facebook n'aura pas accès à vos données d'empreinte. Même Apple dit ne pas y avoir accès, et je les imagine dire ça et faire l'inverse, tellement la protection des données est devenue leur avantage principal sur Google.

avatar oomu 30/06/2014 - 16:02

ben... le multi-plateforme :)

et 2, le choix sur comment synchroniser les machines (ou pas): cable , réseau local ou serveur à soi qu'on a.

avatar rondex8002 30/06/2014 - 16:08

Top, je n'attendais pas moins d'1password quand j'ai vu les possibilités d'iOS 8, j'étais certain que cet éditeur utiliserait l'extension permettant de remplir directement les mots de passe dans Safari et éventuellement l'utilisation de TouchID.

Sur ce dernier point, je me demande si TouchID est aussi sur qu'un bon mot de passe. Surtout pour des données aussi sensibles. Mais ça sera super confortable. Dommage que mon iPad Air n'a pas TouchID.

avatar Zefram 30/06/2014 - 16:34

Voici l’intérêt que j’y vois par rapport au trousseau iCloud:
Avec le trousseau, quand l’iPhone est déverrouillé n’importe qui peux accéder à vos comptes en ligne.
Donc si vous prêtez l’iphone…
Alors qu’avec 1Password, il faudra s’identifier pour se connecter à un site même si l’iPhone est déverrouillé.

avatar BerPod 30/06/2014 - 16:42via iGeneration pour iOS

@Zefram :
Je suis d'accord avec vous

avatar BerPod 30/06/2014 - 16:40via iGeneration pour iOS

Trop cool !! Ça c'est bon pour les personnes qui disait que avec iOS 8 1Password était mort

avatar vache folle 30/06/2014 - 20:29via iGeneration pour iPad

@Rez2a

Heu, la sauvegarde des licences des logiciels, une configuration poussée du nombre de chiffres, de symboles ou de majuscules dans un mdp, les notes sécurisées, la possibilité de synchroniser ses données en wifi, sur Dropbox, sur iCloud ou sur un Nas, et j'en passe.
Le trousseau d'Apple n'arrive pas à la cheville de 1P.

Connexion utilisateur