Les apps s’emparent des clefs du Trousseau iCloud
Mauvaise nouvelle pour 1Password et ses concurrents : les applications peuvent désormais accéder aux informations du Trousseau iCloud (voir la session 506 de la WWDC). Le Trousseau iCloud était jusqu’ici presque entièrement limité à Safari, donnant aux gestionnaires de mot de passe un rôle important d’intermédiaire entre le navigateur et les apps.
Les développeurs peuvent désormais associer une application à un ou plusieurs sites. À l’issue de son installation, l’application communique au système la liste des sites avec lesquels elle est associée : le système vérifie alors que les serveurs des sites en question possèdent un petit fichier signé contenant un certain nombre d’informations au sujet de l’application. La signature est créée par le développeur et délivrée par Apple, et certaines de ces informations ne sont connues que par le développeur et Apple : en théorie, il est impossible qu’un site ou une application puissent usurper le système.
Imaginons qu’une future mise à jour d’iGeneration pour iPhone intègre ce mécanisme : à condition que vous utilisiez le Trousseau iCloud, vous n’aurez qu’à taper sur un message de confirmation pour vous connecter à votre compte. En coulisses, iOS aura remonté à l’app vos identifiants issus du Trousseau iCloud. Apple ne s’est pas arrêté en si bon chemin :
- une application peut faire référence à plusieurs sites (iGeneration pour iPhone est associée à iGeneration et MacGeneration) ;
- un site peut faire référence à plusieurs applications (iGeneration est associé à iGeneration pour iPhone et Forums iGeneration) ;
- si vous créez un nouveau compte ou modifiez un compte dans l’application, les informations sont stockées dans le Trousseau pour être retrouvées sur les autres appareils ;
- si vous modifiez votre compte sur le site, les modifications sont automatiquement reportées dans l’app.
Le système est donc parfaitement transparent et entièrement automatique : les gestionnaires de mots de passe ont du souci à se faire. Ils gardent toutefois l’intérêt d’être multiplateforme, et permettent de ne pas mettre tous ses œufs dans le même panier, c’est-à-dire tous ses fichiers dans le même nuage.
Ça fait vraiment du bien de savoir qu'iOS 8 sera davantage ouvert. J'ai hâte de tester tout ça cet automne !
Oui mais le problème, c'est qu'on ne peut pas VOIR et GÉRERA manuellement le contenu du trousseau.
Donc 1Password n'a aucun souci à se faire.
Quand Apple a lancée le iCloud Keychain, les gens avaient prédis la même chose, pourtant 1Password est plus vivant jamais.
@Anthony :
Justement. Tu supposes par exemple, que la plupart des utilisateurs de 1Password utilisent Safari.
Mais plusieurs utilisent Chrome.
Et puis, 1Password sert à gérer plus que des mots de passe.
D'autant que 1Password met à dispo une API permettant l'utilisation de ce dernier dans des App tierces
Certains utilisateurs peuvent utiliser des apps comme 1password pour bien plus d'infos que simplement les accès à des comptes en ligne. Certains utilisateurs préfèrent aussi ne pas mètres tous les œufs dans le même panier.
Des apps comme 1 password restent donc utiles pour les gens très (trop ?) prudent.
C'est pour ça qu'acheter des apps tierces n'est pas une solution pérenne
Apple finit par proposer gratuitement des fonctions que d'autres font payer
@macbookeur75 :
Gratuit je ne pense pas vu qu'il est distillé dans le prix de vente de ton Idevice. Moi j'aurais plutôt dit: "qu'au fur et à mesure sur IOS monte en puissance, certaines fonctionnalités, qui jusqu'alors étaient rendues par des applications tierces ne le seront plus. Car Apple proposera une alternative...."
En tout cas c'était un des points qui me manquait le plus lorsque j'ai abandonné mon BlackBerry, qui proposait d'office un coffre-fort pour la sauvegarde en local de tes mdp.
Maintenant que je me suis habitué à 1Password qui me sert juste de coffre-fort (l'unique chose dont j'ai besoin, car saisir manuellement mon mdp pour certains sites ne me dérange aucunement tant que j'ai toute ma tête pour l'instant).
Certe Apple marche sur les plate bande de certaines App avec iOS 8, il ne faut pas se leurrer, une solution native est efficace est une réelle pierre dans le jardin de certains dévellopeurs.
Mais d'un autre côté Apple offre un champ des possible avec l'ouverture du système et les nouvelles API sur de nombreux champ en très nette extension. Les dev vont pouvoir proposer de tous nouveaux usages allant bien plus loin que le cadre auquel ils étaient jusqu'ici contraints.
Non 1password est essentiel, à mon avis, il ajoute une couche de sécurité supplémentaires.
Imaginons en cas de vol du mot de passe icloud, les pirates auront à :
- Votre numéro de carte bleu (sans le crypto il me semble)
- Vos photos
- Vos emails
- Vos SMS
- Vos mots de passe et notes sécurisés ceux peuvent ouvrir d'autres portes vers des données critique impots, entrprise
- Vos documents stockés sur icloud drive
En plus ne perdons pas de vue qu'apple et ses utilisateurs (phising) sont des cibles privilégiés (nombreux avec des numéros de CB dans le nuage.
Peux t-on définir un mot de passe supplémentaire pour l'accès au trousseau ?
C'était possible sur OS X est ce toujours le cas ?
Vous parler de 1p, j'aimerai bien voir des captures pour me faire une idée de la praticité de la chose sur iOS et sur OSX parce que le trousseau de Mavericks est tout sauf user friendly et 1p est à des années lumières.
Perso si j'étais 1p je serai plus inquiet par l'ouverture de touch ID et ce genre de mécanismes qui pourrait à terme remplacer nos vieux mdp.
@ Pan666
"Imaginons en cas de vol du mot de passe icloud, les pirates auront à :"
ce n'est pas pour prendre parti en faveur de l'une ou l'autre des options mais pour rappeler l'existante de l'option de double authentification, qui n'est pas aussi répandue qu'elle le mériterait.
Et ce n'est pas propre à Apple : Google, Dropbox ...
@Pan666 :
Le trousseau est sécurisé par le biais d'un code qui lui est propre.
Il faut autoriser une machine qui veut s'y connecter. Quelqu'un qui récupère un mot de passe Apple n'a pas accès aux cartes bleues et mots de passe.
Et 1P fonctionne aussi sur mon PC du boulot.
Par contre , si ça les pousse à baisser leurs prix, tant mieux !
La gestion de la sécurité (en particulier le Trousseau), est une usine à gaz qui ne pousse pas l'utilisateur Lambda à s'y intéresser.
1Password à l'avantage d'être d'une simplicité enfantine, et adapté à Safari, Chrome et Firefox sur Mac (je ne connais pas Windows), en ce qui concerne les logins.
La création de mots de passe personnalisés est autrement plus poussée chez Agilebits que chez Apple. Ce dernier ne m'a pas encore convaincu de son utilité; le trousseau iCloud est désactivé sur tous mes appareils.
Sans parler de la gestion des licences logiciels tiers, un point assez fort de 1Password. Il n'est même plus nécessaire de conserver les emails contenant les licences.
Bon ! Mais en gros il reste des incertitudes ;
- utilisation du trousseau sur un serveur différent d'iCloud
Perso j'utilise Dashlane
1password à surtout l'avantage d'être plus solidement crypté !