1Password profite de la fin de Manifest V2 pour inciter ses utilisateurs à mettre à jour
1Password signale aux utilisateurs restés sur la version 7 que les extensions pour les navigateurs web ne fonctionneront plus « bientôt ». D’après la liste des changements proposée par le site officiel, c’est même la seule nouveauté de la version 7.9.10 qui est distribuée depuis le 17 avril. Vous avez été quelques-uns à nous prévenir de ce qui ressemble à un effort de pédagogie de la part de 1Password ou alors à une nouvelle manière de pousser ses utilisateurs vers la nouvelle version et son abonnement obligatoire, selon les points de vue.
En regardant le verre à moitié plein, les créateurs de 1Password préviennent de la fin des extensions Manifest V2, un arrêt qui n’est pas de leur fait, puisqu’il a été décidé par Google. Pour rappel, le créateur de Chrome veut imposer Manifest V3, un nouveau format pour les extensions web qui sont utilisées par son propre navigateur web, par toutes les variantes (dont Edge de Microsoft) et aussi par Firefox. Ce nouveau format, en préparation depuis des années, impose aux développeurs des restrictions plus fortes, inspirées notamment par ce qu’Apple a fait avec Safari.
Bloqueurs de pubs : Chrome pourrait s'inspirer de Safari, ce qui n'arrange pas uBlock Origin
Manifest V3 n’est pas un changement populaire, c’est encore peu de le dire. Il devait entrer en vigueur en 2023, mais face aux plaintes des créateurs d’extensions web, et tout particulièrement celles qui bloquent du contenu et qui sont le plus touchées, Google a accepté de maintenir Manifest V2 d’abord jusqu’en 2024 et puis finalement jusqu’à nouvel ordre. Le calendrier actuel indique que la date de fin pour les anciennes extensions est toujours en discussions, si bien qu’on ne sait pas quand cela arrivera.
Chrome : Google repousse la fin de Manifest V2 à 2024
Chrome : Google repousse une fois de plus la fin de Manifest V2
Le contexte posé, revenons à 1Password. La version 7 fonctionne avec des extensions web dites « classiques » qui reposent sur Manifest V2 pour Chrome, Brave, Edge et Firefox1. À cet égard, le gestionnaire de mots de passe fait bien de prévenir qu’elles seront un jour condamnées, même s’il pourrait aussi bien offrir des extensions Manifest V3 à ses utilisateurs. C’est d’ailleurs ce que l’entreprise a fait, mais uniquement pour 1Password 8, la dernière version qui ne fonctionne pas sans abonnement alors que l’on pouvait encore acheter une licence finale pour 1Password 7.
Même si on considère que 1Password 7 est désormais un produit abandonné, le message d’avertissement est a minima exagéré, pour ne pas dire trompeur. La fiche support diffusée par le gestionnaire de mots de passe alerte sur la fin prochaine de ces extensions et indique que cela interviendra en 2023, alors que Google a repoussé la transition jusqu’à nouvel ordre. La fiche a été publiée en mars dernier, c’est-à-dire après la nouvelle décision du géant de la recherche. On peut difficilement imaginer que les créateurs de l’app n’étaient pas au courant de ce changement, qui est loin d’être passé inaperçu.
Pour ne rien arranger, 1Password 7 renvoie vers cette fiche support quand on veut installer son ancienne extension… bloquant au passage l’installation elle-même. J’ai testé sur un deuxième Mac et il semble bien que je ne peux pas installer d’extension pour 1Password 7 dans Firefox. Le mécanisme intégré à l’app me renvoie sur la fiche support sans rien installer, tandis qu’une recherche sur la liste de plugins du navigateur me permet seulement de récupérer la nouvelle version, uniquement compatible avec 1Password 8.
1Password semble avoir trouvé une nouvelle manière de pousser ses utilisateurs restés à la version 7 vers sa nouvelle app et ses offres d’abonnement. Quitte à mettre un terme précoce à ses anciennes extensions, qui devraient pourtant continuer de fonctionner sans encombre pendant encore plusieurs mois, voire années.
-
Safari est géré à part, avec une extension intégrée à l’app principale. De ce fait, l’extension pour le navigateur web d’Apple peut toujours s’installer et elle fonctionne sans problème avec 1Password 7. ↩︎
@lll
Désolé si cela a paru méprisant, vous êtes tombé sur mon mauvais moment. La faille en question était du hack social, donc sans rapport avec Apple ; et ne croyez pas que je les défende, leur gestion des remontées de failles régulièrement reportées par ici ou d’autres sites montre qu’ils peuvent être léger. C’est à partir de cet épisode qu’ils ont imposé la double authentification.
Pour les nombreuses failles d’iOS, j’aurai tendance à dire qu’il en a autant que tout système informatique : les retours que j’ai de la sécurité de systèmes plus évolués et leur réponse à des tests d’intrusion par des pro du domaine ne sont pas toujours excellents (dans la limite de ce qu’ils ont le droit de me dire). Mais comme je l’ai indiqué en parallèle, cet avis sur la sécurité des systèmes informatiques et même le votre sur les failles d’iOS sont limités à des personnes qui cherchent ces infos. La majorité des personnes ne voient pas de risques dans ces systèmes, même des personnes bien informées en principe: un petit exemple, le partage en ligne des courses faites avec Strava permettait de connaître l’identité et même la localisation de militaires sur des bases dites secrètes. On pouvait même connaître leurs habitudes… donc vous voyez, croire que la sécurité d’iCloud est une raison pour certains de l’éviter me paraît un argument faible, pour reprendre les mots d’Occam.
@Patrick_C
"Sans compter que plein de monde (je dirais l’immense majorité des gens) ne s’en souviennent pas, donc pas un argument pour ne pas s’en servir."
Merci du retour.
L’oubli comme gage de sécurité, voilà un argument inédit. Il a au moins le mérite de l’originalité.
Je préfère ne pas m’exprimer sur le fond, un tel débat s’annonce d’emblée comme infructueux.
@occam
Soit, vous pensez que les personnes qui choisissent de sortir d’iCloud le font pour des raisons de sécurité ? Puisqu’au départ, c’était l’argument, je reviens la dessus, les raisons de ne pas passer par iCloud (et par exemple de prendre dans le cas présent 1Password) et qui sont plus visible pour l’utilisateur lambda:
- le manque de fiabilité de l’outil. iCloud a mis quelques années à s’approcher en fiabilité des autres cloud. Lent,régulièrement HS et des synchronisations qui ne se faisaient pas pour de simples fichiers
- les limites du système, compatible uniquement avec le monde Mac: dès que l’on introduit un android, on perd la synchronisation. Si l’on utilise autre chose que Safari, on perd aussi la synchronisation
- la version gratuite très limitée comparée à d’autres.
Là ce sont des choses concrètes qu’un utilisateur peut toucher. Dans le monde réel, peu de monde s’informe sur la sécurité, fait déjà l’effort de lire un site comme celui-ci qui n’est pourtant pas la pointe de l’info sécurité (et ce n’est pas un reproche, MacGe a une vocation généraliste). Donc un obscur hack d’iCloud, dont beaucoup de monde qui ne fréquente pas ces sources d’info généralistes minimales, n’a pas entendu parlé me paraît un argument léger pour expliquer le choix d’éviter 1Password.
PS: pour me situer, j’ai un abonnement famille iCloud (donc je l’utilise malgré ses défaut), 1Password, je critique des outils que j’utilise.
@heero
Mais rien sur Android, pas de carte de crédit complète et recherche des réseaux wifi plus compliqué.
@ heero
"j'avoue ne toujours pas comprendre pourquoi payer des licences (a vie ou abonnement) quand de base iCloud le fait (via l'app Trousseau d'accès)."
C'est parce que vous n'avez toujours pas compris les nombreux avantages qu'un bon gestionnaire de mots de passe possède par rapport au trousseau d'Apple. Ils sont pourtant régulièrement mis en avant.
Cependant, pour une personne n'utilisant que des produits Apple, je peux comprendre que c'est plus facile. Personnellement, je préfère de loin être le moins dépendant de mon Os pour gérer l'ensemble de ma sécurité.
Raison de plus pour justement ne pas le faire.
Je survivrai à du copier coller.
J'ai téléchargé la mise à jour 7.9.10 et effectivement l'extension de Firefox ne fonctionne plus et pas moyen d'en trouver une compatible avec 1P7.
Solution : parcourir la sauvegarde de Time Machine et restaurer la version précédente du logiciel. Tout refonctionne.
Mise à jour 7.9.10 faite avant-hier (17/04/2023). Rien à signaler.
Sauf le menu principal, proposant une option que je n’avais pas encore remarquée:
“Obtenez une adhésion 1Password” …
Avec mon MacMini Late 2012 et mes 72 bougies on s’est bien marrés …
J'ai également abandonné cette usine à gaz hors de prix pour Bitwarden, simple, efficace et peu coûteux.
C'est sans regrets et je vis sereinement 😜
Une seule solution : Bitwarden.
@ ataredg
Je confirme. BitWarden est la solution que j'ai finalement retenue après Dashlane dont j'ai été un des tous premiers utilisateurs. Dashlane devenant trop une usine à Gaz, à mes yeux, et à un prix trop élevé, du moins à l'époque où j'ai switché.
@ataredg
Excellente solution, BitWarden, avec en plus la possibilité de l'installer sur NAS et de l'utiliser sur cloud local. Avantage net pour les utilisateurs de plusieurs stations, surtout en multi-plateforme.
Excellente, mais pas « la seule ». KeePass et sa déclinaison KeePassXC méritent un essai.
Pour iOS, il y a KeePassium, freemium maintenu par Dominik Reichl, qui s'occupe également de KeePass. La version libre est fonctionnelle ; pour plus, on a le choix entre l'abo et la licence à durée indéterminée. Abo et licence sont comparativement chers, mais au moins KeePassium a tenu la route.
Finalement, pour les minimalistes, il y a une solution svelte (mince, diront les esprits chagrins) mais élégante, à essayer si l'on se sent désemparé par BitWarden ou KeePass : Buttercup.
https://buttercup.pw/
Win/Mac/Linux ; iOS/Android ; extensions navigateur pour Chrome/Edge et Firefox.
Tehty Suomessa (Made in Finland).
@Avenger et @occam : Merci pour vos retours. Je ne connaissais pas Buttercup. Je vais y jeter un oeil. J'avais aussi testé Keepass, mais pas convaincu. Et je ne voyais pas Dashlane comme une alternative, puisqu'en logiciel payant, je trouvais 1password comme la meilleure solution (à mon avis).
Idem,
Je quitte 1Password pour BitWarden
@MacGe : 😉 vous nous prépareriez un super comparatif des alternatives, comme vous savez si bien faire ?…
Une solution alternative de qualité a conseiller :
- sans cloud (synchro en local Mac / iOS)
- 2FA
- intégrer entre différents navigateurs,
- pas d’abonnement,
- passkeys ?…
- logiciel sûr (audit externe, maturité du projet…)
Bitwarden auto hébergé en complément de l’OS et hop, ciao 👋
J'ai toujours trouvé fort prétentieux de croire que son auto-hébergement est bien plus sécurisé qu'un Cloud professionnel. A la limite, je peux comprendre la fierté de gérer cela tout seul. Mais en terme de sécurité pure et dure, je doute de la pertinence de la chose.
@Avenger
"en terme de sécurité pure et dure, je doute de la pertinence de la chose."
Éléments concrets, ou scepticisme de principe ?
@Avenger : je ne pense pas que l'auto hébergement soit plus sécurisé, je dis juste qu'il n'y pas de système sûr à 100%. A part mon compte bancaire, je n'ai pas trop de risques, ce ne sont que des mots de passe d'accès, au pire, si je me fais pirater, je pourrais changer tous mes mots de passe...
Après, je refuse par principe les logiciels par abonnement, tous mes logiciels ont été acquis de façon légal mais dès qu'il y a un abonnement, je cherche une alternative (Adobe > Affinity, Microsoft > Libre Office, etc...)
un exemple sur la crypto monnaies :
https://www.numerama.com/cyberguerre/1137724-cryptomonnaies-un-hacker-derobe-plus-de-100-millions-deuros-sur-binance.html
@Avenger
Ni prétention ni fierté.
Juste une possibilité avec les avantages/inconvénients calculés et assumés
Pour ceux qui comme moi n'ont pas encore trouvé le temps de migrer vers autre chose, et veulent continuer à tourner sur cette version 7 avec licence "perpétuelle", la page de release notes permet de télécharger à nouveau la 7.9.9. C'est par ici : https://app-updates.agilebits.com/product_history/OPM7
En complément, si il est toujours possible d'installer manuellement une extension sur Chrome/Firefox/Safari, on peut la télécharger ici :
https://app-updates.agilebits.com/product_history/OPX4
4.7.5 (build #4070590) – released 2019-06-25
ou
4.7.6.BETA-1 (build #4070601) – released 2019-12-09
Pages