Une extension Firefox pour utiliser les mots de passe du trousseau iCloud
Safari n'est plus le seul navigateur Mac à pouvoir exploiter les mots de passe stockés dans le trousseau iCloud. Depuis cet été, sur macOS Sonoma, Chrome peut utiliser le trousseau grâce à une extension créée par Apple. Et maintenant, c'est Firefox qui se dote de la même capacité grâce à l'extension iCloud Passwords.
À la différence de celle de Chrome, l'extension Firefox n'a pas été mise au point par Apple, mais par un développeur tiers, Aurélien Garnier, qui en avait justement assez d'attendre que Cupertino ou Mozilla se bouge.
Le développeur français a fait en sorte que son extension soit la plus sûre possible. Comme celle de Chrome, elle demande après l'installation de saisir un code à six chiffres fourni par macOS pour autoriser l'accès au trousseau iCloud. macOS Sonoma est indispensable, car c'est dans cette version qu'Apple a ajouté une API permettant aux navigateurs tiers de communiquer avec le trousseau iCloud.
Quand on veut s'identifier sur un site web, on clique sur l'icône de l'extension Firefox puis sur son identifiant, et on valide ensuite le remplissage automatique grâce à Touch ID ou au mot de passe de sa session. Il ne reste plus enfin qu'à cliquer sur le gros bouton de validation du site.
L'icône de l'extension est presque toujours assortie d'un petit point vert qui signifie qu'elle est désactivée. Elle n'a en effet pas accès au site visité tant qu'on ne clique pas dessus. « Je suis très soucieux de la confidentialité des utilisateurs, et l’extension utilise donc les permissions les moins invasives possible, nous indique le développeur. J’ai prévu d’ajouter un paramètre au choix de l’utilisateur pour changer ce comportement afin de permettre davantage de fonctionnalités dans le futur. »
En gage de sécurité également, Aurélien a publié le code source de son extension (ce qu'Apple n'a pas fait avec son extension pour Chrome), afin que les connaisseurs puissent vérifier qu'elle ne contienne pas de faille ou qu'elle ne fasse pas d'entourloupe. L'extension permet aussi de créer des mots de passe forts, mais pas d'enregistrer ceux-ci directement dans le trousseau pour l'instant.
L'expérience utilisateur est pour l'instant un ton en-dessous de l'extension Chrome, notamment en raison de l'absence de suggestions de mots de passe sous les champs d'identification. Ce menu d'autocomplétion fait partie des améliorations prévues par Aurélien pour la suite — l'extension est toute neuve, la première version est sortie la semaine dernière.
Le développeur, qui réalise cette extension Firefox sur son temps libre, accepte volontiers les contributions pour ajouter des fonctionnalités ou améliorer l’existant, du moment que cela ne baisse pas le niveau de sécurité ou de confidentialité. Il est aussi possible de lui faire un don pour le soutenir.
Merci beaucoup pour le partage ! Aucune nouvelle de la part de Firefox directement ou d’Apple ? Tant pis, on va tester et ça sera sans doute très bien…
Par contre la plupart des gens qui jonglent entre Safari et Firefox ont depuis longtemps adopté 1Password ou autre, cela arrive très tard, mais c’est toujours ça de pris !
@Lu Canneberges
Suis sorti de 1password depuis Ventura :‘ouverture qui ne se fait pas à chaque fois - obligé d’ouvrir l’apps 1password sous safari ou firefox pour activer 1password -
@murapom
J’ai abandonné safari en partie pour cette raison (j’utilise Dashlane), devoir relancer l’extension/app Dashlane continuellement était laborieux.
@Ichigo-Roku
J’ai carrément quitté Dashlane pour partir chez 1Password et je ne regrette pas
@Jeamy
Le problème c’est le fonctionnement des extensions sur safari, donc Dashlane ou 1Password ça sera le même problème.
@Ichigo-Roku
Je suis chez 1pass depuis le début ou presque société canadienne très très sérieuse couplé à l’authentification à deux facteurs que je vais probablement remplacer par des Yubikey pour encore plus de sécurité ( quand je le ferai pour mon compte Apple ) mais j’attends encore que sa se stabilise.
Le problème c’est que ça coute cher il en faut 3 pour être tranquille une sur soit une à la maison et une autre en dehors de la maison et à 60€ la clé sa pique 😈
@R-APPLE-R
Contente toi de deux clés ça suffira largement. Parce que tu vas te prendre la tête à synchroniser celle qui est en dehors de la maison.
@Chris K
Ça se synchronise une fois et après fini normalement 😈
@R-APPLE-R
Sauf quand tu vas vouloir ajouter tes clés pour un nouveau service / site internet... va falloir que tu ailles chercher ta 3ème clé ...
@Chris K
Combien de site je peut utiliser avec une clé c’est une question que je me poser justement 😈
@R-APPLE-R
Il n'y a pas de limite sur le nombre de sites par clé.
En revanche, il faut être en possession de toutes les clés à chaque inscription sur un nouveau site.
@Ichigo-Roku
Aucun problème avec Bitwarden…
@Eyquem
Mon problème vient du fait de comment les extensions safari fonctionnent, donc si c’est une extension safari le problème sera le même…
@Ichigo-Roku
Quel est le problème au juste ?
@Eyquem
Des fois les extensions étaient tuées et je devais les relancer à la main.
@Ichigo-Roku
Ok, étonnant ! Jamais eu ça depuis des années que j’en utilise…
Oula… zéro confiance pour ma part
@winnipeg
Je comprends ta réaction, mais l'appli est open-source, c'est en général un gage de sécurité.
Bien qu'il faille avoir les compétences pour comprendre le code, tot ou tard, s'il y a une backdoor, quelqu'un finira par le voir, d'autant plus si l'app est populaire ....
@Jidus
Donc ceux qui n’ont aucune confiance dans une extension Firefox leur donnant accès au trousseau iCloud sont ceux qui ne s’y connaissent pas? Et ceux qui s’y connaissent ont confiance car open source? Sacrés raccourcis non?
On fait la liste des plus gros hacks de projets pourtant open source (qui peut être total ou partiel mais après je ne m’y connais pas donc je sais pas)?
Je ne donne même pas un blanc seing à Apple dans un environnement 100% Apple, open source ou propriétaire. (Cf les failles, les fuites des photos iMessage etc).
La confiance, c’est pas de la technique, c’est du ressenti basé sur des épisodes passés. Pour moi (mais je ne m’y connais toujours pas) c’est comme les backups. Jamais tout dans le même panier, quoiqu’en disent les super Keynote amazing.
@winnipeg
Tu extrapoles largement mon propos et tu en déduis tes propres conclusions.
Le mien est simplement dire que le code étant ouvert, il est possible de detecter une faille/backdoor/truc louche dans celui-ci, c'est tout. A l'inverse d'un code fermé.
Sinon, je ne sais pas si tu utilise un gestionnaire de mot de passe, mais si oui, quels sont tes critères pour lui accorder ta confiance ?
@Jidus
Bitwarden auto hébergé via locker sur mon Nas syno avec backup hebdomadaire sur dd externe automatisé (pas confiance en Bitwarden.com et du coup il me manque un cloud de confiance pour compléter le trio de backup si qqn peut conseiller on est preneuse par ici)
jette un coup d'oeil sur les storage box de chez Hetzner.. je l'utilise comme destination de hyper backup sur mon syno ( en webdav)
@winnipeg : Ouais, je cherche aussi pour un backup externe et pour le coup j'ai pas spécialement confiance dans la solution QNAP.
Bonne nouvelle, et j'ai fait une rapide recherche infructueuse sur ce sujet hier soir, donc ça tombe bien ☺️ j'utilise Firefox de temps en temps quand un site passe mal sur Safari, donc c'est toujours bon à prendre 😺
iCloud password par Aurélien , mais c’est qui Aurélien , je suis pas dev , mais qui me dit qu’il a pas lâché un code malicieux dans l’exstension , je me méfie 😒
@darthnet : Comme précisé dans l'article :
"En gage de sécurité également, Aurélien a publié le code source de son extension (ce qu'Apple n'a pas fait avec son extension pour Chrome), afin que les connaisseurs puissent vérifier qu'elle ne contienne pas de faille ou qu'elle ne fasse pas d'entourloupe"
Aurélien ou Le Père Noël, on s'en fout en fait.
Il nous faut une extension pour BRAVE
Brave est déjà compatible avec toutes les extensions Chrome.
J'arrive à le faire fonctionner sous Monterey. J'espère que ce n'est pas dangereux comme truc.
Il faudrait corriger votre article, ce n'est pas que pour Sonoma.
Je teste cette extension depuis quelques semaines. Le problème majeur c'est que contrairement à Safari, on doit sans arrêt re-valider l'accès au trousseau iCloud dans Firefox en tapant un code à 6 chiffres envoyé sur un appareil Apple de confiance.
Si je veux utiliser un gestionnaire de mot de passe qui renseigne mes identifiants via Touch ID sans que j'ai besoin de les taper à chaque fois au clavier, ce n'est pas pour troquer ce remplissage automatique contre un nouveau mot de passe à taper pour valider la procédure !