1Password 4 accède à iCloud hors du Mac App Store

Nicolas Furno |
1Password [4.0 / Démo – Français – 44,99 € (promo à 35,99 €) – OS X 10.8 – 31,3 Mo – AgileBits Inc.] est désormais disponible sur le site de l’éditeur, après sa sortie hier sur le Mac App Store (lire : 1Password 4 est finalisé sur le Mac App Store). On écrivait à cette occasion que seule la version vendue sur la boutique d’Apple permettrait de synchroniser les données avec iCloud, l’une des nouvelles fonctions de la quatrième version de ce gestionnaire de mots de passe. Comme nous l’a fait remarquer un lecteur, nous avions tort.

Vérifications faites, la version proposée au téléchargement sur le site d’Agile Bits est bien capable de se synchroniser avec iCloud. Dans les réglages de 1Password, on a le choix entre trois options : stocker les données en local, les synchroniser avec Dropbox ou enfin les synchroniser avec iCloud. Si on choisit cette option, le fonctionnement et la présentation sont identiques avec la démo (ci-dessous) et avec le logiciel téléchargé sur le Mac App Store.



D’où vient notre erreur initiale ? D’une interdiction imposée par Apple : en théorie, seuls les logiciels vendus sur le Mac App Store et donc validés par ses soins peuvent accéder à iCloud pour y lire et écrire des informations. Cette règle existe depuis l’ouverture de la boutique et d’autres développeurs en ont fait les frais : en 2012 par exemple, le concepteur de PDFpenPro 6 avait été obligé de sortir un utilitaire dédié uniquement à la synchronisation iCloud pour ses clients qui n’étaient pas passés par la boutique (lire : PDFpen place vos documents dans le nuage et sur iPad).

Accéder aux documents iCloud est très simple et n’importe quel utilisateur peut le faire (lire : Astuce 10.8 : accéder à tous les documents iCloud dans le Finder). Dès lors, un développeur peut très bien réaliser de son côté un module de synchronisation officieux pour accéder à ces données, mais Apple ne l’autorise pas. Le constructeur ne peut pas intervenir directement sur l’éditeur, mais les moyens de pression ne manquent pas, à commencer par un retrait du logiciel du Mac App Store. 1Password faisant partie des logiciels mis en avant en ce moment, c’est incontestablement un argument qui serait entendu par l’éditeur…



Nous avons contacté Agile Bit pour savoir s’il s’agissait vraiment d’une fonction ou d’un bug issu de la phase de bêta. D’ici là, si vous êtes allergique au Mac App Store, mais que vous tenez à la synchronisation iCloud, dépêchez-vous de télécharger la version proposée sur le site de l’éditeur…
avatar odeckmyn | 
dans leur FAQ , 1ère question : * Should I purchase on the Mac App Store or from your website? To use iCloud syncing you should purchase on the Mac App Store, but ultimately the choice is a personal preference. [...] source : http://learn-origin.agilebits.com/1Password4/Mac/en/FAQs/#should-i-purchase-on-the-mac-app-store-or-from-your-website
avatar nifex8 | 
J'ai synchro ce matin 1passeword sur mon mac avec iCloud et ca c'est bien synchro, mais pourtant quand j'essaye de configurer l'app sur mon iphone pour utiliser les données sur icloud il me dit qu'il n'y aucune données trouvés sur iCloud. Du coup pas moyen d'accéder à mes mots de passe depuis l'app 1passeword pour iPhone... Vous auriez une idée pour résoudre ce problème ? Merci !
avatar odeckmyn | 
et un peu plus loin : iCloud syncing?! Yes, indeed. iCloud syncing! And shucks howdy is it ever fancy. You can now use iCloud to sync your data across all the latest versions of 1Password on all your Apple computers and devices. To use iCloud syncing you should purchase on the Mac App Store. source : http://learn-origin.agilebits.com/1Password4/Mac/en/v3-transition.html
avatar coolapic | 
Il semble fou de synchroniser des mots de passe et/ou des données confidentielles "à travers iCloud ou DropBox, en particulier suite à l'affaire PRISM... Du coup, seule la possibilité de synchroniser avec un NAS (Synology etc) ou son propre serveur semblerait intéressante/logique et pour le moment ce n'est semble-il pas possible... Ils ont même supprimé la synchro par wifi et "forcent" la synchro iPhone branché ou "à travers" DropBox ou iCloud, seraient-ils payés par PRISM ? Bref, Bits Agiles ou pas, ils peuvent se la garder leur nouvelle version, je vais pas laisser les gauchistes d'obama venir espionner les mots de passe de tous mes potes Américains qui ont leurs comptes biens planqués dans nos montagnes ;-)
avatar Anonyme (non vérifié) | 
Moi non plus je ne comprends pas que l'on puisse stocker ses mdp aux US avec ce que l'on sait aujourd'hui.
avatar elamapi | 
@coolapic Apparement tu ne sais pas comment fonctionne 1password. Pas que je tienne spécialement à défendre iCloud (que je n'aime pas du tout), mais même si Apple donnais un accès open bar à la terre entière tes passwords seraient quand même en sécurité. Ca ne dépend QUE du mot de passe principal. En effet, ce qui est stocké, c'est un fichier crypté, le tout avec PBKDF2 en HMAC-SHA512. En gros, avec un mot de passe a 12 caractère, min/maj/alpha/num/spéciaux (le truc de base quoi), il faudra un peu plus de 150 ans en brute force en cumulant les ressources 10 plus gros super calculateur du monde. Donc même si la NSA le voulait ... elle serait bien emmerdé.
avatar elamapi | 
Et pour ceux qui pensent au rainbow table, sans connaitre le salage, il faudrait un peu plus de 150.000 fois la capacité de stockage de google ... (et 3 siecles pour les générer).
avatar tboy | 
Moi je l'ai acheté, mais l'appstore. Je trouve ça bien pratique. Tout est centralisé au même endroit, pas besoin de chercher sur chacun des sites web respectifs.
avatar Gueven | 
J'avais acheté un bundle version Mac OS X et Windows à un prix intéressant. Impossible d'y avoir accès via la boutique Apple.
avatar Anonyme (non vérifié) | 
@elamapi: Selon toi, qui à l'air de s'y connaitre un peu, quel service te paraît être le plus sécurisé: 1password ou Lastpass ? Merci.
avatar elamapi | 
@Chris_77 Perso, je vote 1Password (bien que ce soient des vieux rapias avec le politique tarifaire) + dropbox. La différences, c'est le "coffre" ou sont stockées tes données. LastPass c'est du full online, tu n'as aucune maitrise des fichiers, tu ne sais pas ou il sont stocké, si c'est une base mutualisé, etc etc (sans compter que c'est une abonnement). Avec 1Password, c'est clair. Le client (Android/Mac/iOS/Windows/Extention FF/Chrome/IE/Safari) va chercher les données dans un fichier. Ce fichier est a toi. Il peut être stocké en local sur ton PC, sur ton serveur, sur iCloud (je n'aime pas), sur Dropbox, sur une clef USB. Tu as donc une maitrise bien plus fine de qui pourra lire, ou pas ce fichier. De plus le principe est simple ce fichier est crypté. Le client 1Password le decrypte au moment ou tu veux chercher un mot de passe. Ce qui veux dire que si quelqu'un vole ton fichier, il devrait connaitre le mot de passe (clef de cryptage) de ton fichier (d'ou l'interet d'en mettre un SOLIDE). Sans ça ... ba woualou ... il peut rien en faire, et vu le type de cryptage, meme la NSA peut aller se coucher. Perso, je choisit 1Password SANS iCloud AVEC Dropbox parce que TOUS les clients (Android, Windows, Mac, Linux, etc etc) savent lire un fichier sur dropbox. Ce n'est CLAIREMENT pas le cas sur iCloud. Puis, sur Dropbox, tu as ton fichier accessible, si tu veux l'emporter sur une clef usb, tu le recopie comme tu le ferais avec n'importe quel fichier. Puis si tu est ULTRA parano, tu peux meme stocker ledit fichier dans un conteneur truecrypt lui meme chiffre avec une clef de la mort qui tue en blowfish-SHA512-TWOsnake etc etc
avatar Thierry6 | 
sur le site de l'éditeur, on peut aussi avoir des prix d'upgrade (25$ pour ceux qui ont une licence 3) un peu moins prohibitifs que le prix Apple store
avatar elamapi | 
Le soucis reste le prix, iphone, on paye, mac, on repaye, deuxieme mac, on rerepaye, un windows, on rerererepaye
avatar Anonyme (non vérifié) | 
alors moi aussi, la synchro icloud ne fonctionne pas sur iOS ! ca met m'indique erreur de connexion... sur le Mac c'est ok par contre ! donc j'utilise la synchro dropbox, qui elle, fonctionne...
avatar r e m y | 
@Thierry6 POur comparer ce qui est comparable, en terme de tarif c'est avec la version license familiale du site AgileBits qu'il faut comparer la version appStore (en terme de prix), plutôt qu'avec la version monoposte (vu que celle du store peut être installée sur autant de Macs que l'on possède chez soi)
avatar r e m y | 
Quant à ceux qui se croient protégés de la NSA grâce aux cryptages, ils se mettent le doigt dans l'oeil. Quel que soit le niveau de cryptage, si AgileBits a communiqué une clé universelle ou créé une backdoor pour la NSA, les données leurs sont accessibles
avatar coolapic | 
@ r e m y Oui, les backdoors, c'est exactement ça le problème, et selon les révélations il semble justement qu'il y en aie... C'est bien pour ça que faire la synchro sur son propre NAS avec un bon VPN, semble la solution la moins "perméable" ;-)
avatar manu_any | 
@elamapi Dans tous les softs tu as ce que l'on appelle un backdoor donc ton mot de passe c'est pour te faire plaisir. Toutes les sociétés américaines ont obligation de laisser les services secrets américains accéder aux données de leurs clients, c'est une loi qui existe depuis le 11 septembre.
avatar manu_any | 
@elamapi http://fr.wikipedia.org/wiki/USA_PATRIOT_Act Tu passes trop de temps chez les bisounours
avatar Pixel94 | 
il me semble qu'AgileBits est une société Canadienne... Après pour ceux qui veulent plus de sécurité il est préférable de garder le fichier crypté en local.
avatar Pdg | 
Faut peut-être pas exagérer non plus. L'excès de confiance c'est mal mais niveau parano aussi... Les mecs de la NSA, il faudrait qu'ils viennent chercher sur Dropbox (1e backdoor) le fichier crypté 1password puis qu'ils le décryptent (2nd backdoor) pour le lire et aller piocher l'identifiant qu'ils veulent... Ce ne serait pas plus simple d'aller directement piocher ledit identifiant sur le site en question ? Il sera de toute façon moins sécurisé que dans un conteneur chiffré dans Dropbox... Et d'ailleurs il faudrait qu'ils aient sérieusement les crocs contre moi pour faire tout ça.
avatar Pdg | 
Tout est une question de confiance. Je fais infiniment plus confiance à AgileBits qu'à Dropbox, même si on n'est jamais totalement sûr. Après, si vous voulez pousser un peu plus loin, votre NAS avec VPN n'est pas forcément immunisé aux backdoors... Donc je ne suis pas d'accord avec le principe. Si on veut être totalement sûr, les mots de passe ne doivent être notés nulle part, sans exception ;)
avatar stéphane83 | 
Il suffit de ne pas faire d'attentat c'est tout. Ils en ont rien a faire de vos mails et photos de cul :)
avatar Pdg | 
Certes. D'un autre côté, ce n'est pas parce qu'on n'a rien à cacher qu'il faut leur laisser les portes grandes ouvertes non plus. Je n'aime pas l'idée qu'ils puissent venir fouiller. Mais *a priori* avec 1password et Dropbox, je suis tranquille. En tout cas je ne m'en fais pas (encore une fois, si un mec de la NSA veut lire mes mails, il aura plus de facilité à les demander à google, yahoo et apple que de le demander à dropbox puis de pirater 1password. C'est pas inviolable, mais ça me suffit.
avatar philik | 
@ coolapic : et ta synchro vers ton NAS, elle va transiter par une rallonge ethernet entre chez toi et ton bureau ? ;-) Si la NSA peut casser les protocoles de cryptage eux-même comme on a pu le lire, un VPN, ne protège rien puisque qu'on peut alors capturer et décrypter toutes les paquets qui transitent par internet. La seule différence entre un VPN, SSL ou SSH et un pauvre formulaire de contact en HTTP, c'est que les infos transitent cryptées. Tu casse le cryptage, tu lis les paquets. Après, faut peut-être arrêter de croire que des super calculateurs qui coutent le prix de 120 ans de soins de beauté de Paris Hilton sont utilisés pour casser les clés de cryptage Dropbox de Pierre Paul ou Jacques et accéder à nos photos de vacances ou même à nos codes de carte bleue ... Echelon existe depuis plus de 50 ans et personne n'a arrêté de commander ses caleçons par téléphone à la Redoute (enfin, si , mais bon, pas à cause d'Echelon). Le talon d'Achille de ces systèmes, c'est la masse d'informations qui les noient sous leur propre poids.
avatar elamapi | 
@tous les psychopathe de la securité. Vous avez pris, ne serait-ce que 30 seconde pour lire ? Ou vous vomissez vos troll de manière instinctive ? 1- La NSA peut avoir accés a icloud, dropbox, ou qui vous voulez, il faut qu'elle CASSE le cryptage du fichier. Ce cryptage utilise des algos PUBLIC (d'ailleurs des clients LIBRES savent décrypter ces fichiers si on a la clef). La question, n'est donc pas de savoir si la NSA aura accés à votre fichier, mais si elle aura les moyens de le lire. Comme Snowden (et d'autre) l'on expliqué, la NSA dispose de 3 point d'entrée. 1- Le backdoor (vous m'expliquez le backdoor dans un fichier de données ?). 2- Le brute force / rainbow table (inutilisable dans notre cas si vous avez plus de 12 caractères aléatoire) 3- La collaboration des opérateurs/editeurs. Dans le cas qui nous concerne, la NSA peut prendre notre fichier, pas de soucis la dessus. Le brute force ne fonctionnera pas (le crytage est plus solide que celui de TOR par exemple, et TOR n'est toujours pas cassé par la NSA dixit Snowden). Reste le backdoor. Il doit être dans le client, MAIS ce client, doit envoyer les données à la NSA APRES avoir décrypté. Le seul moyen de le faire c'est d'avoir un accés au net. Du coup, si vous partez de ce principe, cloud perso, cloud public, ou n'importe quoi, vous etes mort parce que le client enverra vos données SAUF si vous n'avez aucune connexion (dans ce cas, le bon vieux callepin en papier est plus efficace). Il est donc inutile de se faire chier avec un cloud perso, puique vos donnés seront quand même accessible.
avatar Anonyme (non vérifié) | 
@elamapi: Ok, merci beaucoup pour ta réponse.
avatar Anonyme (non vérifié) | 
Elamapi, Je suis passé à la version 4, mais impossible de trouver mon fichier comme sur la version 3 ? Aurais tu la solution. Je regrette aussi le fait de ne pu pouvoir faire un fichier texte de tous mes mots de passe que je sauvegardais dans un dossier crypte. Si quelqu un à la solution. Merci
avatar elamapi | 

Je ne suis pas encore passé à la version 4 ... vu que 1Password me sert sur PC / Mac / iOS (et accessoirement android), Ca me fait une note sacrement salé. Du coup, vu que ça fonctionne bien en 3, j'attend.

Je pense que pour la version 4 (comme) il faut volontairement choisir la synchro via dropbox (sinon ça va utiliser iCloud et tu ne verra pas le fichier par defaut)

avatar thomasperouze | 

Pour moi personnellement après l'achat de l'application 1password sur le site de l'éditeur, je ne peux malheureusement pas faire de synchro avec iCloud... :(

Quelqu'un aurait-il la solution pour pouvoir utiliser ce mode de synchronisation ?

Merci d'avance.. :)

CONNEXION UTILISATEUR