Apple lance un projet open source pour améliorer les gestionnaires de mots de passe

Mickaël Bazoge |

Apple lance un nouveau projet open source destiné aux développeurs de gestionnaires de mots de passe. Le principe est de faire en sorte qu'ils collaborent à des ressources communes, dans le but de faciliter la création et la gestion des mots de passe par les utilisateurs. Ce projet, disponible sur GitHub, présente trois atouts selon Apple : l'amélioration des gestionnaires de mots de passe, étant entendu qu'on est plus fort à plusieurs ; pousser les sites web à utiliser des standards afin d'améliorer leur compatibilité avec les logiciels de mots de passe ; et finalement augmenter la confiance des utilisateurs dans ces gestionnaires.

Pour être plus concret, ce projet consiste à prendre en compte les exigences spécifiques des sites web pour générer des mots de passe forts et uniques. Chaque fois qu'une app de mots de passe en génère un qui n'est pas compatible avec un site web, cela crée de la frustration chez l'utilisateur qui a alors la tentation de mettre un mot de passe qu'il connait, et qui a déjà servi ailleurs, ce qui est source de danger.

Le projet vise à compiler les règles afin d'éviter ce genre de situation. La base de données qui en résultera pourra être exploitée par les applications de mots de passe. Parmi les ressources proposées par Apple, on trouve plusieurs adresses de sites web qui partagent un même système de connexion, des liens vers des pages web où les utilisateurs peuvent changer leurs mots de passe, etc.

Tags
#Trousseau iCloud #sécurité
avatar Cyrille50 | 

Excellente initiative ! Excepté sur macOS, avec les Kernel Panic de Catalina, on n'a pas le temps d'accéder à une page Web qu'on est déjà en panique...

avatar YuYu | 

@Mickaël :
apparemment tu as beaucoup de mots de passe réutilisés, paaaaaas bien !

avatar Tomtomrider | 

@YuYu

C’est le même site, ça me le fait aussi. Si il y a le site mobile avec une adresse différente du site desktop, le système interprète cela comme deux site différent. Et bim, un vilain panneau jaune 😄

avatar koko256 | 

Si seulement on pouvait plutôt se débarrasser des mot de passe au profit de clefs asymétriques...

avatar Alex Giannelli | 

@koko256

Comment est-ce que ça fonctionnerait dans ce cas ? Création d'une clé privée puis génération auto de la clé publique ?

avatar guilpa | 

De l'Open Source chez Apple... C'est pas compatible

avatar Florent Morin | 

@guilpa

- WebKit
- HealthKit
- Swift
- FoundationDB
- Core ML
- Turi Create
- ...

avatar quentinf33 (non vérifié) | 

@FloMo

Une partie de HomeKit aussi non ?

avatar Florent Morin | 

@quentinf33

Exact ! Les specs de HomeKit. Et celles de l’API Exposure Notifications d’ailleurs.

avatar quentinf33 (non vérifié) | 

@FloMo

Évidemment !

avatar quentinf33 (non vérifié) | 

@FloMo

Et quelques autres aussi.

https://developer.apple.com/opensource/

J’ai du mal à voir ce qui est incompatible pour le coup 😅

avatar cecile_aelita | 

@FloMo

Je rêve ou vous êtes en train d’essayer d’expliquer quelque chose à un troll ? 🤨
Alors OK j’avoue que ça occupe, mais il doit y avoir plus intéressant à faire un vendredi soir nan? 🤣

avatar oomu | 

"De l'Open Source chez Apple... C'est pas compatible"

l'OpenSource a toujours été compatible avec l'industrie commerciale informatique.

C'est d'ailleurs un terme inventé pour et par elle.

Apple a toujours eu des projets "opensource", tout comme IBM et même Confituresof..heu Microsoft.

Par contre du "libre", alors là ce fut plus dur

et si par la force des choses et l'opportunité d'obtenir du code très puissant pour constituer MacOs X puis le compléter, Apple utilisa GNU, KHTML (futur webkit), GCC et divers autres projets libres, Elle a ensuite tout fait pour se débarrasser progressivement de la GPL 2 et surtout, surtout, ne jamais utiliser quoi que ce soit de la GPL 3. (au point de régresser macos X en refusant samba4 pour leur infecte bibliothèque apple smb2)

Mais ZopainSource ou Libre, l'industrie finit toujours par se faire à tout ce qui arrive et vivre avec et faire du profit.

Donc non, ce n'est pas si étonnant, et un Apple est capable de travailler avec n'importe quoi et n'importe qui puis tranquillement de se débarrasser de ce qui est devenu gênant ou inutile.

Zéro soucis au pays des géants qui ont le temps pour eux.

avatar marenostrum | 

"Zéro soucis au pays des géants qui ont le temps pour eux."

le temps joue contre tout le monde, géant ou pas. le géant meurt plus vite que le petit d'ailleurs. la moindre crise le met par terre. (ma petite entreprise qui connait pas la crise, dit la chanson).

avatar deltiox | 

@oomu

Quel est le problème avec GPL 3 ?
Je croyais que c’était SMB 3 actuellement

avatar xr2 | 

Très bonne idée. Et si le Trousseau iCloud pouvait gérer les clefs 2FA, avec intégration dans Safari, ça serait parfait.

avatar YuYu | 

@xr2

Et une vraie app (pas juste un onglet dans les réglages de Safari ou une ligne dans les réglages d’iOS)

https://www.igen.fr/ios/2020/04/le-trousseau-icloud-va-evoluer-avec-ios-14-114053

avatar oomu | 

c'est pas bien "Trousseaux d'accès" ? C'est le coeur de toute la sécurité, mot de passe, certificats et clés de MacOs depuis son lancement.

si vous voulez, on lui remettra un coup de peinture et des icônes plus gros, on l'appellera "New Trousseau" et voilà !

magie !

avatar YuYu | 

@oomu

Le fonctionnement du Trousseau est excellent, la présentation des mots de passes de services est moins user-friendly

avatar Krocell | 

Main d’œuvre gratuite ;-)

avatar oomu | 

Argent facile !

avatar macetLinux | 

Évidemment, mais à la fin tout le monde est gagnant non?

avatar marenostrum | 

c'est plutôt, attirer les talents en leur proposant un projet et pas un poste. un CV ne montre pas le talent de la personne, sauf son parcours professionnel. tandis qu'avec un projet on voit direct les capacités de l'autre.

avatar r e m y | 

[Mode mauvais esprit ON]
Il faut croire qu'Apple s'est décidé à faire évoluer Trousseau d'accès... du coup il leur faut des idées avec du code open source qu'ils pourront librement réutiliser.
[Mode mauvais esprit OFF]

avatar Romuald | 

Marrant, je me suis fait la même réflexion

avatar marenostrum | 

par manque de programmeurs de talent dans leurs équipes. ils n'ont pas d'autres choix. sauf à acheter une boite qui propose mieux.

avatar pariscanal | 

Un nouveau monde ! Ce serait chouette

avatar bhelden | 

Ce que je rêve c’est un soft où l’on voit tous nos mdp et sur lequel on peut changer directement nos mdp sans passer par l’interface du site ; genre en un clic ou deux et baaaam...
Gain de temps immense et sûrement plus d’incitation à changer ses codes de temps à autre.

avatar Alex Giannelli | 

@bhelden

Alors oui… mais je ne vois aucune solution technique qui permettrait de le faire 😄

avatar Avenger | 

@ bhelden,

Dashlane offre cette option. Mais je ne l'ai jamais testée car mon compte premium à vie ne me permet pas d'y accéder.

https://support.dashlane.com/hc/fr/articles/202699281-Comment-utiliser-Password-Changer-

avatar Mike Mac | 

En ligne, des mots de passe complexes à volonté !

https://www.sordum.org/passwordgenerator/

avatar kubernan | 

Et pendant ce temps là ma banque continue de me proposer à choisir un mot de passe à 6 chiffres 🤷‍♂️

avatar Sometime | 

@kubernan

S’agit-il d’un mot de passe ou d’une sorte de pin?
Parce qu’a un moment les banques françaises privilégiaient ces sortes de PIN, avec un blocage du compte après 3 entrées erronées.
Bref tout dépend de l’implémentation mais ce n’eat pas forcément nécessairement tellement moins sur.

avatar sekaijin | 

si je comprends bien on va constituer une base de règles connus du gestionnaire dans le but de pouvoir générer un mot de passe compatible.

sachant qu'une étude universitaire anglaise a montré que plus les règles sont nombreuses et contraignantes plus il est facile de cracker un grand nombre de comptes,

c'est du pain bénis pour les hacker. ils auront en plus à leur disposition les règles des sites.
plus besoin de trouver des moyens complexes pour les déterminer.

Le système qui a le mieux résisté à l'expérience mené en Angleterre est un système qui n'avait aucune règle mais une surveillance forte des mots de passe. lors de la création d'un mot de passe le système essai de le cracker et s'il y parvient le mot est refusé.

Au final l'outil a réussi a cracker des mots de passe car les humains ont eux aussi tendance à s'imposer des règles. Mais là ou sur les sytème avec une forte présence de règle arrivait un seuil ou un grand nombre de mot de passe était cracker (le cracker ayant "deviné" les règles), sur le système sans règle la progression du cracker était bien plus aléatoire et moins efficace.

cette expérience a montrer que l'humain est à la fois le meilleur facteur pour généré un mot de passe complexe et "impossible" à ckracker mais aussi le plus faible.

mais elle a surtout montré que plus les règles étaient contraignante plus de domaine de définition se réduisait plus il est facile pour un outil de cracker en masse.
bien que cela se fasse dans un contexte où le cracker ne connait pas à l'avance les règles.
Lorsqu'il a les règles cela devient presque un jeu.

Il existe d'autre moyen que les mot de passe pour garantir l'authenticité que je ne comprends toujours pas pourquoi on en reste encore à ce point.

supprimer tous les mots de passe serait bien plus efficace pour la sécurité que ces bricolages de la sorte.

avatar e2x | 

@sekaijin

On a du mal à te comprendre avec autant de fautes et de manque de ponctuations, majuscules etc...
Pour des explications aussi techniques, qui parlent en plus de « règles », tu devrais prendre le temps de te relire et respecter plus de ... règles.

avatar tupui | 

@e2x

C’est tellement Français ça de critiquer la forme plutôt que le fond. C’est rare de lire quelqu’un ce plaindre d’orthographe sur stackoverflow par ex.

Moi je l’ai très bien compris. C’est un blog et une communauté de gens passionnés par Apple et les techs. Pas un club de lecture ou orthographe... 🤪.

avatar e2x | 

@tupui

Premièrement je ne m’adressait pas à toi. Et j’étais poli.
Deuxièmement tu critiques le fait que je critiques le fait d’avoir à déchiffrer son français. (Le tien n’est pas meilleure au passage.)
Et enfin, qui te dit que je suis français ? C’est la rengaine du français râleur ?
Si je m’en foutais de ce qu’il partage et du « fond » pourquoi aurais-je pris le temps d’ecrire? Et demander plus de clarté... bref. Pas le temps avec les cancans.
Merci pour ton commentaire avisé sur ce « club de lecture »

avatar tupui | 

@e2x

Que l’on soit français ou pas n’a que peu d’importance. On est pas là pour la prose des uns ou des autres mais pour parler de tech. J’en ai marre de lire ce genre de commentaires. Ça sert juste à rien de rabaisser quelqu’un sur son niveau d’écriture. Si tu veux le faire intelligemment, indique au moins les fautes que l’on fait. Mais dire juste : tu sais pas écrire ?? C’est comme dire : c’est de la merde, sans argumenter...

avatar loire7000 | 

C'est l'hôpital qui se fout de la charité.

avatar Bigdidou | 

@loire7000

“C'est l'hôpital qui se fout de la charité.”

Ca fait très longtemps que c’est le cas ;)

avatar Alex Giannelli | 

@loire7000

Tellement…

avatar DG33 | 

@e2x

Le tien n’est pas meilleur{e} non plus...

avatar David Finder | 

Voici un raccourci super pour générer des mots de passe personnalisables (je ne fais pas de pub, le raccourci n’est pas de moi) :

https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwjlw5n38u7pAhWI2BQKHVKiBlEQFjABegQIAhAB&url=https%3A%2F%2Froutinehub.co%2Fshortcut%2F2635&usg=AOvVaw2Rb2CUMCQrsYHA7Gwqt4A1

avatar hugome | 

La gestion de la sécurité devrait faire partie intégrante de l’os
Pendant longtemps ce n’était pas le cas, avec l’apparition de tiers 1Password, excellent, qui s’engouffra dans le vide.
Mais maintenant 1Password est passé dans le mode milking, en essayant de traire la vache de client sans proposer de réel service additionnel.
Conséquence, je sauterai sur l’offre open source quand elle existera.

avatar Avenger | 

@ Hugome

Bitwarden est très bon et Opensource.

https://bitwarden.com/

CONNEXION UTILISATEUR