Prise en main de Secrets, un coffre-fort aux mots de passe simple et efficace

Mickaël Bazoge |

C'est entendu, la gestion des mots de passe n'est pas une activité particulièrement amusante ou agréable. C'est pourtant un mal nécessaire à l'heure où les vols de données sont légion. Sur macOS comme sur iOS, les coffres-forts logiciels sont nombreux, et la vedette du secteur est bien sûr 1Password.

Mais s'il est bien fichu et très complet, le logiciel d'AgileBits tire de plus en plus vers l'usine à gaz et puis on peut ne pas apprécier que le studio canadien pousse si fort vers l'abonnement. Secrets joue des coudes pour s'imposer sur ce marché de plus en plus concurrentiel : disponible sur nos deux plateformes de prédilection, le logiciel comprend les indispensables fonctions de base du genre dans une interface facile à prendre en main. Prise en main de la version 2.6 qui vient de sortir.

La séquence de configuration de Secrets nécessite la création d'une « phrase secrète » qui fera office de mot de passe principal servant à déverrouiller le coffre-fort du logiciel. Bien sûr, on choisira de préférence un mot de passe fort, l'app présentant une petite jauge qui indique le niveau de sécurité de la phrase secrète.

On peut également générer une clé de récupération qui sera bien utile en cas d'oubli de la phrase secrète. L'application peut aussi se glisser dans Safari via une extension, et un menulet peut apparaitre dans la barre de menus de macOS. Enfin, les données peuvent être synchronisées dans iCloud, ce qui sera bien pratique si on utilise la version iOS de l'app.

Il ne reste plus ensuite qu'à remplir le coffre-fort de mots de passe. Plusieurs types d'éléments peuvent être protégés1 : le numéro d'une carte bancaire, d'un compte, le code d'une licence, on peut aussi garder une note au secret ou tout simplement enregistrer l'identifiant et le mot de passe d'un service web. Secrets sait importer les bases de données .csv exportées par les principaux logiciels du marché, ainsi que les fichiers .1pif de 1Password.

À vous de jouer !

Chaque catégorie a ses propres caractéristiques, mais arrêtons nous un instant sur celle qui permet de créer une « nouvelle identification ». Secrets propose d'emblée un mot de passe composé d'une chaîne de caractères dont on peut régler la longueur ; il est possible d'y intégrer des chiffres, des majuscules et des minuscules, et des caractères spéciaux, le tout à sa convenance. Le logiciel peut aussi générer un mot de passe unique pour les services supportant l'identification deux facteurs.

Pour s'y retrouver dans ses mots de passe, en plus des catégories dans lesquelles on glisse les informations de connexion, Secrets offre un système de mots clé, de favoris, et de filtres. La barre placée sous le moteur de recherche peut être personnalisée.

Certains d'entre eux sont déjà créés, ils proposent par exemple de lister les fiches des cartes de crédit expirées, les identifiants vulnérables, ou encore les mots de passe qui ont plus de six mois. Des filtres vraiment intéressants, car on peut ainsi facilement identifier les mots de passe à renouveler ou à renforcer. Il est aussi possible de créer ses propres filtres selon plusieurs critères.

Le logiciel contient une fonction d'analyse des éléments, qui indique les vulnérabilités potentielles d'un identifiant, explications à la clé.

Au sein du système, Secrets se signale de deux manières. La petite icône du logiciel dans la barre de menus propose d'obtenir les identifiants et mots de passe des services web auxquels on cherche à se connecter.

En cliquant sur un identifiant, on ouvre le logiciel au complet qui propose alors de remplir le formulaire de connexion.

L'extension de Safari est plus fruste mais pas moins efficace. Lorsque la page web présente un formulaire de connexion, il suffit de cliquer sur le bouton pour lancer l'app qui présente alors la fiche correspond au service.

Ce n'est pas aussi intuitif que le système intégré à macOS qui remplit automatiquement les formulaires, ni même 1Password qui sait faire de même en un clic.

Secrets prend aussi en charge la Touch Bar.

Secrets est également disponible sur iOS, les deux apps synchronisant leurs données dans le nuage d'iCloud. Secrets Touch partage les mêmes fonctions que son grand frère sur macOS : consultation des fiches et création de mot de passe forts (avec des fonctions de sécurité identiques d'une app à l'autre), vérification de la solidité des mots de passe…

L'interface de la version iOS est pensée pour être utilisée à une main grâce à un astucieux panneau coulissant qui contient les filtres et les tags (on peut en sélectionner plusieurs grâce à 3D Touch). Les systèmes de reconnaissance biométriques d'iOS, Touch ID et Face ID, peuvent être mis à contribution pour ouvrir l'application.

Secrets est un outil de gestion de mots de passe simple, agréable à utiliser et qui remplit convenablement sa mission. Il s'adresse volontiers à l'utilisateur lambda qui peut être intimidé par les fonctions avancées de 1Password et qui ne veut pas s'embarrasser d'un abonnement supplémentaire (même si le logiciel continue discrètement de vendre une licence perpétuelle).

Les applications Secrets pour macOS et iOS, toutes deux localisées en français, sont gratuites et permettent de stocker jusqu'à 10 identifiants. Pour aller au-delà, il faudra payer un achat intégré unique de 21,99 € pour la version Mac, et 10,99 € pour la mouture iPhone et iPad. À noter que Secrets est aussi disponible dans SetApp, le catalogue d'apps sur abonnement.


  1. Les données enregistrées dans Secrets sont sécurisées au format OpenPGP (chiffrement AES-128), le hachage s'appuie sur un algorithme SHA-256. ↩︎

Tags
avatar bidibout | 

Est-ce que l'on sait comment sont protégées les infos synchronisées sur iCloud ? (c'est chiffré je suppose ?).

Et est-ce qu'il y a un réglage dans l'app iOS pour régler le vidage du press papier lorsque l'on copie un mot de passe ?

Perso j'utilise Enpass qui me semble vraiment sympa et plus abordable.

avatar Oby1 | 

@bidibout

Pour le chiffrage, je pense que la note de bas de page doit y répondre.
Ceci étant, j’ai pas encore réussi à laisser ce genre d’info, même chiffrée dans le nuage... j’me trompe peut-être...

avatar C1rc3@0rc | 

@bidibout
«Est-ce que l'on sait comment sont protégées les infos synchronisées sur iCloud »

Securité et iCloud...
la seule protection c'est le niveau de chiffrement du fichier par l'application en local. Si l'application garantie qu'elle chiffre systématiquement elle meme le fichier (donc interne et pas qu'a l'export), alors la protection sur icloud revient a la protection en local, mais avec plus de risques d'acces illegitimes.

Apres, mettre ses mots de passe - meme chiffres - sur un cloud... autant les stoker dans un fichier Excel chiffré avec TrueCrypt... au moins "ceci est un fichier rempli d'identifiants et leurs mot de passe" n'est pas marqué sur le fichier (enfin sauf si on est assez bete pour stocker sur un compte email qui sert aussi d'identifiant...)

Comme d'habitude, il faut considérer qu'une donnee mise sur le cloud devient publique et exploitable par n'importe qui.

avatar pocketalex | 

dixit le type qui a inversé son login et son mot de passe 😂

avatar C1rc3@0rc | 

@pocketalex
«dixit le type qui a inversé son login et son mot de passe 😂»
Excellent, mais que veux tu j'ai toujours eu de l'avance sur Apple: la j'ai plus de 10 ans d'avance sur MacOS 10.13... mieux que l'affichage du mot de passe a la place de l'indice 😂

Sinon, sérieusement j'utilise heureusement pas des schémas de mot de passe aussi faibles... je reste sur 1234 ;)

avatar fosterj | 

Correction : effectivement réponses en bas de page

avatar bidibout | 

Merci, en effet j'avais zappé les dernières lignes je m'étais arrêté à la fin de l'article.

avatar bidibout | 

J'ai téléchargé l'appli pour tester il y a donc bien le réglage pour le presse-papiers.

avatar blopi4 | 

Mouais.
Je resterais sur Enpass.io ;)
https://www.enpass.io/
Acheté 10€ sur Ios, gratuit sur macos et multiplateforme.

avatar pakal | 

@blopi4
intéressant mais
où sont stockés les mots de passe ? en mode last pass ?

avatar l3aronsansgland | 

@pakal

iCloud (si on est strictement Apple), Dropbox ou d’autres services dont je ne me souviens pas

avatar blopi4 | 

Ils sont stockéd où tu veux :)
Local, cloud de ton choix (icloud, onedrive, etc), en ftp, webdav.

Intégration Ios au top, touchId, etc.

avatar kasimodem | 

Merci pour Enpass, je ne connaissais pas, et enfin, je peux héberger mes pass sur mon Synology chez moi et non plus dans un cloud externe.
1Password va enfin disparaitre de ma vue avec son abonnement, ceci est une révolution :)

avatar Spinaker | 

J’ai une préférence pour Dashlane. Après avoir utilisé LastPass et 1Password.

avatar DahuLArthropode | 

Mouais... pas de version Windows? Ce n’est pas complètement multiplateforme.

Il y a déjà des outils pas chers et vraiment multiplateforme (Mac, Pc, iOS, et peut-être Androïd)
Enpass n’est jamais mis à jour, mais il n’est mal en l’état. Sauf les icônes, attendues depuis des années!
Voir aussi SafeInCloud.
Ces deux applications tournent aussi sur clefs USB. Pas mal pour accéder à ses mots de passe sur le PC de quelqu’un d’autre.
1Password (mon choix final) permet aussi un accès web, comme Dashlane.

avatar Dylno85 | 

Je resterais fidèle à LastPass que j'utilise depuis des années.
Il s'intègre très bien dans Safari.

avatar fosterj | 

je viens de l'essayer, ça à l'air sympa .. notamment de pouvoir importer mes 1300 mdp depuis 1Paswword .. But oh wait .. comment passer de Secrets à 1password si un jour je décide d'y revenir ??? Le xml est-il suffisant ? quelqu'un peut me dire ?

avatar Alberto8 | 

@fosterj

Question intéressante, j’aimerais bien moi aussi avoir la réponse .

avatar Eyquem | 

Je suis passé de 1password à Bitwarden sur un petit serveur perso et j’en suis bien content !

avatar chrisbi | 

Bonjour Eyquen pour Bitwarden, sur quel type de serveur perso l'as-tu installé? Assez simple merci de ton retour

avatar Eyquem | 

@chrisbi

Une petite debian que j’ai mise sur une vm au boulot. Mais un kimsufi ou autre est parfait aussi, car il faut très peu de ressources. Et l’installation se résume littéralement à taper une commande (bitwarden est en fait une image docker).

avatar chrisbi | 

@Eyquem

Merci je vais regarder cela de prêt. 😉

Merci

avatar Akeru60 | 

Testé et approuvé depuis 2 semaines ! Très simple d'utilisation et le développeur à l'air d'être motivé à amélioré son logiciel.

avatar Vladimok | 

A votre avis:

Dashlane ou Lastpass pour remplacer 1password ?

Merci

avatar Spinaker | 

@Vladimok

Plutôt Dashlane. Sans hésiter.

Pages

CONNEXION UTILISATEUR