1Password et Simplenote vent debout contre la nouvelle politique de Safari

Avec Safari 13.1, Apple a cherché à renforcer la confidentialité des utilisateurs de son navigateur web avec deux nouvelles mesures : le blocage complet des cookies tiers et la suppression au bout de sept jours des données stockées localement par un site. C’est surtout ce deuxième point qui fait polémique depuis l’annonce du changement, puisque ces données locales sont indispensables aux web-apps :

• Apple vient-elle de tuer les web apps hors ligne sur ses plateformes ?

Dans la foulée de l’annonce, le constructeur avait annoncé un changement : les web apps installées sur l’écran d’accueil d’iOS ne sont pas concernées par la mesure. Tant mieux, mais cela ne suffit pas dans tous les cas et deux développeurs sont montés au créneau pour réclamer un changement de politique, ou au moins un délai allongé. Il s’agit du gestionnaire de mots de passe 1Password d’une part, et du gestionnaire de notes Simplenote d’autre part.

L’un comme l’autre proposent une app pour macOS qui n’est pas du tout concernée par le changement, mais aussi un site web qui l’est. On peut utiliser 1Password et Simplenote uniquement dans un navigateur web, et accéder à tous ses mots de passe et toutes ses notes en lecture et en écriture. Pour ce dernier, la nouvelle politique peut conduire à perdre des données pour ceux qui utilisent la web app dans un navigateur sans connexion à internet. Jusque-là, les notes étaient toujours sauvegardées en local et synchronisées avec le serveur quand la connexion revenait. Avec Safari 13.1, si l’utilisateur attend sept jours avant de rouvrir le site pour le synchroniser, il aura tout perdu.

Dans le cas de 1Password, c’est la clé privée indispensable au déchiffrement des données qui est stockée dans les données locales du navigateur. Si ces données sont supprimées au bout de sept jours sans utilisation, l’accès aux mots de passe ne sera plus possible. Et potentiellement, cela pourrait conduire à une perte de données si l’utilisateur a créé un coffre local sans le synchroniser avec les serveurs du service, ce qui est possible et cela fonctionnait sans gros risque auparavant.

Dans les deux cas, cela ne concerne pas la majorité des utilisateurs, mais c’est une possibilité qui est utilisée par certains d’entre eux. Face à ces arguments, Apple a créé un rapport de bug en interne pour en discuter et peut-être faire évoluer sa politique. Pour l’heure, l’entreprise n’a pas fait de concession supplémentaire toutefois.