1Password va aussi stocker les clés d’accès des infrastructures serveur

Nicolas Furno |

1Password a présenté récemment une extension de son abonnement destiné aux entreprises. Avec 1Password Secrets Automation, il est désormais possible de relier son infrastructure serveur aux serveurs de 1Password.com pour y piocher des clés d’accès privées. Ce sera notamment utile dans le cadre des processus d’intégration continue (CI), ou encore pour gérer l’accès à une base de données ou à un serveur distant.

L’idée derrière cette nouvelle fonction est de déporter ces clés de sécurité dans le stockage en ligne sécurisé de 1Password. Ces clés peuvent déjà être stockées dans le gestionnaire de mots de passe, mais un serveur n’y avait pas accès jusque-là, il fallait qu’un humain copie et colle une clé, par exemple. Avec ce nouveau mécanisme, une entreprise peut ajouter à ses propres serveurs une application qui se connectera aux serveurs de 1Password pour récupérer les clés privées et les transmettre aux autres applications installées sur les serveurs.

Schéma fourni par 1Password : les clés de sécurité stockées dans le service en ligne de l’entreprise (en haut) sont fournies aux apps installées sur l’infrastructure serveur (en bas) via un serveur relai qui peut aussi être installé sur cette infrastructure (au milieu).

Cette nouvelle fonction est gratuite pour toutes les entreprises qui ont souscrit un abonnement 1Password Business, facturé 8 $ par mois et par utilisateur. La mise en place passe par l’installation de 1Password Connect, soit sur les serveurs de l’entreprise, soit sur un service de cloud type AWS ; les instructions sont disponibles à cette adresse, sachant qu’il est recommandé de passer par Docker ou Kubernetes. Une clé unique devra être générée pour faire le lien avec les serveurs du gestionnaire de mot de passe et une API permet ensuite aux apps serveurs de demander une clé privée.

Pour commencer, 1Password Secrets automation gère trois langages (Go, Node.js et Python) et quatre apps destinée à la gestion des serveurs (Ansible, Terraform, Kubernetes et Hashicorp Vault backend). L’API sous-jacente peut également être exploitée pour prendre en charge une app serveur qui ne l’est pas aujourd’hui, la documentation est disponible à cette adresse.

1Password.com oblige, l’accès aux clés privées est soumis au même contrôle granulaire que les mots de passe. L’administrateur peut ainsi accorder un droit d’accès à une partie des employés seulement, pour que seuls les administrateurs réseau puissent y avoir accès, par exemple.


avatar Tech | 

Je n’utilise plus 1Password. J’ai trouvé l’alternative d’une application à l’achat unique : SECRETS (iOS et macOS).
22 euros chacune et ça fonctionne de merveille. Maj régulièrement faites, une interface agréable. Que demander de plus ?

avatar nicolaspatate | 

@Tech

Bitwarden est gratuit et fait la même chose :-)

avatar Tech | 

@nicolaspatate

Rien n’est gratuit. C’est vous le produit.

avatar Kounkountchek | 

@Tech

Non c’est open source et gratuit

avatar armandgz123 | 

@Tech

Bien sûr qu’il y a des logiciels gratuits sans qu’on soit le produit...

avatar Tech | 

@armandgz123

Gratuit ? Mdrr il y a n’a qui croient toujours au Père Noël

avatar armandgz123 | 

@Tech

Les logiciels open source, LibreOffice tu connais ? Bah y’en a plein comme ça

avatar Tech | 

@armandgz123

Bien sûr. Il y a des gentils partout...

avatar armandgz123 | 

@Tech

À quel moment je dis ça ?

avatar Avenger | 

Un peu comme avec MacOs? MDR

Plus sérieusement, faut un peu arrêter de toujours balancer cette remarque bateau dès que l'on parle de gratuit.

Tous les développeurs ne sont pas de vautours à vouloir s'enrichir à tous prix. Certains ont l'intelligence de proposer de bonne solutions en trouvant un bon compromis financier permettant d'offrir une solution gratuite, mais limitée, et offre payante plus complète.

avatar Tech | 

@Avenger

Oui, et pour la version limitée, c’est les données personnelles qui remplace un abonnement ou un achat.
Arrêter de croire que nous vivons dans un monde merveilleux.

avatar Avenger | 

@ Tech,
Je suis bien conscient que nos sommes loin d'être dans un monde merveilleux et que des malveillantes existent. Mais de là à me dire que tout le monde est malveillant, il y a un pas que je ne franchis pas.

avatar Ron Dex | 

@Tech

Open source. On peut l’installer sur un NAS avec Docker ça fonctionne à merveille. 👌

avatar tupui | 

@nicolaspatate

Bof, le 2 factor est payant alors qu’avec KeePassium tout est gratuit. Et en local KeePassX.

avatar filaton | 

J'aimerais bien passer à Secrets, mais pas moyen de partager des éléments avec d'autres personnes :(

avatar Biking Dutch Man | 

@Tech

Que le modèle d’affaire ne passe pas à l’abonnement...

avatar hervemac | 

@Tech

Si c’est sûr iOS et macOS pour ne pas passer via le trousseau d’Apple ? C’est directement intégré et gratuit.

avatar YAZombie | 

Je crains que toute cette offre "entreprises" (dont je ne nie pas l'intérêt évident) ne rende 1Password une cible de plus en plus séduisante pour les hackers. J'espère qu'ils en prennent toute la mesure…

avatar Dev | 

@YAZombie

C’est effectivement se qui me bloque à passer sur ce genre de solution, la centralisation me fais peur, c’est comme si il y avais plus de diversité génétique pour se protéger d’une maladie 🥲😂

avatar koko256 | 

J'espère que l'API permettra de ne pas exposer la clé privée avec la partie signature du protocole exécuté directement sur les serveurs de 1password.

avatar tupui | 

@koko256

Ils sont pas si bête 😜 C’est très simple de faire de signer ses requêtes. Par exemple toutes les plateformes de crypto font du HTTPS plus signature du message. Rien n’est en clair même si HTTPS est cassé.

avatar koko256 | 

@tupui

Pour clarifier (la réponse est ambiguë), je ne veux pas dire que la clé est transmise sur un canal chiffré (encore heureux 🙃) mais que la clé ne sort même pas du serveur de 1password.

avatar tupui | 

@koko256

Ba en fonction de se que tu fais avec le secret il va bien falloir pourtant 🤷‍♂️ Comment signer une release ou passer des logins autrement ? Il faudrait que 1password implémentent une solution en concertation avec tous les acteurs (pas que GitHub mais pypi aussi par exemple) = improbable.

avatar koko256 | 

@tupui

Non c'est faisable facilement car tous utilisent TLS ou SSH (cela se fait déjà avec des dispositifs physiques). À voir si les ingénieurs de 1p sont bons ou non.

avatar Sometime | 

Mouais. Ca me parait un peu cher leur affaire. D’autant que chaque cloud provider a sa solution de management des secrets, souvent assez documentée pour les plus petites entreprises, et que les plus grosses ont tout autant de deployer leur propre solutions - tiens au hasard Hashicorp vault qui est mentionné ou meme Ansible Vault.
Mais il doit bien y avoir un marché...

CONNEXION UTILISATEUR