1Password : 620 millions de dollars supplémentaires pour bâtir « le futur de la cybersécurité »

Stéphane Moussie |

Après une première levée de fonds de 200 millions de dollars en 2019 puis une seconde de 100 millions l'année dernière, 1Password fait exploser les compteurs en annonçant un nouveau tour de table de 620 millions de dollars, un record pour une société canadienne. Avec cet argent frais provenant de divers investisseurs (dont quelques noms qui claquent, comme Bob Iger, Scarlett Johansson et Pharrell Williams), 1Password est valorisé à 6,8 milliards de dollars.

Le projet d'Universal Sign On de 1Password.

À quoi vont servir toutes ces pépètes ? Non pas à faire une nouvelle application Mac tirant parti des technologies d'Apple comme cela avait été le cas jusqu'à présent, 1Password 8 exploitera bel et bien Electron1, mais à faire grandir la société à vitesse grand V et à mettre les bouchées doubles sur le marché des entreprises.

1Password 8 : la « trahison » Electron

1Password 8 : la « trahison » Electron

« De début 2020 à aujourd'hui, nous nous sommes développés sans relâche. Nous sommes passés de 177 personnes à 570. […] Nous voulons continuer d'investir dans nos équipes et doubler de taille une nouvelle fois cette année », déclare Jeff Shiner, le CEO de 1Password, auprès de Protocol. Les centaines de millions amassés serviront également à faire des acquisitions stratégiques, comme l'entreprise l'a fait l'année dernière en s'adjoignant les services de SecretHub.

Le gestionnaire de mots de passe qui a fait ses débuts sur Mac en 2006 compte maintenant 100 000 clients professionnels. Les nouveaux objectifs sont simplement de « bâtir le futur de la cybersécurité » et « faire utiliser 1Password à tout le monde, car tout le monde a besoin de 1Password », assure Jeff Shiner. Vraiment ? Les systèmes d'authentification proposés par Google, Apple et d'autres ne rendent-ils pas les gestionnaires de mots de passe obsolètes ? Le CEO de 1Password n'est pas de cet avis :

La page de connexion de l'Epic Games Store propose au moins huit choix. […] Si vous regardez la situation aujourd'hui, vous pouvez vous connecter avec un identifiant accompagné d'un mot de passe, ou bien via Google, ou bien via le système d'authentification de votre entreprise, ou bien encore grâce à WebAuthn. Cela devient de plus en plus compliqué pour les gens, en particulier pour ceux qui ne s'intéressent pas à la sécurité et qui veulent juste que ça marche.

Nous pouvons simplifier les choses en disant hey, ouvrez 1Password, choisissez l'app que vous essayez d'utiliser et nous ferons en sorte pour que vous puissiez vous connecter rapidement. Sous le capot, nous aurons peut-être des mécanismes et des services différents, mais du point de vue de l'utilisateur final, cela permettra deux choses : une connexion facile et une aide pour adopter ces nouvelles technologies.

Jeff Shiner décrit ici l'« Universal Sign On », un projet maison visant à simplifier la connexion quel que soit le système d'authentification utilisé. C'est l'une des idées mises en avant par l'éditeur dans sa « vision du futur » publiée à l'occasion de la levée de fonds. La plupart des nouveautés à venir sont dédiées aux entreprises, mais certaines trouveront peut-être un écho auprès des abonnés particuliers2, comme l'ajout de lieux auxquels on pourra lier des éléments de son coffre-fort.

Avec tout cet argent, Jeff Shiner ne s'interdit pas non plus de « faire les gros paris nécessaires pour entrer dans de nouveaux domaines et vraiment voir avec quelle ambition nous pouvons atteindre nos objectifs. » 1Password bientôt dans le métavers ?


  1. Avec un back-end en Rust, l'éditeur tient à cette précision.  ↩︎

  2. Fini le coffre-fort local et la licence perpétuelle, 1Password 8 nécessitera un abonnement.  ↩︎

avatar leococo | 

Bitwarden :)

avatar RonDex | 

@leococo

Ouais… Je songe depuis un moment à switcher sur Bitwarden. D’autant plus que je peux l’installer facilement sur mon NAS avec Docker.

avatar nespresso92 | 

@RonDex

J'ai tenté l'expérience mais j'ai fait machine arrière.
Le transfert des données de 1P ne se font pas complètement. Toutes les informations (notes, pièces jointes) ne sont pas transférées.

L'expérience utilisateur sur Mac est particulièrement contraignante avec des demandes à répétition du mot de passe Master.

Bref, un transfert à la main de moins de 50 entrées why not, au dessus c'est une vraie charge de travail.

Cela ne coûte que $10 mais la souscription est obligatoire pour utiliser le 2FA.

avatar Shralldam | 

Très bien pour eux. Mais je reste sur ma solution NAS + Bitwarden. Ça fait environ 2 ans que j'ai franchi le cap et malgré une ergonomie légèrement en retrait (on n'a pas autant de types de champs que dans 1P), ça fait parfaitement le job, et gratuitement.

avatar shaba | 

Bitwarden en complément de Trousseau et c’est parfait.
D’ailleurs pour ceux que ça intéresse, j’ai pu placer l’icône de trousseau directement sur mon écran d’accueil grâce à raccourcis.
Il suffit de demander à ouvrir l’URL prefs:root=PASSWORDS et de placer le raccourci sur l’écran, ca fait gagner pas mal de temps et on croirait avoir une app traditionnelle de gestionnaire de mots de passe.

avatar colossus928 | 

@shaba

Merci pour l’astuce

avatar amonbophis | 

Bitwarden me fait de l’œil, mais j’ai l’impression que c’est compliqué à installer. Il y a des tutos qui existent?

avatar Danila | 

@amonbophis

C’est assez simple, essayes tu verras ;)

avatar Shralldam | 

@amonbophis

Plouf : https://borismallach.fr/installer-bitwarden-sur-un-synology-avec-docker/

C'est effectivement très simple. Pour ma part, j'ai acheté un nom de domaine et avec le reverse proxy intégré dans le DSM du Syno, je pointe très facilement vers mon installation de Bitwarden, où que je sois.

avatar amonbophis | 

merci
J'ai un asustor, je vais regarder un peu

avatar pharma98 | 

@Shralldam

C’est mieux que l’application iOS Bitwarden ?
Car mon NAS Syno est pas compatible Docker (DS215J)

avatar Shralldam | 

@pharma98

C'est juste un complément. Je pense que l'application iOS peut fonctionner de manière autonome (pas testé), mais du coup tout est stocké sur le téléphone, et si ce dernier est perdu/volé/réinitialisé, c'est fini pour les données. En gros, l'installation sur le Syno c'est pour la synchro entre appareils.

Il y aurait moyen d'installer Bitwarden sur un Syno sans Docker, mais c'est visiblement plus compliqué, il faut installer Entware/opkg puis installer des dépendances ruby, etc, le tout en ligne de commande…

avatar RonDex | 

@amonbophis

C’est très simple à installer, sur ton moteur de recherche tu trouveras tout ce qu’il faut. Je l’ai installé sans souci sur mon DS918 avec Docker

avatar Danila | 

J’utilise Bitwarden et j’en suis pleinement satisfait :)
Gratuit, autant sécurisé que les autres gestionnaires (enfin me semble-t-il) open-source, multi plateforme et compatible Apple Silicon, que demande de plus le peuple

avatar nespresso92 | 

@Danila

Gratuit oui mais sans utilisation du 2FA. La souscription est obligatoire pour cette option, désormais requise sur de nombreux sites.

avatar reborn | 

Un cerveau, retenir ses mots de passe.

🙂

avatar Jeckill13 | 

@reborn

Tout dépend du nombre d’identifiants à retenir. J’en ai pas loin de 500, tous unique et complexe avec minimum 25 caractères majuscules, minuscules, chiffres et symboles… donc à moins d’avoir une mémoire eidétique et encore, c’est impossible à gérer de façon sécurisé, pratique et rapide.

avatar lepoulpebaleine | 

@Jeckill13

Pareil, plus de 500 identifiants avec mots de passe aléatoires. À ce niveau là, le cerveau humain ne peut pas suivre !!

avatar lmouillart | 

Je vais prendre mon exemple : j'ai exactement 366 mots de passe différents avec entre 16 32 caractères aléatoires parmi une possibilité de ~ 200.
Certains sites je les utilise une fois tous les 4 ans dont ça semble quand même assez compliqué.

avatar jerome74 | 

un cerveau, oui. retenir les mots de passe, non car ils DOIVENT être uniques. Mais un mini-algoritme qui permet de générer de tête un mot de passe unique pour chaque nom de service, ça c'est assez facile, ça marche bien et ça permet de ne pas dépendre de tous ces trucs à la noix. Exemple simplifié: mon mot de passe de base c'est toto123. macg, ça commence par un M et il y a 1 voyelle -> mon mot de passe pour macg, c'est toto123m1

avatar YetOneOtherGit | 

@jerome74

"Mais un mini-algoritme qui permet de générer de tête un mot de passe unique pour chaque nom de service, ça c'est assez facile"

Et illusoire 😎

avatar Wutanggg | 

@jerome74

Et comment faire quand différents sites demandent différentes combinaisons ?
J’ai un site qui exige un PIN de 8 chiffres, un autre alpha numérique entre 8 et 16 caractères
Un autre de pas plus de 24 caractères mais avec au moins 1 caractère spécial, un chiffre et une majuscule sans répétition, etc etc.

avatar lmouillart | 

Ou quand il faut changer de mots de passe tous les mois sans avoir les 12 précédents.
Ou en allant à des moments différents dans des entreprises avec des règles différentes. C'est ingérable.

avatar jerome74 | 

@lmouillart effectivement la plaie c'est les sites qui te forcent à changer de mot de passe régulièrement, heureusement ils sont vraiment très rares (c'est d'ailleurs une très mauvaise pratique). Après il y a toujours quelques exceptions, genre certains sites qui refusent les ponctuations ou même les lettres… Mais tant que le mot de passe a 12 à 16 caractères, dont au moins 2 minuscules, 2 majuscules, 2 chiffres et 2 ponctuations, c'est accepté par 95% des sites. J'avoue que j'ai 2 ou 3 variantes de mon algoritme et que j'ai une liste des sites où j'utilise une variante et laquelle, mais elle n'est pas très longue…

avatar julien74 | 

@jerome74

Oui donc très faible entropie entre tous tes mots de passe.
En tout cas bien plus crackable (le fait qu’un hacker en veuille à TES mots de passe est un autre débat) qu’un gestionnaire de mot de passe qui a généré un mdp de 16 caractères minimum avec symboles, chiffres, uppercase et lowercase….

avatar YetOneOtherGit | 

@reborn

"Un cerveau, retenir ses mots de passe."

C’est la porte ouverte aux plus mauvaises pratiques de sécurité:
- Mots de passe faible
- Réutilisation du même mot de passe

Un gestionnaire de mdp est aujourd’hui incontournable et pour ceux qui sont dans l’écosystème d’Apple le trousseau sur le Cloud a largement contribué à améliorer le niveau moyen des pratiques : en proposant la génération de mdp fort et en signalant les risques de réutilisation de mdp.

avatar julien74 | 

@reborn

Je suis partisan d’avoir un outil pour ce genre de chose. Et du coup d’avoir des mots de passe complètement aléatoires les uns par rapports aux autres.
Sans outils, quelle est ta méthode pour lier ton mot de passe avec le site?

avatar koko256 | 

Je comprends mieux leurs tarifs prohibitifs... il faut payer la dette... (ils n'ont pas entendu, le koakilenkut c'est fini)

avatar Jeckill13 | 

@koko256

Et leur politique de réduction des coûts de développement en utilisant des framworks, obligation d’abonnement et suppression de la version achat unique pour Mac. Forcément avec des investisseurs qui balance du pognon dans ta boîte, ils demandent un retour sur investissement.

avatar YetOneOtherGit | 

@Jeckill13

"ils demandent un retour sur investissement"

Toujours surpris que l’on s’offusque qu’une entreprise fasse son boulot: croissance et profitabilité. 🤑

avatar Jeckill13 | 

@YetOneOtherGit

Non je ne m’offusque pas qu’un investisseur demande une retour sur investissement, c’est un peu pour ça qu’il investi, ce qui me dérange c’est la plupart du temps ce retour sur investissement est dégagé en abaissant la qualité. Après avoir récolté des utilisateurs en développant un service et des applications de qualité, ensuite on réduit les coûts de développement en utilisants des framworks abaissant la qualité de l’application. Si on nous justifie l’abonnement pour des questions de croissance et de développement et investissement, du coup comment justifier de faire du développement de 💩 autrement que par le désir d’augmenter ses marges et abaisser ses les coûts ?

avatar YetOneOtherGit | 

@Jeckill13

"justifier de faire du développement de 💩"

Seule l’évolution futur de taux d’adoption dira si c’est ou non du développement de merde 😉

S’ils gagent en utilisateurs de façon durable avec ces nouvelles versions, les choix techniques sont les bons. 😎

Je sais c’est détestable 😉

avatar Derw | 

@YetOneOtherGit

« Seule l’évolution futur de taux d’adoption dira si c’est ou non du développement de merde 😉 »

Non non. L’évolution future nous dira si c’est ou non un choix comptable de merde. Le développement, lui, reste ce qu’il est… Si j’ouvre un restaurant qui vend de la merde et que tout le monde vient y manger, j’aurais fait un bon choix comptable, mais la bouffe restera de la merde…

Ceci dit, content de vous revoir, cela faisait longtemps 😉

avatar YetOneOtherGit | 

@Derw

"Le développement, lui, reste ce qu’il est… "

Le développement est au service de la santé du business, je sais: ça fait mal. 🤑

Et une solution sous Electron pour inélégante qu’elle soit peu être un excellent choix.

avatar YetOneOtherGit | 

@Derw

"Ceci dit, content de vous revoir, cela faisait longtemps 😉"

🙏🖖

Et tous mes vœux 👍

avatar YetOneOtherGit | 

@Derw

"Si j’ouvre un restaurant qui vend de la merde et que tout le monde vient y manger, j’aurais fait un bon choix comptable, mais la bouffe restera de la merde…"

Aucune importance 😎

Le seule critère d’évaluation de la pertinence d’une démarche produit: le business.

Si ça se vend, s’il y a de la croissance, si c’est profitable: le restaurateur fait bien son boulot 🤑

Les tech l’oublient hélas trop souvent 😉

Le nb de code review qui me donne envie de vomir 🤢 🤮mais les chiffres disent hélas autre chose 😪

avatar DahuLArthropode | 

@Derw

Je l’utilise aussi sur Windows où la bascule a déjà eu lieu. Rien remarqué.
Un gestionnaire de mdp n’est pas une application qu’on utilise en continu. Le plus souvent, on se sert uniquement de l’extension depuis un navigateur.
Bref: selon moi, aucun impact sur l’expérience utilisateur, comme on dit aujourd’hui.

avatar Derw | 

@DahuLArthropode

Ma remarque n’était pas une critique sur le choix technique de 1Password, mais juste une critique réthorique sur la phrase de @Yet… qui laissait sous-entendre que de façon générale, si un choix comptable produisant du code de merde arrive à un succès comptable, ce n’est plus un code de merde. Ba en fait si ! 😉

D’un point de vue personnel, je ne suis pas fan des apps qui s’appuient sur un framework web, mais je reconnais volontiers qu’il est des cas où ce n’est pas un gros problème. Vue la façon de se servir de 1Password, comme vous l’avez bien expliqué, on entre dans ce cas de figure. Si je quitte 1Password un jour (ce qui est très probable), ce ne sera pas pour cette raison mais pour un abonnement qui deviendrait obligatoire…

avatar YetOneOtherGit | 

@Derw

"qui laissait sous-entendre que de façon générale, si un choix comptable produisant du code de merde arrive à un succès comptable, ce n’est plus un code de merde. Ba en fait si !"

Soyons honnête: les solutions en production reposant sur un code et une architecture réellement élégant et respectant vraiment les fondements de la qualité logicielle c’est la portion congrue 😉

Et quelques soit nos goûts pour le beau code, la belle architecture logicielle, le respect du manifeste software craftsmanship, des techniques de test et d’intégration rigoureuse, une gestion intelligente du cycle de vie … au final la seule pierre de touche d’une activité économique tel un produit commercial est et reste justement le bon vieux pragmatisme économique.

Bien des techniciens, moi le premier l’oublient ou ne veulent pas le voir tant c’est déprimant, mais nos fantasmes de perfection et de beauté d’ingénieur sont parfois bien vain et illusoires 😉

avatar YetOneOtherGit | 

@Derw

"D’un point de vue personnel, je ne suis pas fan des apps qui s’appuient sur un framework web, mais je reconnais volontiers qu’il est des cas où ce n’est pas un gros problème. Vue la façon de se servir de 1Password, comme vous l’avez bien expliqué, on entre dans ce cas de figure"

Nous sommes donc d’accord 😉

Mais évidemment: Electon sucks 🤢

avatar Derw | 

@YetOneOtherGit

« Nous sommes donc d’accord 😉 »

Sur ce sujet, à priori oui. Ce n’est pas souvent, alors profitons-en ! 🥂

Reste qu’avoir conscience du fait que les choix financiers priment généralement sur la qualité du code, ne doit pas entraîner chez les développeurs un renoncement. Pour MOI, un produit technique industriel est le résultat de compromis. Si les développeurs qui défendent la qualité (ils ne sont pas si nombreux) baissent les bras, le compromis final sera déséquilibré, ce qui pourrait (conditionnel) finalement entraîner des problème financiers…

Chez le client pour qui je travaille depuis quelques années, le financier a tellement sapé le dev qu’ils commencent à avoir des soucis de recrutement. À ça s’ajoute un début d’hémorragie des devs consciencieux (les autres, bizarrement ne cherchent pas à partir). Heureusement, ils semblent avoir pris la mesure du problème et commencent doucement à revoir leur management…

avatar YetOneOtherGit | 

@Derw

Étant donné la qualité moyenne des « dev in name only » 😉

Blague à part la sensibilisation des entreprises sur les enjeux de dette technique et de coûts à moyen long/terme d’économie courtermiste recommence à porter ses fruits dans pas mal d’entreprises.

Le concept de qualité logiciel n’est plus une idée de vieux cons d’un autre temps 😉

avatar YetOneOtherGit | 

@Derw

"Sur ce sujet, à priori oui. Ce n’est pas souvent, alors profitons-en ! 🥂"

Pas si certains au fond 😉

Le dispositif des échanges créé des clivages parfois artificiels 😎

avatar YetOneOtherGit | 

@Derw

"ce n’est plus un code de merde"

Et si tu aimes ma belle ouvrage un beau livre :

https://www.oreilly.com/library/view/beautiful-code/9780596510046/

Quelques grands parlant de quelques morceaux de bravoure dont ils sont fiers: Brian Kernighan, KarlFogel, Jon Bentley, Tim Bray, Elliotte Rusty Harold, Michael Feathers,Alberto Savoia, Charles Petzold, Douglas Crockford, Henry S. Warren,Jr., Ashish Gulhati, Lincoln Stein, Jim Kent, Jack Dongarra and PiotrLuszczek, Adam Kolawa, Greg Kroah-Hartman, Diomidis Spinellis, AndrewKuchling, Travis E. Oliphant, Ronald Mak, Rogerio Atem de Carvalho andRafael Monnerat, Bryan Cantrill, Jeff Dean and Sanjay Ghemawat, SimonPeyton Jones, Kent Dybvig, William Otte and Douglas C. Schmidt, AndrewPatzer, Andreas Zeller, Yukihiro Matsumoto, Arun Mehta, TV Raman,Laura Wingerd and Christopher Seiwald, and Brian Hayes. 👀

avatar Derw | 

@YetOneOtherGit

👍

avatar Tomtomrider | 

@Jeckill13

Les geeks que nous sommes crient au scandale d’électron et de l’abaissement de la qualité comme vous dites, mais les millions de lambda qui ne lisent pas macg s’en cognent. Si une grosse machine marketing se lance, qu’ils pénètrent les entreprises et qu’ils conservent en plus plein de gens sur Mac qui paieront parce la flemme de changer, pas le temps, pas les compétences etc ils auront eu raison. Ils peuvent se passer des geek. Geek qui iront vers une nouvelles solutions plus ceci plus cela et l’histoire recommencera 🤷🏻‍♂️

avatar YetOneOtherGit | 

@Jeckill13

"Et leur politique de réduction des coûts de développement en utilisant des framworks"

Pour inélégante qu’elle soit techniquement la croissance des usages dex framework issues de technologies Web semble être un mouvement difficilement évitable.

L’apport du natif est économiquement très discutable sur de nombreux usages en multi-plateformes 😎

Je déteste conceptuellement, mais pragmatiquement c’est plus que rationnel 😎

avatar YetOneOtherGit | 

@koko256

"il faut payer la dette"

Une levée de fonds en apport de capital n’est pas un prêt et donc pas une dette à rembourser 😉

avatar YetOneOtherGit | 

@koko256

"leurs tarifs prohibitifs"

Les tarifs sont visiblement porteurs d’avenir commercial, le fait qu’ils semblent prohibitifs à ta personne n’a strictement aucune importance 😎

avatar Tomtomrider | 

@koko256

Quelle dette? J’ai pas vu de dettes dans l’article ni d’autres. J’ai raté un truc ?

Pages

CONNEXION UTILISATEUR