1Password profite de la fin de Manifest V2 pour inciter ses utilisateurs à mettre à jour
1Password signale aux utilisateurs restés sur la version 7 que les extensions pour les navigateurs web ne fonctionneront plus « bientôt ». D’après la liste des changements proposée par le site officiel, c’est même la seule nouveauté de la version 7.9.10 qui est distribuée depuis le 17 avril. Vous avez été quelques-uns à nous prévenir de ce qui ressemble à un effort de pédagogie de la part de 1Password ou alors à une nouvelle manière de pousser ses utilisateurs vers la nouvelle version et son abonnement obligatoire, selon les points de vue.
En regardant le verre à moitié plein, les créateurs de 1Password préviennent de la fin des extensions Manifest V2, un arrêt qui n’est pas de leur fait, puisqu’il a été décidé par Google. Pour rappel, le créateur de Chrome veut imposer Manifest V3, un nouveau format pour les extensions web qui sont utilisées par son propre navigateur web, par toutes les variantes (dont Edge de Microsoft) et aussi par Firefox. Ce nouveau format, en préparation depuis des années, impose aux développeurs des restrictions plus fortes, inspirées notamment par ce qu’Apple a fait avec Safari.
Bloqueurs de pubs : Chrome pourrait s'inspirer de Safari, ce qui n'arrange pas uBlock Origin
Manifest V3 n’est pas un changement populaire, c’est encore peu de le dire. Il devait entrer en vigueur en 2023, mais face aux plaintes des créateurs d’extensions web, et tout particulièrement celles qui bloquent du contenu et qui sont le plus touchées, Google a accepté de maintenir Manifest V2 d’abord jusqu’en 2024 et puis finalement jusqu’à nouvel ordre. Le calendrier actuel indique que la date de fin pour les anciennes extensions est toujours en discussions, si bien qu’on ne sait pas quand cela arrivera.
Chrome : Google repousse la fin de Manifest V2 à 2024
Chrome : Google repousse une fois de plus la fin de Manifest V2
Le contexte posé, revenons à 1Password. La version 7 fonctionne avec des extensions web dites « classiques » qui reposent sur Manifest V2 pour Chrome, Brave, Edge et Firefox1. À cet égard, le gestionnaire de mots de passe fait bien de prévenir qu’elles seront un jour condamnées, même s’il pourrait aussi bien offrir des extensions Manifest V3 à ses utilisateurs. C’est d’ailleurs ce que l’entreprise a fait, mais uniquement pour 1Password 8, la dernière version qui ne fonctionne pas sans abonnement alors que l’on pouvait encore acheter une licence finale pour 1Password 7.
Même si on considère que 1Password 7 est désormais un produit abandonné, le message d’avertissement est a minima exagéré, pour ne pas dire trompeur. La fiche support diffusée par le gestionnaire de mots de passe alerte sur la fin prochaine de ces extensions et indique que cela interviendra en 2023, alors que Google a repoussé la transition jusqu’à nouvel ordre. La fiche a été publiée en mars dernier, c’est-à-dire après la nouvelle décision du géant de la recherche. On peut difficilement imaginer que les créateurs de l’app n’étaient pas au courant de ce changement, qui est loin d’être passé inaperçu.
Pour ne rien arranger, 1Password 7 renvoie vers cette fiche support quand on veut installer son ancienne extension… bloquant au passage l’installation elle-même. J’ai testé sur un deuxième Mac et il semble bien que je ne peux pas installer d’extension pour 1Password 7 dans Firefox. Le mécanisme intégré à l’app me renvoie sur la fiche support sans rien installer, tandis qu’une recherche sur la liste de plugins du navigateur me permet seulement de récupérer la nouvelle version, uniquement compatible avec 1Password 8.
1Password semble avoir trouvé une nouvelle manière de pousser ses utilisateurs restés à la version 7 vers sa nouvelle app et ses offres d’abonnement. Quitte à mettre un terme précoce à ses anciennes extensions, qui devraient pourtant continuer de fonctionner sans encombre pendant encore plusieurs mois, voire années.
-
Safari est géré à part, avec une extension intégrée à l’app principale. De ce fait, l’extension pour le navigateur web d’Apple peut toujours s’installer et elle fonctionne sans problème avec 1Password 7. ↩︎
Incitation réussie.
Je suis parti.
Bon vent
Je suis resté à la version 7, l’abonnement à vie, très peu pour moi 😉…
@Gromeul
Idem
Heureusement qu'en 2023, d'excellentes alternatives à 1password existent. De mon côté je suis passé sur Enpass, auto-hébergé et avec une licence à vie.
@huguesdelamure
Pas de partage, il me semble ? C'est vraiment ce qui me retient à 1Password, mais le jour où le trousseau iCloud propose ça, je pense que je n'aurai plus vraiment de raisons…
@nicolasf
Idem pour moi c’est le partage de coffre qui est excellent sur 1Password.
@nicolasf
La seule chose qui me retient c’est d’y avoir accès sur Android, mais j’ai commencé ma migration sur Bitwarden.
Enpass en license perpetuelle n'est plus dispo apparement ... 🙁
@magic.ludovic
Toujours dispo sur leur site web pour 93€
@huguesdelamure
Oui, Bitwarden sur mon DS918 avec Docker. Ça tourne très bien.
Même si pour le moment je dois encore sûr 1Password. Le problème c’est l’import des données de l’un à l’autre.
Je n’ai pas juste des mdp pour les sites internet, j’ai des données dans toutes les catégories. J’ai essayé l’importation des Bitwarden, et il y a ½ des infos qui ne sont pas importé : sous sections, pièces jointes, catégories entières…
Oh waou, c’est brutal, surtout si l’installation est intentionnellement bloquée alors même qu’elle pourrait encore fonctionner, et ce pour une licence « PERPÉTUELLE »…! Être une entreprise canadienne ne change pas grand chose au traitement de la clientèle fidèle…
Est-ce que vous savez si c’est le genre de choses qu’on peut télécharger sur un site tiers de confiance ? Un fichier d’installation pour la retrouver si on réinitialise ou change d’ordinateur ?
J’ai l’impression que Safari est (pour le moment) epargné, l’extension étant intégrée à l’app 1Password 7 ?
Ou alors il faut s’interdire de mettre l’application à jour au cas où cela bloque dans le futur sans prévenir ?
Merci d’avance pour vos avis et conseils ! 🙏
@Lu Canneberges
En effet, Safari est totalement différent et j'ai pu l'activer sans problème avec 1Password 7. C'est une bonne remarque, je vais le préciser dans la news.
Les méthodes de 1Password sont vraiment détestables. Ça fait longtemps que je suis parti ailleurs (Secrets, puis iCloud Keychain, et j’évalue en ce moment Bitwarden). 1Password est vraiment cher pour ce qu’il offre.
Je viens de renouveler mon Bitwarden Premium qui coûte la somme considérable de 10$ par an. À ce prix je peux mettre des clefs TOTP qui m'évitent de chercher mon iPhone quand je veux me connecter à un site qui demande une double authentification. De plus, j'ai pu désigner des proches qui peuvent demander à voir mon coffre quand ils le désirent. À charge pour moi de refuser cet accès dans un délai imparti (j'ai choisi 14 jours). En clair, si je perd mon mot de passe maître j'ai une roue de secours efficace et sûre. Une fois le tiers désigné, il le reste même si on ne renouvelle pas l'abonnement.
Si ces fonctions ne vous intéresse pas, Bitwarden est gratuit. Un excellent argument pour inciter les proches à l'adopter et les désigner comme tiers de confiance (un tiers peut utiliser la formule gratuite).
Merci pour ton retour.
Je suis resté à la version 6... je ne passerai pas à l'abonnement pour ce produit. J'ai commencé une transition douce vers le trousseau iCloud, je vais tranquillement la terminer...
Moi aussi, mais je crois qu'elle n'est plus compatible avec macOS Ventura, sauf erreur de ma part. Je suis resté sous Monterey.
Arg merci de l’info, ces changements de formats d’extensions sont pénibles.
Au cas où pensez à sauvegarder le profil navigateur qui contient les extensions en xpi (en tout cas pour Firefox). Ça n’empêchera pas de ne plus fonctionner comme indiqué quand le navigateur sera mis à jour mais reste pratique d’ici là pour les remettre :)
Toujours utilisé le trousseau d'Apple sans rien payer, ça marche très bien...
@properso
... mais ça ne fait pas la même chose.
Ca fait quoi 1Password ? je n'ai jamais testé..
J'ai toujours imaginé que c'était pour gérer les mots de passe , c'est pas ça ?
@properso
1Password a beaucoup de concurrents. Pour tous ou presque :
— on y stocke toutes sortes d’informations à conserver et à protéger, pas seulement ses mots de passe en ligne (papiers d’identité, code de l’alarme, infos bancaires, licences logiciel, etc.)
— on leur ajouter des champs et/ou des sections selon son besoin, des photos de docs et/ou des fichiers
— il y a des fonctions de partage plus ou moins élaborées selon les outils
— gère l’authentification à deux facteurs pour les sites qui le gèrent
— multiplateforme (j’ai accès à mes mots de passe partout) — mais ça, le trousseau le fait aussi, quoique moins confortablement (il faut taper un code à 6 chiffres sous Windows)
— watchtower, diverses fonctions de suivi des sites compromis
— historique (par exemple, retrouver un ancien mot de passe)
ok, je comprend l'intérêt, c'est une sorte de mini base de données en plus des mots de passe...
ce n'est pas inintéressant...
Après toutes ces données très confidentielles se baladent sur le cloud, on a pu voir que tous systèmes peut avoir des failles, ou fuites de données, même ce qui est à priori inviolable. Du coup, pour ma part, je n'utiliserai pas forcément ce système, tous mes mots de passe sont sur mon disque dur en local mais dans un fichier protégé... Je sais, ce n'est pas non plus très sécuritaire, mais déjà l'ordinateur a un mot de passe + le fichier, ça fait une double protection...
@properso
Ces logiciels utilisent en général une clé de cryptage que tu es seul à posséder, ce qui rend les données inutilisables en cas de vol (et irrécupérables si tu perds la clé). LastPass a été piraté, mais les mots de passe n’ont pas été obtenus.
Ceci dit, certaines solutions (keepass, bitwarden, sans doute d’autres) te permettent aussi de conserver les données chez toi, cryptées.
@DahuLArthropode
des sauvegardes contenant des mots de passe chiffrés ont été obtenues je crois. Quand à la clé, dépendante du mot de passe maitre, sa “force” reste théoriquement liée a celle du mot se passe maitre…
bref ce n’est pas aussi rassurant pour certains.
@Sometime
Je te recopie quelques lignes piquées sur Clubic (un article consacré aux piratages de LastPass et à leurs diverses négligences):
« Petite précision, il ne faut pas confondre un mot de passe chiffré (qui suppose donc qu'il existe un moyen de le déchiffrer) avec un mot de passe salé et haché, qui va être transformé, auquel on va ajouter des caractères et qui ne fonctionne qu'à sens unique (en d'autres termes, qui est beaucoup plus sécurisé qu'un mot de passe simplement chiffré). »
@DahuLArthropode
Cela ne change pas grand chose a l’affaire. en l’espèce ce passage est surtout applicable aux autres services annexes qui ont aussi semble il été piratés.
Concernant le service de gestionnaire de mots de passe lui-meme, dans le cadre de mots de passe sauvegardés en ligne et chiffrés, il faut bien - comme d’ailleurs le mentionne l’article de Clubic - pouvoir le déchiffrer. Saler ou hasher n’entre donc pas forcément en compte dans ce cas-ci.
@Sometime
Je ne comprends pas la même chose que toi, mais je conclus quand même comme toi.
Simplement, pour les lecteurs qui connaissent mal ces solutions (c’est l’origine de ce fil), ils doivent savoir que le vol des données — chez LastPass en l’occurrence — ne suffit pas à révéler leurs mots de passe, à condition en effet que leur mot de passe maître résiste à la force brute.
Et s’il ne font pas confiance à un tiers (1P, trousseau Apple, etc.), il y a des solutions qui permettent d’avoir son coffre chez soi, avec d’autres inconvénients et en renonçant à l’accès distant —,sans quoi on reste exposé au vol.
@properso
Mieux organisé que trousseau, carte de crédit, mot de passe des réseaux wifi… et partage avec mon android
je comprends l'utilisation pour certains...
pour ma part, je préfère garder le mode natif de iCloud qui est sans doute moins performant, mais pas dépendant d'une application tierce, c'est juste mon choix, mais je ne critique pas non plus ceux qui ont cette application, elle a quand même aussi un certain intérêt...
Quand à la sécurité des données, à partir ou c'est sur le Cloud, pour moi, il y a un risque de piratages... Combien de fois, j'ai pu lire des fuites de données sur des sites soi-disant sécurisé...
@ properso
"Quand à la sécurité des données, à partir ou c'est sur le Cloud, pour moi, il y a un risque de piratages... Combien de fois, j'ai pu lire des fuites de données sur des sites soi-disant sécurisé..."
Cela revient à se dire que, comme les holdups existent, c'est risqué de placer des objets de valeur dans un coffre en banque.
Cela me fait toujours sourire cette façon de croire qu'on est mieux à même de protéger ses données que d'utiliser des services, utilisant des méthodes de sécurité quand même sérieuses, derrières lesquels il y a des personnes avec, malgré tout, un sérieux bagage technique.
On ne parle pas ici de dossiers ou documents stockés en vrac sur un service Cloud. Mais de fichiers hautement chiffrés. Un peu comme on peut sécuriser ses fichiers, dans le Cloud, avec des services comme Cryptomator, BoxCryptor.
@Avenger
Oui, croire que parce que l’on a mis les billets sous le matelas c’est plus sécurisé que dans un coffre à la banque est surprenant, comme croire que l’on va mieux sécuriser son fichier s’il est présent sur son ordi que dans le cloud. La seule manière de sécuriser l’ordinateur c’est de le couper d’internet et de filtrer les fichiers qui rentre.
@properso
Le trousseau est sur le cloud également.
Je suis resté sur 1p v7 en license à vie, mais je n’utilise pratiquement que Safari donc ça va.
Et les quelques fois où j’utilise Brave, il y a 1Password Mini qui se trouve dans la taskbar et qui fait le taff (certes, il faut copier-coller les credentials).
J’aime bcp 1p, mais pas au point de souscrire à un Nième abonnement à vie pour ça.
c'est pratique hein ces apis qui ne vivent qu'un temps
ces "on a tout refait en mieux! mais du coup ça marche plus votre truc qui marchait"
-
je n'ai aucune intention de mettre à jour quoi que ce soit.
Je suis actuellement sur Dashlane, sans regret, mais j'ai toujours peur qu'un de ces outils dans le cloud soit hacké un jour. C'est peut-être difficile à l'heure actuelle, mais qu'en sera-t-il dans cinq ou dix ans ?
Bref, je songe à revenir au fichier de tableur hors-ligne, voire au papier, quitte à avoir des mots de passe moins longs (avec Dashlane, je génère des mots de passe de 40 caractères, dont des spéciaux)
@ III
Dans 5 à 10 ans, les mots de passe auront laissé la place aux passkeys.
https://www.macg.co/macos/2022/06/passkeys-le-futur-sans-mots-de-passe-se-conjugue-au-present-129543
Les gens vivent dans un monde de bisounours ! Croire que l’on peut bénéficier d’une licence perpétuelle ou à vie n’est que pure illusion. Vous la vendre ainsi n’est que pur marketing.
Économiquement, ça n’a aucun sens. Alors arrêtez de vous plaindre !
@fabian
Vous vous êtes déjà frotté à la FTC, notamment sa Division of Advertising Practices ? Non ? C’est une expérience très instructive. Éducative, même. Ne manquez pas d’en profiter, si vous en avez l’occasion.
Et revenez nous étayer votre vision d’un « monde de bisounounours » après cette expérience. Votre public sera captivé.
@fabian
Aucun sens sur le plan capitaliste… tu veux dire.
Monterey reste compatible avec ma version 6, achetée le 30 octobre 2015 ! L'autoremplissage ne fonctionne plus sur Mac mais je paie beaucoup sur mon mobile Android 10, et la synchronisation via Dropbox, en panne un temps, a été réparée, ce qui me permet toujours de créer de nouveaux MDP et autres identifiants pour les deux OS. Le tout m'ennuie moins que payer un abonnement...
J'ai testé Bitwarden, pas au
Enpass semble hélas abandonné par ses développeurs (freeze sur macos non corrigés depuis 6 mois…). J’ai pris un abonnement en décembre pour un an et je le regrette. Je pense passer à Strongbox.
Depuis l'annonce de 1Password 8 et ses "fonctionnalités" décriées, j'ai progressivement migré mes mots de passe sur iCloud et force est de constater que rien ne me retient en fait sur 1Password. D'ailleurs je ne l'ai pas réinstallé sur mon Mac fraîchement formaté : il me manque pas et si j'ai besoin d'un mot de passe, je vais sur le site web et je l'ajoute sur iCloud.
Je suis récemment passé vers Bitwarden simple, efficace et gratuit ou "seulement" 10€ par an pour quelques fonctionnalités supplémentaires
j'avoue ne toujours pas comprendre pourquoi payer des licences (a vie ou abonnement) quand de base iCloud le fait (via l'app Trousseau d'accès).
Alors y a pas de tags, etc mais le champ de recherche est là pour ca. On dit aussi, mais je suis pas sur Safari, mais Apple à sorti iCloud Passwords pour Chrome/edge/firefox (ainsi que iCloud Bookmarks)
Je pense que le hack massif d'iCloud il y a quelques années a laissé des traces.
@lll
Aucun rapport, essayez de comprendre ce qui s’est passé.
@Patrick_C
Aucune pédagogie, essayez d’expliquer ce qui s’est passé.
@occam
J’ai un peu perdu patience avec des gens qui visiblement racontent n’importe quoi avec l’assurance de ceux qui savent. Il y a eu des hacks « sociaux » de personnalités, pas de hacks d’iCloud. Sans compter que plein de monde (je dirais l’immense majorité des gens) ne s’en souviennent pas, donc pas un argument pour ne pas s’en servir.
J'ignorais que c'était une faille humaine, vous me l'apprenez et je fais volontiers mon mea culpa, mais alors quel mépris dans votre réponse ! La réalité, même si vous décrétez que l'immense majorité des gens a oublié, c'est qu'additionné aux nombreuses failles d'iOS, ça a laissé des traces sur l'image qu'on peut avoir de la sécurité d'Apple. Tout système informatique peut certes comporter des failles, mais il suffit d'une seule pour avoir des hésitations sur la sécurité.
Pages