1Password répond à la polémique et renforce sa sécurité
Dans un billet, sur son blog, Agile Bits répond point par point : en substance, oui, les informations mentionnées sont accessibles, dans une certaine manière, en clair, mais il ne s’agit pas d’un oubli, simplement d’une exigence qui remonte à la création de cette fonction de synchronisation, en 2008. “À cette époque 1Password avait à sa disposition bien moins de puissance de calcul machine qu’aujourd’hui à consacrer à des tâches comme le déchiffrement, et déchiffrer quelque chose d’aussi simple qu’un login aurait causé un gros problème de performance et de consommation d’énergie pour nos utilisateurs”, rappelle l’éditeur. D’où le choix de stocker les url en clair dans le fichier javascript.
Mais, précise encore Agile Bits, en 2012, “nous avons lancé un nouveau format de synchronisation, OPVault, qui lui chiffre tout ce qu’il enregistre”. Ce format nouveau imposait de disposer des dernières versions de 1Password, et posait quelques difficultés pour les utilisateurs utilisant la synchronisation Dropbox, ou étant sous Windows ou Android. Pour ces questions, il n’a pas été imposé aux utilisateurs, et reste un choix, dans le cadre d’une “approche conservative visant à préserver la rétro-compatibilité”.
Les découvertes de Dale auront l’effet d’un catalyseur : “Dale nous a rappelé qu’il est temps d’avancer”, note l’éditeur qui décide donc de basculer au format OPVault comme format de synchronisation par défaut. Selon les cas, la procédure pour bénéficier de celui-ci varie :
- sur Mac et à partir de la version 5 du logiciel il suffit de suivre les instructions d’Agile Bits
- Sur iOs, il suffit de synchroniser son trousseau avec iCloud
- – Sur Windows, c’est la version 4 qui est exigée
- Sur Android, il convient d’activer la synchro Wi-Fi
L’éditeur, en tout cas, avec sa rapidité de réaction montre qu’il prend en compte les retours utilisateurs et sait s’adapter avec… agilité.
