Suivez-nous

Applications

Attention, 1Password peut se révéler bavard…

bpepermans

Publié le

 

Par

1-1password-coffre.jpg

Si OS X et iOS possèdent un trousseau d’accès intégré permettant d’accéder aux identifiants et mots de passe, des applications comme 1Password les complètent agréablement pour stocker d’autres types d’informations de manière sécurisée ou tout simplement les organiser facilement.

Dale Myers, ingénieur chez Microsoft pour la suite Office sur iOS et OS X, a cependant découvert que 1Password avait une manière un peu cavalière de stocker certaines informations.
Attention, on ne parlera pas véritablement de faille de sécurité qui exposerait vos mot de passe aux yeux de tous mais d’une légèreté d’implémentation que les plus paranoïaques n’apprécieront pas.

Si vous utilisez 1Password avec un coffre synchronisé via Dropbox ou un dossier (hors iCloud donc), le format de ce dernier est un fichier à l’extension .agilekeychain que “n’importe qui” (avec accès à la machine ou au compte Dropbox) peut ouvrir.

Mieux que ça, si vous affichez ce fichier sur dropbox.com à partir de votre compte, vous avez une vue web avec accès aux informations derrière le mot de passe du coffre.

Revenons à notre dossier “test.agilekeychain”, on y trouve des fichiers javascript dont “content.js” liste vos identifiants détaillés : nom d’utilisateur, adresse, etc. Sauf le mot de passe, heureusement !

Là où Dale Myers a raison de trouver 1Password léger sur la sécurité, c’est que toute personne qui met la main sur votre fichier “agilekeychain” peut donc avoir de bonnes pistes pour tenter de casser vos mot de passe en ayant déjà la liste de vos sites et identifiants.
La réponse de Agilebits, l’éditeur des applications, est que ces données ne sont pas chiffrées pour des questions de performance… Ce choix reste très discutable à l’heure où toute information personnelle est importante pour les personnes mal intentionnées, 1Password leur mâche un peu trop le travail !

Il existe cependant une solution, pas des plus simples, qui consiste à changer le format du coffre en question pour “opvault”.

A l’aide d’une ligne dans le Terminal, vous pouvez donc modifier le format de fichier et gagner en sécurité. La ligne de commande est différente en fonction de votre achat du logiciel : dans le Mac App Store ou sur le site de l’éditeur.

Dans le premier cas (Mac App Store) :

defaults write 2BUA8C4S2C.com.agilebits.onepassword-osx-helper useOPVaultFormatByDefault true

Dans le second cas :

defaults write 2BUA8C4S2C.com.agilebits.onepassword4-helper useOPVaultFormatByDefault true

Une fois la commande lancée, il suffit de désactiver puis réactiver la synchronisation (Dropbox ou fichier) dans les Préférences de 1Password.

Le fichier change d’extension :

Le contenu est désormais illisible autrement que par le biais de l’application 1Password.

– Source : Dale Myers.

Test du MacBook Pro 16"
Dernière vidéo Abonnez-vous