1Password : un gestionnaire de mots de passe sorti de la sphère Mac

De l'amour pour Android, moins pour Windows 40
Accès libre
image dediée
Sécurité
Par
le jeudi 08 septembre 2016 à 15:30
Vincent Hermann

Après avoir analysé la manière de composer de bons mots de passe, nous avons décidé de nous intéresser à la façon de les gérer. Premier article de cette série : 1Password, l’un de leurs plus anciens représentants du secteur. Longtemps cantonné à l’univers Apple et doté d’une interface léchée, on le trouve désormais un peu partout.

1Password est certainement l’un des plus vieux gestionnaires de mots de passe existant actuellement. Il est apparu en 2006 et est resté longtemps un logiciel concentré sur l’univers Apple. Il n’était ainsi disponible que sous OS X, à cette même époque où les processeurs Intel y débarquaient, à la surprise générale.

Depuis bien sûr, l’éditeur – AgileBits – s’est ouvert au monde, et on trouve des versions pour Android et Windows, en plus de celle pour iOS sortie entre temps.

Un modèle commercial radical, qui s’est assoupli

Le modèle général de 1Password est à rapprocher de celui de Dashlane. On dispose ainsi d’un client lourd que l’on installe sur l’ordinateur, et qui va servir de « base » pour le reste. Les extensions pour les navigateurs peuvent être installées depuis les catalogues respectifs, comme pour LastPass et Dashlane. Cependant, 1Password diffère sur un point capital : il est impossible de s’en servir si l’on n’est pas d’abord passé à la caisse.

Pendant longtemps même, il fallait payer séparément les moutures pour OS X et Windows, sans parler des versions mobiles. Depuis peu cependant, AgileBits a compris que ce type de formule n’était plus adaptée et qu’il fallait proposer un abonnement permettant de lisser les coûts. Dont acte : depuis quelques semaines, on peut payer 2,99 dollars par mois et accéder à l’ensemble des applications, ainsi qu'à un espace de stockage de 1 Go.

Pour ce prix, l’utilisateur a donc droit à toutes les moutures, fixes et mobiles, avec un nombre illimité d’appareils liés par le compte. Ce dernier reste obligatoire et débloque les téléchargements. L’utilisateur qui veut se lancer et se faire une idée dispose cependant d’une offre d’essai de six mois, qui se terminera le 21 septembre. Aucun numéro de carte bancaire n’est demandé. Il n’y a donc pas à chercher l’option de renouvellement automatique, un grand classique pourtant de ce genre d’offre.

Il y a quelques temps, AgileBits a également lancé 1Password Families, qui permet moyennent finance de créer un coffre-fort partagé. L’administrateur du compte peut déclarer jusqu’à quatre autres personnes qui pourront accéder, via leur propre mot de passe, à un espace personnel dans lequel ils retrouveront : les mots de passe éventuellement partagés depuis le compte principal, leurs propres identifiants, des notes sécurités, des documents scannés et ainsi de suite.

Chacune des personnes dispose ainsi de 1 Go d’espace de stockage. L’ensemble est commercialisé 5 dollars par mois par foyer, avec la possibilité d'ajouter d'autres personnes, pour 1 dollars par mois chacune.

Les professionnels, eux, peuvent disposer d'une édition pour équipes, à 3,99 dollars par employé. Ceux-ci peuvent donc y héberger leurs mots de passe, notes et documents, pour les partager avec leurs collègues au sein du service. Cette version s'est tout récemment enrichie de groupes utilisateurs personnalisables et d'un journal d'activité, disponibles depuis la console d'administration. Bien entendu, les contenus sont disponibles depuis l'ensemble des applications du service.

Notez toutefois que les anciennes licences avec paiement à l'acte sont toujours disponibles, au cas où l'utilisateur ne pourrait pas faire autrement. Cette license est commercialisée 64,99 dollars, valable pour macOS et Windows.

Premier contact, interface et ergonomie générale

Avant même de pouvoir commencer à installer 1Password, il faut donc se rendre sur le site et s’inscrire. Un lien permet directement de profiter la promotion de six mois gratuits. On donne quelques renseignements basiques, puis on tombe sur l’une des principales différences de 1Password par rapport à sa concurrence : en plus du traditionnel mot de passe maître, l’utilisateur va se voir remettre une clé.

Celle-ci est indissociable du compte et ne doit pas être perdue. Elle est affichée dès la fin de la procédure de création, l’utilisateur étant invité à la copier-coller ou à en faire une capture. Dès que l’on arrive dans l’interface de gestion, il est recommandé de télécharger un PDF prêt à l’emploi contenant toutes les informations nécessaires. Attention donc au stockage de ce dernier, car toute première connexion sur une nouvelle machine ou dans l’une des applications réclamera la clé.

La deuxième étape est le téléchargement du premier client. Sur un Mac, on récupère donc un fichier DMG d’une cinquantaine de Mo, sans grande surprise. L’application demande les éléments cités précédemment, mais peut simplifier le remplissage des champs avec une petite fonction toute bête : une fenêtre munie d’un cadre permet d’aller chercher le QR Code fourni sur le site ou dans le PDF. Dès que le code est repéré, les informations s’inscrivent automatiquement, et il ne reste plus que le mot de passe maître à entrer.

1password1password

L’interface principale de 1Password ressemble presque à un client email avec ses trois colonnes : une pour les catégories de données, une pour la liste des données sélectionnées et la plus grande pour le contenu. L’ouverture de l’application demandera automatiquement à l’utilisateur s’il veut installer les extensions pour navigateur, ce qui peut s'avérer plus simple au quotidien.

1Password prend en charge de nombreux formats pour les importations, dès lors qu’on lui fournit le fichier contenant les données. Une fois le logiciel rempli de mots de passe, on découvre plus en détails l’interface. Elle est simple, sans être spartiate mais n’est pas aussi attrayante que celle de Dashlane par exemple. On ne retrouve ainsi pas de panneau général avec une vue d’ensemble de la sécurité des mots de passe, dommage.

1password1password

Pour le reste, et comme nous le verrons dans nos autres articles, particulièrement ceux sur LastPass et Dashlane, on retrouve les mêmes mécanismes, particulièrement quand on se balade sur la toile. Quand on arrive sur un site, l’extension se charge de proposer les identifiants. Un fonctionnement classique qui n’a plus rien de neuf.

Les capacités offertes par le client dépendent beaucoup de la version utilisée. En dépit des efforts faits par AgileBits, la version OS X reste largement supérieure à celle pour Windows. Cette dernière, réalisée sur la base de l’environnement .NET de Microsoft, est bien conçue et rapide, mais manque encore de nombreuses fonctions.

Par exemple, on ne trouve aucun panneau de gestion du compte. L’ajout d’appareils, qui affiche un QR Code à l’écran pour être scanné, n’y est pas non disponible. Sans parler d'une traduction française totalement absente pour l'instant.

Sécurité et mots de passe

La sécurité de 1Password s’appuie sur des standards qui ne réservent, là encore, pas de surprise particulière. Le logiciel crée une base de données enfermée dans un fichier chiffré en AES 256, salé via SHA-256, avec dérivation de clés PBKDF2.

Par contre, comme nous l’avons vu, toute utilisation du compte (consultable en ligne) ne peut se faire qu’avec le couple formé par la clé et le mot de passe maître. Signalons à ce sujet que l’utilisateur, contrairement à Dashlane, peut changer son mot de passe maître.

Par contre, la clé fournie à la création du compte est invariable et obligatoire. Il ne faut en aucun la perdre, au risque de se retrouver complètement bloqué par la suite. Même danger en somme que les mots de passe maîtres sur les solutions concurrentes.

1password

La génération par défaut des mots de passe depuis l’extension (aussi possible via le client lourd) est intéressante. Par défaut, elle est fixée à 14 caractères, une taille supérieure à la concurrence. On retrouve les mêmes options qu’habituellement : chiffres, caractères spéciaux, majuscules, minuscules. Par contre, 1Password dispose de réglettes permettant d’influer sur la quantité de chaque type de caractères. Il y a plusieurs moyens de remplir complètement la barre de force du mot de passe, qu'on s’amusera à faire varier.

On peut également rendre le mot de passe prononçable (non recommandé), autoriser les répétitions (coché par défaut, le contraire réduisant les possibilités) ou encore éviter les caractères ambigus, c’est-à-dire graphiquement assez proches pour déclencher d’éventuelles confusions (non recommandé également).

Fonctions supplémentaires

Pour un utilisateur qui serait essentiellement sur des appareils Apple, 1Password peut aller plus loin que les solutions concurrentes dans l’intégration aux services tiers depuis iOS. Le produit est en place depuis longtemps, ce qui a permis à AgileBits de lier des partenariats avec une centaine d’autres éditeurs. Slack, Tumblr, Twitter, Kickstarter, Swarm, Checkie ou encore Tweetbot et Twitterrific sont ainsi compatibles, évitant les allers et retours dans l’application 1Password pour copier-coller les mots de passe. Pour les autres, il faudra en passer par là.

Outre les identifiants, 1Password peut également gérer d’autres données, qui seront elles aussi stockées dans la même base de données chiffrée. Et non seulement le gestionnaire peut le faire, mais il permet de renseigner une foule de détails.

C’est particulièrement le cas pour les cartes de paiement, pour lesquelles on peut aller jusqu’à inscrire le code CVV, les fameux trois chiffres au dos de la carte. Ce code validant les achats en ligne, on prendra soin de réfléchir à la pertinence de cette information. Point intéressant, on peut lier des fichiers, dont le poids sera évidemment ponctionné sur l'espace de 1 Go fourni par le compte.

Il est dommage cependant que la traduction française partielle puisse gâcher la parade. On le voit clairement dans la capture ci-dessous, des pans entiers restent en anglais et peuvent clairement en rebuter plus d'un. Surtout quand on constate que d'autres éléments, notamment le panneau des Préférences, sont parfaitement traduits.

1password

On peut créer en outre des mots de passe, mais à la volée de manière « libre » comme peut le faire l’extension. Dans la barre latérale, 1Password propose une catégorie « Mots de passe », dans laquelle on pourra créer de nouvelles entrées, pour ses propres besoins. Dans chaque entrée, on pourra créer un mot de passe en passant par le même générateur. Pratique pour stocker différents moyens d’accès, mais qui ne répond à un besoin simple de génération aléatoire. Sur ce point, il est chaudement recommandé d'activer la fonction « Mini ».

Notons enfin que dans les options, 1Password propose d'activer Watchtower, littéralement « tour de garde ». Il s'agit d'un service qui met en relation les sites détectés avec d'éventuelles failles de sécurité connues. La fonction se rapproche de ce qui est proposé par LastPass et Dashlane, à ceci près qu'elle est optionnelle. AgileBits indique qu'aucune donnée personnelle n'est analysée, seuls les noms de service étant détectés dans la base de l'utilisateur.

Synchronisation : la simplification induite par l'offre d'abonnement

1Password synchronise également les données entre les appareils. Il faut noter ici qu'un grand changement est intervenu. Jusqu'à récemment, chaque version du logiciel devait être achetée séparément. Tant que l'on restait sur des appareils Apple, c'est iCloud qui servait de trait d'union entre les applications. Dès que l'on sortait de ce cadre, il fallait passer par Dropbox, OneDrive ou une synchronisation par Wi-Fi.

Toutefois, Depuis le passage à l'abonnement (même pendant la période gratuite de six mois), c'est AgileBits qui prend directement en charge ces opérations. C'est évidemment et de loin la solution la plus simple : l'utilisateur n'a rien à faire, puisque c'est le compte qui s'occupe de ces opérations en arrière-plan. Plus question ici d'iCloud, OneDrive, Dropbox ou du Wi-Fi donc.

Il est clair qu'entre le tarif lissé et cette facilité accrue, l'éditeur fait tout pour que les clients actuels et potentiels se dirigent vers cette nouvelle offre, qui a pour bénéfice supplémentaire de proposer une version web, toutes les données y étant disponibles. Sachez cependant que ces données sont stockées aux États-Unis, ce qui peut représenter un sérieux problème pour certains.

Sur mobile, Android et iOS font jeu égal

Les applications mobiles de 1Password ne sont qu’au nombre de deux : une pour iOS, existant depuis longtemps, l’autre pour Android. Cette dernière, plus récente, dispose cependant des mêmes fonctionnalités. Un point important car dans un monde où chacun est encore libre ses choix en matière d’équipements, il est tout à fait possible d’utiliser un Mac et d’un terminal Android. Par contre, 1Password ne pourra pas convenir dès lors que l’on utilise un autre type d’appareil mobile, notamment ceux avec Windows 10.

Cette parité fonctionnelle est importante, car les options de sécurité y sont les mêmes. Par exemple, l’application iOS prend en charge TouchID pour être déverrouillée en passant par l’empreinte digital. L’option se retrouve sur la mouture Android, bien pratique pour ne pas avoir à saisir son mot de passe maître à chaque fois. Notez que si l’on est absolument certain de soi, on peut indiquer à l’application de ne pas réclamer le mot de passe à chaque fois.

1password1password1password1password

Pour le reste, le fonctionnement global est le même que chez LastPass et Dashlane. L’application liste l’ensemble des données, aussi bien les identifiants que les notes sécurisées, en passant par les cartes bancaires et autres documents que l’on aurait enregistrés. Chaque élément peut être consulté à l’envie.

En ce qui concerne les identifiants, chacun peut être ouvert et inspecté. De là, l’utilisateur pourra le voir en forme claire, le copier ou utiliser directement le navigateur intégré. L’idée est la même que chez la concurrence : une page web s’ouvre directement sur la page web associée et les champs d’identification sont alors pré remplis. Notez que si cela fonctionne dans bon nombre de cas, certains sites se rebiffent parfois de manière aléatoire.

1Password : idéal... dans un univers Apple

Globalement, 1Password est une solution suffisamment simple et intégrée pour retenir l’attention. Toutefois, certains éléments sont à prendre en compte.

Ainsi, il est clair qu’AgileBits cherche à s’ouvrir aux autres plateformes que celles d'Apple, mais le résultat est inégal. Comme on l’a vu, l’application Android fait jeu égal avec celle pour iOS, un bon point. Par contre, en ce qui concerne Windows, on reste assez loin de ce qui est proposé sous macOS. L’essentiel est là, mais il manque tout simplement de bien trop d’options pour que l’on considère que la plateforme de Microsoft autrement que comme un citoyen de seconde classe dans l’univers d’AgileBits. Tout n’est cependant pas perdu puisque l’actuelle version 6 de 1Password se renforce petit à petit.

En fait, 1Password ne fait pas jeu égal avec LastPass et Dashlane dans certains domaines. Il est l’occasion d’apporter un élément important dans notre série d'articles : chacun dispose d’une spécialité. LastPass fait dans l’ubiquité, avec un tarif léger qui le rend accessible à bien des utilisateurs. Dashlane dispose sans doute de l’interface la plus accessible et réussit à aller un peu plus loin en donnant « envie » de changer les mots marqués comme problématiques. Quid de 1Password ?

Proposant une sécurité qui, elle, n’est pas en reste sur la concurrence, elle dispose d’un avantage de poids dès lors que l’utilisateur se sert surtout de produits Apple. À partir de là, il dévoile tout son potentiel, ce qui n’a rien d’étonnant puisqu’il est historiquement lié à macOS. Son intégration est très réussie, et la synchronisation s'est très largement simplifiée avec le changement d'offre. Bien sûr, ceux qui ont encore les applications achetées séparément doivent toujours se tourner vers iCloud, voire Dropbox ou OneDrive pour les autres plateformes.

Signalons tout de même qu'AgileBits aurait tout intérêt à presser le pas sur son client Windows. Il est clair que l'éditeur n'y a pas ses habitudes, mais le marché PC représente un débouché qu'il serait difficile d'ignorer. Autre point négatif : la traduction. Si vous ne connaissez guère l'anglais, il faudra attendre que 1Password bénéficie d'un français beaucoup plus complet qu'il ne l'est actuellement.

Notre dossier sur la gestion des mots de passe : 


chargement
Chargement des commentaires...