La vérité sur la faille de sécurité 1Password

Actualidad iPad

4 Minutes

1Password

Ces jours-ci, vous aurez sûrement lu des articles sur une faille de sécurité grave dans 1Password, l'une des meilleures applications qui existent pour iOS et OS X et l'une de nos préférées pour le bon travail que ses développeurs font avec, avec des mises à jour constantes sans frais. à ses utilisateurs. Personnellement, c'est dans l'application que je fais confiance pour stocker mes mots de passe, coordonnées bancaires, cartes bancaires, etc. depuis des années maintenant, et je me suis tellement soucié de m'informer sur cette faille de sécurité parce que cela m'intéressait beaucoup. Comme cela arrive souvent dans ces cas, l'alarmisme et le sensationnalisme inondent le Web (N'oublions pas que c'est ce qui se vend le plus) donc je vais essayer de clarifier ce qui s'est passé et quelles conséquences cela peut avoir.

Le problème

Tout est basé sur un rapport publié par un ingénieur Microsoft, Dale Myers, dans lequel il assure que 1Password enregistre les données non cryptées dans son système de cryptage AgileKeychain. Ces données non cryptées sont spécifiquement les adresses Web des pages que nous avons enregistrées dans ce service, et leurs titres, mais jamais nos données d'accès elles-mêmes, qui restent parfaitement cryptées. Pourquoi garder ces données non chiffrées? Fondamentalement, parce que les chiffrer à ce moment-là (nous parlons de 2008) a causé des problèmes pour certains appareils lors de l'accès à ces données et a causé des problèmes de performances et de batterie.

Jusqu'à présent, on peut penser: "Quel est le problème?" De nombreux utilisateurs utilisent 1PasswordAnywhere, une fonction que Dropbox utilise pour stocker vos clés 1Password et vous permet d'y accéder à partir de n'importe quel navigateur sans que l'application soit installée sur l'appareil. C'est précisément là que réside le principal problème: Google indexe ce contenu lorsqu'il est stocké dans un fichier html, et une personne disposant des connaissances nécessaires peut avoir accès à ce fichier et connaître ces données sans cryptage. J'insiste encore une fois, jamais vos données d'accès, seulement les adresses Web et les noms des sites Web que vous avez stockés dans 1Password, jamais vos informations d'identification.

1Password

La solution

Les développeurs de 1Password eux-mêmes ont déjà résolu ce problème en 2012 avec une nouvelle façon de sauvegarder vos données appelée OPVault.. Ce nouveau système crypte toutes les données, y compris celles qui n'ont pas été cryptées avec AgileKeychain. Alors quel est le problème? Qu'ils devaient décider d'utiliser OPVault comme seul système de cryptage ou de continuer à utiliser AgileKeychain comme alternative. Et ils ont opté pour cette deuxième option.

Pourquoi maintenir un système moins sécurisé? OPVault n'a pas posé de problème avec les utilisateurs iOS et Mac OS X, mais avec les utilisateurs Windows, Android et ceux qui ont opté pour Dropbox comme système de synchronisation de données. Les anciennes versions de 1Password de ce dernier n'étaient pas compatibles avec OPVault, ils devaient donc décider quoi faire: laisser ces anciennes versions derrière ou continuer à donner la compatibilité à tout le monde. Et ils ont opté pour cette deuxième alternative, en conservant la possibilité d'utiliser AgileKeychain.

L'ampleur réelle du problème

Le plus important est d'insister sur les données auxquelles quelqu'un qui pourrait accéder à ce fichier html et lire vos données aurait accès (ce qui n'est pas facile): les adresses Web et les titres Web. Seulement ça. Oui, il est vrai que personne ne doit connaître ces données, et que c'est un défaut qui doit être corrigé, mais Il n'y a pas lieu de craindre pour vos données d'accès aux sites Web ou vos numéros de carte de crédit, ce qui est un soulagement.

Une fois que cela est devenu clair, il est également nécessaire de préciser qui sont ceux qui ont ce problème: ceux qui utilisent encore AgileKeychain. Les utilisateurs qui utilisent déjà OPVault n'ont pas non plus le moindre problème. Qui utilisent OPVault? Ceux qui utilisent 1Password pour iOS et OS X avec l'option de synchronisation iCloud activée (comme c'est mon cas). Si c'est également votre cas, il n'y a aucun problème avec vous. Si vous êtes un utilisateur de 1Password sous Windows, Android ou si vous utilisez Dropbox comme système de synchronisation, vous devez passer à OPVault en tant que système de stockage, ce que vous avez parfaitement expliqué dans le Blog Agilebits, Les développeurs de 1Password (à la fin de l'article).


iPad 10 avec clavier magique
Ça t'intéresse:
Différences entre iPad et iPad Air
Suivez-nous sur Google Actualités

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Feli dit
    il ya 9 ans.

    Excellent article Luis, voilà à quel point le journalisme devrait être rigoureux et encore plus en matière de sécurité.

    Répondre à Feli