Le réveil a dû être un peu difficile ce matin pour les dirigeants du studio AgileBits, dont le coffre-fort numérique 1Password (Lien App Store – Gratuit – iPhone/iPad) ne semble pas aussi sécurisé que prévu. Dale Myers, un ingénieur Microsoft a en effet repéré une faille de sécurité majeure dans le format .agilekeychain utilisé par l’app une faille susceptible de fournir en clair les données qui y sont stockées. Le soucis proviendrait à l’origine de la fonction 1PasswordAnywhere, un service web qui n’est pratiquement plus utilisé aujourd’hui mais que de nombreux utilisateurs 1Password de la première heure consultaient plus ou moins régulièrement.

1Password Mac

1Password, 1Passoire ?

Le service propose d’accéder à sa liste de mots de passe via un simple navigateur web mais malheureusement, AgileBits n’a pas considéré qu’il était essentiel de chiffrer les URL, qui peuvent donc être ensuite indexées par Google…ce qui les rend parfaitement consultables « en clair » par n’importe qui. AgileBits, qui a reconnu la faille depuis, précise tout de même que les mots de passe ne sont pas directement récupérables par ce biais.

Le studio se défend en expliquant que le chiffrement des URLs aurait pris trop de ressources processeur (une étrange justification tout de même…) et que la migration des utilisateurs sous .agilekeychain vers OPVault, un format bien mieux sécurisé (chiffrement de toutes les méta-données), aurait abouti à des blocages de comptes (encore étrange…). Reste que la faille étant rendue publique, AgileBits va devoir maintenant y apporter un correctif. Sachez tout de même qu’il est extrêmement simple de sécuriser ses données 1Password une bonne fois pour toute : il suffit de synchroniser son coffre-fort avec iCloud, ce qui permet de passer sous format OPVault.

Maj: AgileBits a indiqué officiellement qu’OPVault, son nouveau format sécurisé, sera bientôt le format par défaut utilisé par 1Password (d’abord sur Windows 10 et Windows 10 Mobile, ensuite sur Mac et iOS, et enfin sur Android). Une fois cette mise à jour réalisée, l’éditeur procédera à une migration automatique vers le nouveau format de TOUS les utilisateurs de 1Password. Pour ceux qui voudraient migrer dès maintenant, AgileBits fournit quelques liens, pour les utilisateurs de Mac, et pour les utilisateurs d’iOS.