AgileBits, l’éditeur du coffre-fort de mots de passe 1Password, est dans l’œil d’un cyclone déclenché par Dale Myers, ingénieur logiciel chez Microsoft. Ce dernier, qui travaille sur les versions d’Office pour iOS et OS X, a repéré une faille de sécurité dans le format .agilekeychain : il est en effet susceptible de donner des informations en clair sur les données censées être protégées par le logiciel.
Ce format .agilekeychain est utilisé par la fonction 1PasswordAnywhere, un service en désuétude qui permet d’accéder à ses mots de passe depuis un navigateur web. Pour y accéder, il faut synchroniser son vault avec Dropbox, ce qui génère un fichier 1Password.agilekeychain qu’il est possible de consulter depuis internet. Malheureusement, les URL ne sont pas chiffrées : elles sont donc susceptibles de révéler des informations sensibles — pire encore, Google peut indexer ces URL et les mettre à disposition de tous. Ces données peuvent constituer un trésor pour les malandrins adeptes d’ingénierie sociale, par exemple…
Pour sa défense, AgileBits précise l’historique du format .agilekeychain : il a été créé en 2008 dans un contexte bien spécifique où les performances de nos ordinateurs n’étaient pas aussi élevées qu’aujourd’hui. Le déchiffrement d’un mot de passe, voire une simple recherche dans le logiciel, consommait alors bien plus d’énergie et de ressources processeur. Afin de ne pas grever davantage les performances des machines, le studio a décidé de ne pas chiffrer les URL.
En décembre 2012, l’éditeur lançait un nouveau format, OPVault, bien plus sécurisé et qui, entre autres, chiffre aussi les métadonnées. AgileBits l’exploite sur iCloud, ainsi qu’en local sur iOS et OS X. Mais pour les versions Windows, Android et Dropbox de sa plateforme, le studio a décidé de ne pas migrer automatiquement tous les utilisateurs vers OPVault. Beaucoup d’entre eux dépendent en effet d’anciennes versions de 1Password et le passage au nouveau format aurait bloqué la connexion à leurs comptes.
« Nous savions que nous pouvions compter sur la sécurité d’AgileKeychain pour protéger les données confidentielles de nos utilisateurs », écrit AgileBits, « c’est pourquoi nous ne voulions pas nous précipiter dans quelque chose qui aurait perturbé leurs habitudes ». Le billet de Dale Myers va maintenant pousser l’éditeur à bouger sur cette question, même si ce dernier n’a pas attendu pour faire d’OPVault le format par défaut : c’est le cas dans la dernière bêta de 1Password pour Windows, et c’est en développement pour Android. Des changements similaires vont être apportés pour les moutures iOS et OS X du logiciel.
Il est d’ores et déjà possible de basculer complètement sous OPVault : sur iOS, il faut synchroniser son coffre-fort avec iCloud ; sur Android, il faut utiliser la synchro Wi-Fi ; pour OS X, il y a une FAQ sur la question ainsi que des explications pour Windows.
