1Password : l'app qui va vous faire aimer les mots de passe

Aujourd’hui on va parler mots de passe, de vos mots de passe. C’est un article qui me tenait à coeur. Après avoir converti mon entourage qui aujourd’hui me le rend plutôt bien, j’ai envie de vous partager mon retour d’expérience sur l’application 1Password qui m’accompagne au quotidien depuis plusieurs années maintenant.
UN GESTIONNAIRE DE MOTS DE PASSE, POUR QUOI FAIRE ?
Avant de rentrer dans le vif du sujet, qu’est-ce qu’un gestionnaire de mots de passe et à quoi ça sert ? Vous avez un bon début de réponse dans la question. Un gestionnaire de mots de passe, c’est ni plus ni moins un espace sécurisé dans lequel vous allez renseigner et gérer l’ensemble des mots de passe indissociables à votre activité sur le web.
C’est bien beau tout ça mais à quoi bon mettre tous mes mots de passe dans un même panier ?
Si l’on prend un peu de hauteur sur la manière dont nous utilisons le web aujourd’hui, vous devriez être d’accord avec moi pour dire que nous accumulons de plus en plus de comptes utilisateurs, que nous passons une bonne partie de nos journées devant nos écrans à utiliser des services, qu’il est souvent pénible de retenir tous nos identifiants et enfin, qu’il n’y a pas une année sans qu’une grande entreprise dans la tech ne se fasse voler ses données (les nôtres au bout du compte).
Et je ne parle pas des fois où l’on craque devant son écran à tenter de réinitialiser son mot de passe, à devoir attendre le mail ou encore à répondre aux critères de saisie d’un nouveau mot de passe. Doit inclure une majuscule et un caractère spécial minimums avec une longueur de 8 caractères, ça ne vous rappelle rien ?

L’une des particularités d’un gestionnaire de mots de passe c’est de pouvoir générer un mot de passe unique par compte utilisateur. Ainsi, si l’un des sites que vous utilisez subit une attaque, vos autres comptes utilisateurs en seront préservés.
Me concernant, utiliser 1Password m’a offert du confort numérique. Je m’explique. 1Password me fait gagner un temps considérable car il saisit pour moi mes identifiants ou me génère un mot de passe lorsque je crée un compte. J’ai gagné en sérénité car je n’ai plus le stress de devoir retenir tous mes identifiants, je l’ai littéralement déchargé sur 1Password. Je n’ai à retenir qu’un seul mot de passe pour toute ma vie numérique mais ça, on y reviendra juste après.
J’ai gagné en sérénité car la question de mes identifiants est moins présente à mon esprit, je l’ai littéralement déchargé sur 1Password
C’est pour toutes ces raisons que j’en suis arrivé à adopter un gestionnaire de mots de passe. Petit plus pour moi, le nombre de mes comptes utilisateurs étant exponentiel, avoir la liste exhaustive à portée de main me permet de me rappeler où est-ce que j’ai traîné les pieds. Un peu comme des favoris sur un navigateur. Cela me rassure que voulez-vous.
1PASSWORD, QU’EST-CE QUE C’EST ?
1Password se décrit comme « le moyen le plus facile de stocker et utiliser des mots de passe robustes » et vous permet de vous connecter et de remplir « des formulaires de façon sécurisée d’un seul clic ». Une promesse tenue depuis la création en 2006 de son éditeur AgileBits. 14 ans plus tard et avec une flotte de 174 employés, l’entreprise basée à Toronto a levé de l’argent pour la première fois de son histoire pour développer de nouveaux produits et services mais également recruter. On parle d’une coquette somme qui s’élève tout de même à 200 millions de dollars.
Il est intéressant de souligner qu’AgileBits était déjà rentable avant cette première levée de fonds et auto finançait son développement. Le marché de la gestion des mots de passe et plus globalement de la sécurité informatique étant en hausse constante, l’éditeur a élargi son offre aux entreprises mais également à la famille pour grossir sa base clients et s’ancrer davantage dans nos vies.

Maintenant que vous avez une meilleure une idée de qui se cache derrière 1Password, vous vous demandez sans doute comment ça marche ?
Pour nous utilisateur, 1Password peut se résumer à un mot de passe et à une clé secrète. Deux informations qui vous permettront d’accéder à votre coffre-fort numérique. Le rôle du mot de passe est de protéger l’accès à vos données sur vos appareils, la clé secrète quant à elle est utilisée pour vous authentifier sur les serveurs de 1Password (hébergés chez Amazon comme 1/3 des entreprises de la planète) et à crypter vos données.
DES PROTOCOLES EN VEUX-TU EN VOILÀ
Sans vous perdre dans des considérations trop techniques, vous devez savoir que votre mot de passe et votre clé ne sont pas envoyés sur Internet et ce grâce à un protocole, le Secure Remote Password. Derrière cette appellation, l’idée est juste qu’aucune personne malveillante puisse voler ces informations pendant votre connexion au serveur de 1Password.
Une clé secrète est une chaîne de 34 caractères, sachez que si vous l’égarez, 1Password lui-même ne pourra rien pour vous. Ça peut faire peur, surtout si vous avez pris la peine d’enregistrer des centaines d’identifiants dans votre coffre-fort, mais c’est un argument de poids à mes yeux sur la position de 1Password quant à la confidentialité des données.

1Password ne s’arrête pas en si bon chemin vous l’imaginez bien, on parle de tous vos mots de passe. L’éditeur investit donc lourdement et multiplie les couches de sécurité. On parle de « end to end encryption », un chiffrement total pour vos données qui sollicite notamment le cryptage AES-256 bits décrit comme le plus utilisé et le plus sûr à ce jour. J’ai même appris que c’était devenu le nouveau standard de chiffrement pour les organisations du gouvernement des États-Unis, et que la NSA (National Security Agency) elle-même l’approuvait, s’il vous plaît.
Dernière info pour la route, une autre clé de cryptage, la TLS pour Transport Layer Security, est générée à l’ouverture de votre coffre-fort. Sa particularité est d’être unique à chaque connexion, ainsi si un pirate arriverait à mettre la main dessus, la répliquer n’aurait aucune utilité pour lui. Tout ceci est bien entendu invisible à vos yeux.
Il y a heureusement trop de mesures de sécurité pour toutes les citer ici mais je vous invite à passer une tête dans la section « Sécurité » du site 1Password qui met notamment à disposition de tous un livre blanc qui expose toute la logique de sécurité afin que chaque expert en cybersécurité puisse attester du sérieux de la démarche.
DEMO TIME!
Ces deux vidéos mises à disposition sur la chaîne YouTube de 1Password donne un premier bon aperçu de l’application. La première se concentre sur l’initialisation de son coffre-fort (plus simple qu’il n’y parait) tandis que la seconde montre toute la magie derrière la sauvegarde et l’auto-complétion de formulaire pour la connexion à vos sites favoris.


DU CONFORT MAIS À QUEL PRIX ?
Passons à la partie qui fâche, le prix. Avec autant d’employés et de fonctionnalités à maintenir et à développer, cela a forcément un coût. Et c’est sans compter l’attente des actionnaires…
À ses débuts, 1Password était vendu sous la forme de licence, et il fallait mettre la main au porte-monnaie à chaque grosse mise à jour du logiciel pour en profiter. C’était le bon temps mais comme beaucoup d’entreprises du web, AgileBits s’est mis à la page et a basculé sur un modèle à abonnement lui permettant de rentrer du cash de manière plus régulière.
En proposant d’être facturé au mois, la pillule semble indolore. Pour ma part, j’ai opté pour la facturation à l’année qui permet de faire une légère économie. En adoptant un tel outil, je sais qu’une dépendance va se créer avec le temps, à l’image d’un Spotify par exemple, on s’investit dans la création de nos playlists et « déménager » ailleurs semble hors de portée. Je croise les doigts car 1Password ne m’a jamais fait douter et j’ai accueilli le passage à l’abonnement plutôt sereinement. J’ai conscience que pour grandir et proposer un outil toujours plus sophistiqué, il faut faire payer ou se permettre d’utiliser, partager ou vendre les données de ses utilisateurs. Il va s’en dire que cette 2nd option dans le cas d’un gestionnaire de mots de passe est inenvisageable.
Donc combien vous allez devoir débourser pour ouvrir votre coffre-fort ? Finalement assez peu selon moi. Comptez 43,06$ avec taxes à l’année, soit 35,31€ à l’heure où je vous parle. Si vous êtes encore frileux après la période d’essai de 14 jours, rien ne vous empêche de payer au mois. Cela vous en coûtera 3,99$, moins rentable qu’à l’année mais moins engageant pour vous.
1PASSWORD DÉCLINÉ POUR LES FAMILLES ET ENTREPRISES
Comme je le disais un peu avant, les familles ne sont pas en reste. Il est dans l’intérêt d’AgileBits de convertir tous les membres de la famille à 1Password et d’en faire un réflexe pour la vie.
En déboursant 5,99$ par mois, vous vous offrez un coffre-fort familial avec 5 sièges. Comptez 1$ de plus pour ajouter un siège supplémentaire. Parents, cousins, tout le monde y passe. Je n’ai pas encore eu l’occasion de m’essayer à cette formule Famille mais chaque utilisateur a un droit de regard sur ce qu’il désire partager ou non avec les autres membres de sa famille.
Les entreprises peuvent également sauter le pas. En fonction de vos besoins en terme de sièges et de sécurité renforcée, ça débute à 3,99$ par utilisateur jusqu’à l’infini, ça dépendra de votre organisation vous l’aurez compris.
Je n’en ai pas parlé jusque-là mais AgileBits compte parmi ses clients certaines entreprises les plus cotées de la tech. Pour n’en citer que quelques-unes : Apple, IBM, Slack récemment acquis par Salesforce ou encore Dropbox. Là encore, je trouve ça plutôt rassurant.
ET SI JE N’AIME PAS 1PASSWORD ?
1Password n’est pas le seul à s’être accaparé ce business lucratif. En face, on peut trouver des services équivalents comme LastPass ou encore Dashlane développé par des français. Cocorico ! Malheureusement, derrière mon côté chauvin se cache une personne très exigeante en terme de design. Pour clarifier le sens du mot design, je vais me permettre de citer ce bon vieux Steve : le « Design est un drôle de mot. Certaines personnes pensent que ‘design’ signifie ‘à quoi un objet ressemble’. Mais bien sûr, si vous creusez plus profond, c’est vraiment comment cet objet fonctionne. ». Pour faire simple, de ma courte expérience de Dashlane, ça fonctionnait simplement moins bien. Notamment sur l’auto-complétion de formulaires de certains sites…
L’ALTERNATIVE OPEN SOURCE
Si payer pour protéger et gérer vos mots de passe reste impensable pour vous, j’ai découvert tardivement je l’avoue (merci à Korben pour cet éclairage !) qu’il existait des solutions open source de qualité. Cet article est un retour d’expérience sur 1Password et non un comparatif entre différentes solutions, c’est pourquoi je ne m’aventurerai pas à vous conseiller tel ou tel gestionnaire open source. Ce que je sais en revanche, c’est que ça reste sur le papier souvent plus contraignant pour moi. J’entends par là moins abouti visuellement alors que j’y porte beaucoup d’importance, d’autant plus dans l’écosystème d’Apple, ou encore sur la manière dont vous devez auto-héberger vos données. A contrario, l’un des principaux avantages reste que le code source de ces gestionnaires est accessible de tous et donc auditable par les développeurs du monde entier.

La dernière solution, plus primaire, est de gérer vos mots de passe dans le trousseau iCloud d’Apple ou le gestionnaire de mots de passe de Google qui évolue doucement mais sûrement.
LE MOT DE LA FIN
Alors pourquoi je continue à payer chaque année 1Password ? Pour les raisons évoquées tout du long de ce billet. Je paie pour plus de sérénité et pour gagner du temps, du temps de cerveau.
Nos usages en matière de numérique ont radicalement évolué ces 20 dernières années, lorsque l’on me demande « quelle est ton app favorite ? », je réponds 1Password avant Netflix, Spotify ou même Twitter que je porte pourtant dans mon coeur. Et ça sans même avoir des actions chez AgileBits !
Cette application m’a littéralement enlevé une épine du pied, en plus d’en être tombé amoureux. Oui je parle bien d’amour car 1Password a su devenir un lieu plus accueillant avec l’âge, il ne m’a jamais fait défaut (sous-entendu jamais tombé en panne ou n’a été piraté), l’expérience utilisateur est au centre du design produit et ça se traduit par plein de petites intentions ici et là. Je pourrais également évoquer le ton employé par le co-fondateur dans sa newsletter, la réactivité de l’entreprise face à l’adoption de nouveautés software et hardware annoncées par Apple, Google et Microsoft (surtout pour Apple en vérité qui s’en sert souvent de porte-étendard), la présence et l’évolution des apps qu’importe l’environnement (Windows, OS X, Linux… même WatchOS) et j’en passe.
Alors oui, le risque zéro de se faire hacker n’existe pas mais gardons à l’esprit que la sécurité des mots de passe est le fond de commerce d’AgileBits. Ils ne peuvent pas se permettre de tomber au risque de fermer boutique.
On a la chance d’avoir un marché assez concurrentiel qui pousse ces éditeurs à aller toujours plus loin pour nous protéger. J’espère vous avoir éclairé sur l’utilité des gestionnaires de mots de passe, à votre tour de vous y essayer.