Quelques vulnérabilités sur les gestionnaires Android :
Le lien vers la source ne fonctionnent pas au moment ou je poste mais ils semblent dire que tout est corrigé.
Bonsoir,
Après de longues recherches je suis arrivé à la conclusion que :
1. Le plus « secure »
C’est KeePass (offline, certication ANSSI). Mais un peu pénible à mettre en place. Et pourquoi du libre alors que l’on peut payer pour un truc équivalent 
.
2. Les bons choix
Ce sont 1password et Dashlane.
3. Mon expérience perso
J’ai choisi Dashlane. Sur iOS avec Touch ID c’est le pied absolu !!! Je penses que 1password le fait aussi. Sur mac sans Touch Id (quasi tous donc), c’est chiant de taper le mot de passe maître tous les matins. À moins de laisser tourner sa bécane 24h sur 24 ! Après tout, on est bien chez les geek ici ? Donc je suis bien certains que certains d’entre vous le fond.
4. Conclusion
Voilà, voilà. Il ne me reste plus qu’à faire le tour de mes centaines de comptes à travers le net et sécuriser mes passwords. Oui parce que utiliser un gestionnaire de mot de passe pour au final garder les mêmes mots de passe assez basiques (pas 1234 quand même) c’est franchement débile !
Geekement votre,
–
Pierre B.
Y’a quelqu’un qui a utilisé One Safe 4 ? C’est mis en avant sur l’App Store depuis quelque semaines.
oooops. AGAIN
Pour ma part, je suis passé de 1password dont j’étais très satisfait jusqu’au début d’année à une solution auto hébergé chez moi ( nextcloud + keyweeb ).
Su 1password, j’adorais l’idée d’avoir un fichier local de mes mots de passe.
Le fait de devoir passer par un outil web pour pouvoir y accéder partout, ça ne me botte pas du tout.
En plus la dite plate forme web est payante.
bon 1password est un super outil, donc payer pour l’utiliser , ça ne me dérange pas plus que ça, mais avec mes mdp sotckés dans le cloud , ça me gêne fortement.
Du coup , j’ai tout mis sur Keypass.
Et de keypass à keeyweb ( qui est en fait un plugin nextcloud/owncluoud pour gérer des fichiers Keypass ).
Donc tout est @home, et si ça plante, c’est pour ma pomme.
En plus je pense que je n’utilisais pas la moitié des features de 1password.
J’envisageais cette solution mais je crains de ne pas avoir les compétences pour maintenir le niveau de sécurité nécessaire au niveau de mon réseau local et de mon serveur pour assurer le même niveau que ce que j’attends de la part des fournisseur en ligne (tant pour l’aspect confidentialité que pour celui de la disponibilité et de l’integrité)
As-tu une expertise particulière dans le domaine ou penses-tu seulement que tu es capable de maintenir la sécurité nécessaire ? (je n’envisage pas que tu considères tes mdp comme triviaux et ne nécessitant pas un haut degré de sécurité vu que tu refuses déjà de les mettre sur un serveur distant)
Question 1Password.
Ca fait longtemps que je l’utilise et j’en suis pleinement satisfait.
Maintenant ca fait plusieurs messages que je vois passer où on parle de stockage des mdp dans le cloud.
Perso j’ai tout en local. Cette histoire de cloud c’est avec les dernières versions? Un truc imposé aux nouveaux users?
Pour l’instant tout va bien mais ce me ferait chier de me retrouver à plus pouvoir tout avoir en local 
+1, je ne vois pas d’un très bon oeil ce changement de modèle économique d’agilebits. Je comprends l’intérêt pour eux mais pour un sujet aussi sensible c’est bien d’avoir une alternative.
Pour le moment la synchronisation sans passer par leur service est toujours possible, mais pour combien de temps ?
Bon apres en matant la page que tu link, je me fait la reflexion que j’utilise la sync via dropbox, donc au final est-ce que ca serait bien different ?
In fine ce qui me chagrine le plus c’est cette histoire d’abonnement. J’ai pas trop suivi ce qu’ils font et ca me ferait surtout chier si jamais je devais d’un seul coup raquer un truc tous les mois alors que j’ai déjà payé le soft une fois.
Je me suis un serveur debian, avec acces apache https+.htaccess + filtrage iptables .
Je pense que cela suffit ( il faut le mot de passe d’accès + le mdp nextcloud + le mdp pour ouvrir le fichier keypass et tout ça à partir d’une IP préalablement connu )
Pour moi il y a une différence importante. Avec la sync dropbox, j’ai un coffre fort chiffré que je choisis de déposer chez dropbox (ou autre) pour la syncho. Si demain mon compte dropbox est compromis, par un tiers ou un employé de dropbox, celui-ci devra s’amuser à déchiffrer le coffre-fort.
Dans le cas où c’est le fournisseur du soft de gestion de mot de passe qui assure la synchro, le risque est différent. D’une part la tentation de ne pas stocker directement le coffre-fort mais directement les données est grande, la nécessité d’avoir une master-key pour offrir plus de service (analyse des mdp, etc…), arrive assez vite et les emmerdes aussi (pas le cas aujourd’hui il me semble).
Techniquement il y a toujours moyen d’avoir des problèmes, un développeur mal intentionné introduit une saloperie dans l’appli, un exploitant mal intentionné accède aux données, etc… Ça peut toujours arriver quel que soit l’endroit où sont stockées les données, mais le fait de ne pas les stocker chez l’éditeur et de créer de la distance réduit un peu le risque et satisfait ma parano 
J’ai absolument aucun soucis avec les abonnements et les services bien managés. J’ai beaucoup plus de problèmes à perdre des heures à gérer ça moi-même, moins bien. Il faut également bien prendre en compte les limites d’une solution auto-hébergée (crashs de HD, cambriolages, incendies, etc.), qui à mon sens sont bien plus plausibles qu’un problème chez 1P ou autre. Lastpass, on dit de se méfier depuis des années, c’est pas nouveau. Du reste j’ai un pote qui vient de découvrir ça (NAS volé dans un cambriolage "tiens c’est zarb j’ai plus accès à mon cloud). Du coup, ça oblige à backup le NAS… souvent sur le Cloud (coucou Amazon Drive)… 
C’est vraiment en fonction du placement du « curseur parano » chez chacun (et de ses capacités / envies techs). Accessoirement je suis fan du login dans les apps iOS. Au final, il n’y a pas vraiment de solution parfaite et certainement aucune gratuite. Loin de là. Ou alors vous considérez que votre temps n’a pas de valeur, ce qui est à mon sens la plus grosse erreur (sans parler du matos nécessaire)…
Ça c’est une chose qui est sûre.
Pour ma part j’aime bien auto-héberger mes services, parce que ça m’intéresse et m’amuse. Je ne pense pas plus gâcher mon temps que quelqu’un qui regarde une série TV ou joue à un jeu. Chacun son délire 
Ah mais complètement. Mais quand ça devient une purge pour une raison X ou Y, il faut savoir gérer le problème.
Popopoooooo ça c’est le grenre de feature qui a intérêt à arriver chez iOS fissa
Autre info qui peut intéresser du monde :
Et plein d’autres trucs intéressants dans leur forum (j’avais pas été creuser depuis un moment). La v6 pour Windows est bien prévue pour pouvoir écrire dans les fichiers classiques “un jour” et être 100% compatible avec une sync Dropbox (elle peut déjà lire ce fichier). Si le marketing pousse l’abonnement, c’est clairement en réaction à la concurrence / simplicité d’usage des 1st time users, qui accèdent au passage à toutes les apps. Pour les users plus avancés / anciens utilisateurs du produits, il est bien prévu que tout reste “comme avant” pendant encore de longues années.
Je suis repassé sous Dashlane perso, mais ça m’a coûté. J’ai beau savoir LP pas trop secure, ses fonctionnalités me manquent et Dashlane est un peu à la rue sur certains trucs parfois bien pénibles, comme l’UX de manière générale (il est où le clic-droit dans l’extension FF ?), les authentifications http pas gérées, ou certaines options planquées comme l’obligation de désactiver les auto-login déjà enregistrés un par un, sans possibilité de le faire globalement (on peut, mais uniquement pour les futurs logins), ou encore le prix de la sync quand on compare à LastPass (mais bon, la sécurité a un prix, j’imagine). Bref, on verra à l’usage, mais on commence à vraiment manquer d’un soft sérieux et complet sur le marché Windows, ça saoule. 
Perso je trouve la v6 de 1P très prometteuse, super rapide et efficace. En revanche clairement faut qu’ils se sortent les doigts et terminent l’intégration Dropbox / folders ASAP. Dashlane j’aime pas du tout et c’est bcp plus restrictif et moins complet que 1P, j’ai presque envie de dire « même sous Windows ». Surtout à ce tarif
Il n’y a aucune raison de penser que Dashlane ou 1P sont plus (ou moins) sécurisés que LP. LP est vachement visé étant donné sa notoriété, c’est pour ça que Tavis Ormandy (le John Wick de l’infosec) s’est mis dessus et l’a plombé. On pourrait craindre que Dashlane et 1P aient des problèmes similaires s’il s’y mettait (ou pas; hein, mais sans preuve du contraire on reste dans le théorique). Mais ça c’est ma vision de parano de la sécu.
(N.B.: ce sont les extensions LP, ainsi que le binaire Windows si on l’installe, qui étaient vulnérables, par le service en lui-même ou les échanges entre le service et les machines qui l’utilisent - ce qui est un poil plus rassurant mais pas la panacée)
Du coup moi maintenant c’est KeyPass et basta. Pour synchro entre les PCs je reste sur mon choucou SyncThing et ça fonctionne bien comme ça.