J’ai testé tellement de gestionnaires de mots de passe que je ne sais plus à combien j’en suis, et je suis toujours revenu à 1Password, dont j’ai parlé pour la dernière fois ici.
Franchement, c’est le meilleur, on dira ce qu’on voudra, mais voilà, il est vendu sous forme d’abonnement, ce qui déplaît à beaucoup d’entre nous.
Oui, je sais, il est encore possible de l’acheter en version 7 sous forme de licence, mais le passage à la version 8 pour les jours à venir va imposer le modèle de l’abonnement.
Cela étant, beaucoup de gestionnaires de mots de passe sont passés audit abonnement, donc finalement, pourquoi ne pas prendre finalement le meilleur, même s’il est un poilounet plus cher?
Mais oui, lecteurs du Blog du Cuk, je vous ai compris, vous ne les aimez pas, ces fichus abonnements, c’est comme ça, donc bon, quand je suis tombé l’autre jour sur Secrets, que l’on trouve dans Setapp, mais qui bien sûr se vend en parallèle en licence perpétuelle pour 20 francs suisses sur Mac, et autant sur iOS (donc 40 francs en tout si l’on veut synchroniser), je me suis dit que ça pouvait vous intéresser.
Du coup, je l’ai essayé, en désactivant mes extensions 1Password pendant une dizaine de jours, et en activant Secrets à la place, pour voir comment je supportais la chose.
Et autant le dire tout de suite, ça s’est très bien passé.
Avertissement
Contrairement à mes autres tests, j’utiliserai dans cet article une ou deux captures d’écran de l’éditeur Outercorner: certes, c’est moins personnalisé que si je vous montre les miennes, mais vu que si j’employais ces dernières, je devrais les flouter un peu partout, ce ne serait ni très joli ni parlant.
Ces captures d’écran montrent des textes en anglais, mais sachez que Secrets est parfaitement traduit en français, comme vous pouvez le constater sur mes propres captures d’écran qui n’avaient pas besoin d’être floutées dans certaines circonstances. Son aide, elle, reste en anglais
Secrets, c’est quoi?
Secrets est un excellent gestionnaire de mots de passe, très proche dans sa manière de fonctionner de 1Password, raison pour laquelle il m’a bien plu.
Il est sécurisé en utilisant des algorithmes modernes puisque, selon son éditeur, “il s’appuie sur la célèbre bibliothèque Sodium et ses implémentations d’algorithmes de cryptographie modernes tels que XChaCha20 et Poly1305 pour protéger les données de l’utilisateur“.
Contrairement à 1Password, aucun mot de passe n’est stocké sur le site de l’éditeur.
La saisie du mot de passe pour entrer dans Secrets s’effectue soit par l’entrée d’une phrase secrète qui peut être un mot de passe tout simple (ce qui n’est pas recommandé), soit un moyen biométrique, à savoir TouchID sur Mac, ou FaceID sur un iPhone.
Vous pouvez aussi normalement utiliser votre AppleWatch pour déverrouiller le coffre sur Mac, mais, même si la chose est proposée, que l’on sent bien la petite vibration dans la montre vous signalant que vous pouvez agir, je n’ai pas réussi à la faire fonctionner, j’ai dû utiliser TouchID.
Notez que Secrets vous propose d’imprimer un code QR associé à une clé qui vous permettra de récupérer votre mot de passe perdu.
Comme vous pouvez le voir ci-dessous, vous pouvez même tester votre clé une fois celle-ci imprimée.
Je trouve cela rassurant, sachant que, bien évidemment, vous devrez avoir caché ladite impression dans un endroit connu de vous seul.
L’import depuis d’autres gestionnaires
J’ai pu importer de manière parfaite mes mots de passe depuis 1Password.
Mais attention! Depuis 1Password 7, qui lui exporte au format 1.pif, bien reconnue par Secrets, alors que j’utilise la version beta 8 depuis des mois, qui elle exporte en 1PUX!
Heureusement, j’ai un Mac avec 1Password 7 bien synchronisé avec le service, et j’ai pu utiliser l’export .1pif qui a superbement été reconnu, avec les mots-clés et tout et tout.
C’est même l’un des meilleurs imports que j’aie pu faire lors de mes tests lorsque j’essayais de récupérer mes mots de passe 1Password dans d’autres logiciels.
Autre solution, j’aurais pu passer par du CSV en qui je n’ai pas vraiment confiance…
En plus de 1Password, Secrets peut importer depuis lui-même, Safari, LastPass, Rapido Serial, PasswordWallet, Enpass et, comme je l’ai dit plus haut, en CSV.
Notez que Bitwarden, testé ici et Dashlane, testé ici ne sont pas de la partie.
La fenêtre principale de Secrets Mac
Voici la fenêtre principale de Secrets.
À gauche, la liste de vos mots de passe, classés par catégories si vous décidez de les voir toutes, ou la liste des mots de passe appartenant à la catégorie sélectionnée.
Toujours à gauche, surplombant la liste, le champ de recherche qui affiche au-dessous les mots de passe trouvés au fur et à mesure de votre frappe.
À droite, le détail du mot de passe sélectionné à gauche, que je détaille un peu plus bas.
Lorsqu’on veut créer un mot de passe, la fenêtre suivante s’affiche:
S’ouvre alors une fenêtre présentant les champs dédiés à ce que vous avez choisi.
Ici, les champs proposés pour une nouvelle identification.
Et là, toujours pour l’exemple, pour une nouvelle licence de logiciel.
Comment appeler Secrets?
Pour appeler Secrets, vous pouvez bien évidemment le lancer comme une application normale, ou l’activer à travers un menu déroulant permanent.
Cela étant, vous risquez certainement d’en avoir le plus souvent besoin dans votre navigateur, et Secrets s’intègre comme extension à Safari, Chrome, Firefox, Brave et Vivaldi.
Imaginons que vous êtes devant une fenêtre de site vous demandant votre identifiant et votre mot de passe.
Bon…
Avec 1Password, le mot de passe peut être entré directement en cliquant dans le champ, et c’est vraiment quelque chose de très pratique.
Avec Secrets, ce n’est pas possible, mais ce n’est pas très grave, c’est juste un tout petit peu moins confortable.
Vous devez préalablement cliquer sur l’icône de l’extension de votre navigateur, et là, Secrets vous proposera ce qu’il vous faut reconnaissant automatiquement le site sur lequel vous vous trouvez, comme le font la plupart des gestionnaires de mots de passe.
Vous cliquez sur “Remplir” et le tour est joué.
Ce que fait aussi Secrets
Secrets gère également les mots de passe à usage unique et l’authentification à deux facteurs.
Il sait également vérifier la vulnérabilité de vos mots de passe, pour ce faire, il suffit de cliquer sur le bouton “Vérifier”. Le programme se base sur Have I been pwned pour ce faire.
Notez que 1Password fait le même travail d’un coup pour tous vos mots de passe, ce qui est encore plus pratique:
Secrets peut aussi vous montrer l’historique de vos mots de passe, ce qui peut être pratique si vous ne devez pas réutiliser un mot de passe avant X semaines ou mois.:
Secrets sur iOS
Secrets sur iOS fonctionne de la même manière que 1Password et il est aussi bon que lui sur cette plateforme.
Notez que si j’utilise 1Password 8 sur Mac en version beta, j’ai bêtement raté l’invitation pour la version iOS, donc je compare avec la version 7.
Lorsque vous êtes sur un site sur lequel vous voulez vous connecter, vous tapez dans le champ d’entrée, et iOS vous propose d’utiliser les mots de passe.
Vous verrez alors la fenêtre de Secrets s’ouvrir et vous reconnaître via FaceID, et le mot de passe sera automatiquement entré dans les champs de connexion.
Super bien fait, rien à dire.
Sur iPad, tout bien aussi.
Ce que ne fait pas Secrets
Secrets ne récolte pas vos mots de passe, ils sont synchronisés sur iCloud si vous le désirez avec vos autres appareils.
Ce sera une bonne chose pour certains, pour moi, cela a un inconvénient magistral: impossible d’avoir un coffre commun.
Sur 1Password, j’en ai un privé, contenant la plupart de mes mots de passe, et un autre que je partage avec Madame K, avec tous mots de passe communs.
J’en change un dans ce coffre, il l’est automatiquement sur tous les appareils de Madame K.
Elle en change un, et je profite de ses modifications immédiatement.
Secrets ne peut pas le faire, je trouve cela dommage.
Secrets est limité au monde Apple, contrairement à 1Password, ce qui est peut-être rédhibitoire pour vous si vous travaillez dans les deux mondes.
Pour le reste, Secrets me semble aussi bien pensé que 1Password, mise à part son intégration aux sites web un poil moins puissante que celle de 1Password.
En conclusion
Secrets est un logiciel de gestion de mots de passe puissant, esthétique, facile à prendre en mains.
Je l’apprécie énormément, ce d’autant plus qu’il est intégré à Setapp et qu’a priori, je n’ai pas besoin de l’acheter.
Sur Mac seulement, car contrairement à d’autres applications intégrées à Setapp, l’éditeur impose de payer 20 francs pour la version iOS.
Sinon, si vous n’êtes pas sur Setapp, le logiciel vous reviendra donc 40 francs, 20 sur Mac, 20 sur iOS.
Ce n’est pas cher, et comme ce logiciel est très bien réalisé, facile à prendre en mains, et même si je sais que je continuerai avec 1Password parce que je veux partager certains mots de passe avec Madame K, j’attribue sans hésiter un Too Much Bô à Secrets qui a été une très belle surprise pour moi.
Juste un détail, il n’est plus possible d’acheter une licence pour 1password 7 depuis un bon moment. L’option a été supprimée depuis au moins 1 an. À la fois pour préparer la sortie de la prochaine version qui ne le permettra plus, mais aussi je pense pour pousser encore davantage à l’abonnement.Concernant Secrets, il n’est malheureusement pas multiplateformes, mais si je me rappelle bien un article du blog de son auteur, on peut accéder à nos mots de passe sur Windows depuis une extension pour navigateur, qui se connecte à notre iPhone. D’après une vidéo sur le même blog, on devrait aussi pouvoir remplir un mot de passe en cliquant directement dans un champ de mot de passe sur Mac. Même si cela semble un peu moins transparent qu’avec 1password.
J’utilise BitWarden (dispo sur : iOS/iPadOS/Androïd/macOS/Windows/Linux/etc), gratuit. Et j’ai même installé le serveur VaultWarden dans docker sur Synology. vaultWarden est le fork gratuit de l’app. serveur bitWarden (bitwarden lui veut une licence payante pour son serveur). Il existe une extension pour la majorité des navigateurs.
Tout est OpenSource et gratuit, et fonctionne à merveille.
Pour ceux qui voudraient tenter, cette vidéo explique comment l’installer sur Synology, il faut juste installer le package vaultWarden à la place. Le reste est identique ->
Bonjour François,
J’ai deux questions à vous poser .
La première: L’authentification à deux facteurs est bien prise en compte dans Secret (c’est bien ce que j’ai compris dans votre article) ?
La deuxième: Pourquoi passer à Secret si on utilise le trousseau iCloud (ça apporte quoi de plus) ?
Merci par avance !
Oui, encore faut-il que son NAS soit facilement accessible depuis l’extérieur, le mien ne l’est pas depuis mon travail.
Sinon, pour la plupart des utilisateurs, BitWarden n’est pas gratuit, en tout cas, il ne l’était pas au moment où j’ai fait les tests pour profiter de toutes ses fonctions.
Oui, c’est vrai, mais Secrets sur Windows, ça tient plus du bricolage que d’une vraie utilisation limpide.
Pour le remplissage dans les champs directement (ou plutôt indirectement comme le montre ta vidéo), ça ne fonctionne pas chez moi. Je peux faire un raccourci clavier qui ouvre Secrets, mais c’est bien moins souple que ce que propose 1Password.
Pour la première question, oui, c’est ce que dit l’éditeur en tout cas.
Mais je n’ai jamais tellement compris ce que veulent dire les éditeurs à ce niveau (tous): pour moi, l’authentification à deux facteurs fait appel à mon téléphone dans un deuxième temps, après avoir entré le mot de passe dédié au site qui lui est sur mon gestionnaire de mots de passe, et je ne vois pas trop ce que cette gestion des mots de passe à double authentification que lesdits programmes de gestion des mots de passe mettent avant vient faire à dedans.
D’ailleurs, si on peut m’expliquer, peut-être que je verrai la lumière.
Secrets permet la gestion des notes secrètes, des licences pour logiciels, et se trouve être bien plus accessible que le trousseau d’Apple, qui évolue, il est vrai. Peut-être que celui de MacOS 13 continuera à le faire, mais vraiment, à l’heure actuelle, un logiciel comme Secrets ou 1Password ou autre reste pour moi largement au-dessus.
Mais je comprends la question puisque l’un des avantages de beaucoup de ses concurrents est d’être multiplateformes, ce que n’est pas Secrets, qui reste malgré tout bien plus intuitif que Trousseau d’accès.
Pour ma part, j ai hésite entre Enpass et Secrets pour finalement pendre une licence à vie de Enpass (trouvé à 30 euro).
La synchro fonctionne comme secrets sauf que l on peut faire plusieurs coffre via plusieurs cloud pour avoir un partage avec plusieurs utilisateurs par exemple, mais ça reste moins souple que 1password
Comme de coutume, merci pour ce test complet .Pour ma part, je cherchais une solution qui permette de stocker sur icloud, ou sur un nas, les mots de passe et non sur le site d’un éditeur. J’ai testé pas mal de logiciels, et j’ai retenu pour ma part Strongbox (https://strongboxsafe.com).Avantage pour moi, il utilise le format KeePass que j’avais utilisé ultérieurement, permet sous Safari et d’autres, le déverrouillage via biométrie (mac) ou Face ID (ios), et on peut avoir plusieurs coffres. Bref, pour moi un bon outil.
Oui, Enpass est très bien, multiplateforme et partage les mots-clés.
C’est vrai aussi que le plan à vie à 77 francs est intéressant.
Il est à moitié prix sur stacksocial, je ne sais pas vraiment jusqu à quand par contre
Oui, Strongbox m’a l’air très complet à tous points de vue, je ne l’ai pas encore essayé.
Merci du signalement.
626f85dfa1bf2658051d058a.jpeg
?
Il y a certains sites qui au lieu de t’envoyer un SMS proposent d’utiliser un logiciel ou un appareil (dans le genre de la calculette jaune de la poste) pour générer une clef chiffrée. (Après donc le mot de passe et le non d’utilisateur). Ça fonctionne super bien avec 1Password qui copie directement cette clef dans le presse papier.
Ça fonctionne notamment avec infomaniak me semble.
Hello François, je tiens à rectifier un de tes propos, Bitwarden est bien gratuit pour la plupart des utilisateurs.. je l’utilise sur Mac, pc et iPhone & iPad et il est top ! Pourquoi payer un abonnement alors que Bitwarden répond aux usages les plus courants pour la gestion des mots de passe, certes un peu moins sexy que Secrets ou 1Password mais tout à fait correct et surtout gratuit !!!
Merci pour ce test, François.
Tu dis: «Contrairement à 1Password, aucun mot de passe n’est stocké sur le site de l’éditeur.»Mais ensuite: « ils sont synchronisés sur iCloud. »
Il n’y a pas de possibilité, comme pour 1Password, de synchroniser via Dropbox ou autre?
Bonne journée
ciao, n
Je n’ai sérieusement jamais apprécié le gratuit. J’ai l’impression de profiter du travail d’autres gens. Quand j’étais allé sur Bitwarden, j’avais pris un abonnement le temps du test.
OK! Et comment tu fais pour entrer la clé de la calculette jaune de la poste (ou la grise de l’UBS)?
Magnifique!
Non, que sur iCloud, mais tout le monde a un compte iCloud de base, les mots de passe ne pèsent certainement pas bien lourd.
Question “béotienne”.
Pourquoi ne pas utiliser “Trousseaux d’accès” ? Quels sont les reproches à lui faire ?
Il est fourni par MacOs/IOs (dans sa version “Mots de passe”).
J’ai donné la réponse dans un autre commentaire: Mots de Passe évolue dans le bon sens, mais pas de notes sécurisées, pas de gestion des licences d’applications, pas de multiplateforme (Secrets non plus, je l’ai dit). S’il fait tout ça dans le prochain OS, même en restant sur Apple, alors on pourra discuter, sauf qu’il ne partagera certainement pas encore le partage de mots de passe, tellement pratique sur 1Password et d’autres.
Merci. Mais ce n’est pas une question d’espace, mais bien de comprendre si les mots de passe peuvent être stockés sur un serveur à choix (idéalement sur un dont on a un minimum de contrôle), ou bien s’ils sont sur les serveurs d’Apple. C’est clair maintenant, merci.
Ce n’est pas en réponse à ta première question, mais la calculette tu peux l’amener à la déchetterie pour recyclage, et t’authentifier sur postfinance, via l’app https://www.postfinance.ch/fr/particuliers/produits/banque-digitale/login-via-app.html
Je crois bien que la poste est un mauvais exemple. Ils ont leur app, et je crois que tu dois utiliser ça. La fonction s’appelle « mot de passe unique » dans 1password. Tu scan un qrcode ou entre un code que te donne le site sur lequel tu actives ça et le reste se fait tout seul….
Techniquement le gestionnaire est gratuit. Si tu veux partager les coffres ou améliorer la sécurité avec du 2fa c’est 10€ par an environ. Personnellement je suis très content de bitwarden. En plus il va proposer des username aléatoire pour augmenter l’anonymat de la personne. (Même principe que Apple avec masquer l’email)
J’ai plus confiance en une application opensource et que je pourrais hébergez-moi même facilement.
Bitwarden et un petit serveur (rpi) avec Yunohost dessus et le tour est joué sans se prendre la tête.
De plus, la version version gratuite propose le partage entre deux personnes, sinon il faut passer au forfait supérieur.
Les applications gratuites peuvent l’être, car aujourd’hui elles proposent des abonnements avec des fonctions en plus, ou car elles ont des offres pour les entreprises qui permette de proposer la gratuité au particulier.
Le gratuit ou plutôt l’open source est là pour proposer des alternatives et n’empêche pas de rémunérer les développeurs.
Et pour beaucoup d’application en open source, elles sont aussi la pour garder ca vie privé ce qui est très important pour moi.
Pour avoir testé plusieurs applications, je trouve que Bitwarden très simple et facile.
Oui, Bitwarden est très bien.
Maintenant, l’OpenSource ne me semble pas être un gage de vie privée préservée.
OK, je vais voir, merci beaucoup!
Ouais c’est à la fois très compliqué à expliquer mais assez simple dans la pratique.
Et bien, une application renommée en open source est forcément scrutée et analysé, elles ont aussi l’avantage de pouvoir être utilisées et hébergées chez soi. À la différence d’une apps propriétaire qui en plus est hébergée aux US… La majorité des applications qui préserve la vie privée sont open source. Je préfère sacrifier quelque fonction pour avoir quelque chose que j’essaie de maitriser.
Ouaaaaaiiiiiiis!
C’est trop top, je viens d’en configurer un (Infomaniak) avec 1Password 8! Génial.
Merci.
Comme quoi, des fois, on se fait une montagne d’un truc, il suffit d’aller voir dans le mode d’emploi pour voir que ce n’est pas si compliqué que ça.
Je comprends.
Oui, la transparence d’une application OpenSource n’est pas mal pour les spécialistes, mais pour Monsieur tout le monde, c’est autre chose.
Et j’ai aussi vu des applications commerciales qui permettent d’héberger ses données chez soi.
Enfin, 1Password permet de garder ses mots de passe en Europe si jamais.
Mais je comprends bien tes inquiétudes.
Euh… ça m’a l’air très intéressant, mais j’ai pas compris.
En fait, tu dis au site qui veut la double authentification que tu veux une méthode supplémentaire pour la double authentification, le SMS (par exemple) ou / et l’application 1Password qui joue alors le rôle d’authentificateur et qui génère un mot de passe unique valable 30 secondes, puis le renouvelle.
En gros, tu n’as ensuite plus rien à faire.
Fidèle à Dashlane depuis les tout-débuts en 2012…
Je me souviens qu’il avait un temps surclassé 1password dans les avis du Chef d’ici !
Licence “À vie” dès la première année, il ne me coûte plus rien depuis longtemps… mais je dois faire attention lors des mises à jour pour ne pas subir les insistantes sollicitations qui me feraient perdre mon statut “À vie”.
Concernant l’appli de base Password fournie avec le Mac et Safari, je l’utilise aussi mais en évitant d’y loger des droits d’accès très protégés auxquels je tiens et que je ne sauvegarde qu’avec Dashlane.
En effet, je trouve que Password protégé seulement par le mot de passe de session n’est pas assez sécure…
Bah oui, mon mot de passe de session ne comporte pas 16 caractères incompréhensibles, avec minuscules, majuscules, chiffres et caractères spéciaux : ce serait invivable de taper ça plusieurs fois par jour !
Et vous, vous faites comment pour le mot de passe de session ?
Bon ! Il y a l’ouverture avec la Watch… 😉
Pour le mot de passe de session, j’utilise une Yubikey. Je n’ai qu’à saisir un NIP à 8 chiffres.
J’utilise Secrets depuis longtemps. Étant cantonné sur MacOS et iOS, cette app. est parfaitement adaptée à mes besoins. Tout à fait d’accord pour lui attribuer le label. Merci pour la présentation détaillée, qui me conforte dans mon choix.
Merci. Je vais voir dès que je peux. C’est que je suis à la retraite, moi… pas qu’ça à foutre!
?
Yubikey : je ne connaissais pas et tu as bien fait d’en parler.
Le coup du dongle à glisser dans la machine : pourquoi pas !
En revanche, je n’ai pas vu l’histoire du NIP à 8 chiffres… ma banque utilise ça au lieu d’un mdp à rallonge et ça semble efficace. 😉
C’est avec l’application de management qui se télécharge.
En prenant la bonne version de la clé pour ton matériel (USB-C, USB-A etc), par exemple pour une personne ayant un iPad Pro (USB-C) + iPhone (NFC) + Mac ou PC avec USB-C, il faut prendre la clé YubiKey 5C NFC (70$CDN sur Amazon).
Dès que tu l’enfiches dans ton Mac et après l’avoir configurer avec leur appli, tu pourras utiliser un NIP à 8 chiffres au lieu de ton MDP.
Je présume ne plus bénéficier de l’ouverture facilitée par ma Watch… ça fait double emploi.
De plus, l’idée intéressante serait de complexifier le MDP du Mac puisque l’ouverture est surveillée par le dongle qui facilite la vie. Mais ça suppose de mémoriser un MDP compliqué qui ne servira plus que rarement, quand le dongle est déconnecté… autant dire une galère de mémoire !
Je pourrais pas te dire, j’ai pas de watch !
Dashlane, je l’ai en effet testé et j’en ai dit le plus grand bien, jusqu’à ce que je mette à jour l’article.
Plein de choses se sont mises à ne plus fonctionner, alors que 1Password ne m’a jamais causé le moindre souci.
À propos du flux qui était supérieur chez Dashlane, eh bien 1Password l’a rattrapé depuis longtemps, sans même parler de ce qui se passe en v8 dont je vais vous parler très bientôt, la semaine prochaine, j’espère.
Cela fait longtemps que j’ai abandonné Dashlane, d’ailleurs, c’est étrange, mais lorsque je lis les commentaires aux divers tests que je lis un peu partout, on dit “moi, je préfère celui-ci, open source”, “moi celui-là, gratuit”, et j’en passe, mais plus personne ne parle de Dashlane.
Serait-il en perte de vitesse?
Et pour finir, avec 1Password, tant l’AppleWatch que TouchID ou encore que FaceID fonctionnent.
Et sans le moindre problème.
Oui, si on reste sur Mac, cette application est vraiment très bien.
Ah? On choisit comment la localisation d’hébergement des mots de passes?
J’ai évidemment très envie de pouvoir héberger mes données moi-même, mais gérer des serveurs et autres c’est chronophage et surtout au delà de mes compétences. J’ai tenté les serveurs owncloud hébergés au bureau mais c’est l’enfer au quotidien.
(Déjà que kdrive herbergé en Suisse est pas toujours pas aussi pratique et facile que Dropbox)
Mirou, pour BitWarden ?
Non pour 1password?