Mozilla vient de publier Firefox Lockbox pour Android, huit mois après la version iOS. Les deux applications sont strictement les mêmes. Nous faisons le point sur ce gestionnaire de mots de passe qui n’en est pas un, dernier signe d’un changement de stratégie chez l’éditeur.
Les gestionnaires de mots de passe ont de nombreuses vertus. D’abord, ils réunissent dans un même endroit tous les identifiants utilisés sur le web ou dans les applications. La plupart s’y ajoutent automatiquement, mais on peut aussi le faire manuellement. Ensuite, et surtout, ils génèrent des mots de passe aléatoires, à la taille et à la complexité réglables, comprenant minuscules, majuscules, chiffres et caractères spéciaux.
Mais dans la plupart des cas, les mots de passe enregistrés ne sont disponibles qu’au travers d’une application mobile ne pouvant se synchroniser que si un abonnement est dûment payé. Dans les outils connus, seuls LastPass et BitWarden proposent gratuitement cette fonctionnalité. Or, sans elle, les mots de passe complexes sont difficilement exploitables sur un smartphone quand on souhaite se connecter sur une application ou un site.
C’est ce que Mozilla veut simplifier avec Lockbox : une application d’accompagnement pour Firefox permettant de retrouver sur mobile ses mots de passe. Mais Lockbox n’est pas à proprement parler un gestionnaire, et Mozilla ne le présente pas vraiment ainsi.
Il permet certes d’y accéder, mais pour l’instant rien de plus.
Une application compagnon pour Firefox
Qu’est-ce que Lockbox ? Au départ un projet développé au travers de l’initiative Test Pilot, qui n’existe plus. L’idée générale était de faciliter l’exploitation des mots de passe enregistrés dans le navigateur, débouchant sur les applications que l’on connait aujourd’hui.
Elles existent actuellement pour Android et iOS, avec les mêmes capacités. On récupère chacune d’elles depuis la boutique idoine, avec un premier avertissement : elles ne sont disponibles qu’en anglais. Une fois installée, l’application réclame l’identifiant et le mot de passe du compte servant à synchroniser les données dans Firefox (Sync).
Traduction, si vous n’en avez pas encore un, il faudra obligatoirement le créer, puisque le service sert de pont de synchronisation. Une réutilisation logique puisque Sync s’occupe déjà des échanges entre les différentes versions installées, l’envoi d’onglets d’un appareil vers un autre, la sauvegarde des données, etc.
Une fois cette étape franchie, vous accédez directement à la liste des mots de passe enregistrés. Du moins en théorie. La version Android a ainsi synchronisé les données sans autre forme de procès. L’application iOS, elle, a curieusement refusé de synchroniser quoi que ce soit, en dépit d’un compte correctement connecté et de nombreux rafraichissements.
Après de multiples contrôles (notamment que la case Identifiants était cochée dans Firefox pour Windows), nous nous sommes résolus à désinstaller l’application et à la réinstaller. Cette fois, après reconnexion du compte, les identifiants étaient bien là. Notez d’ailleurs que nos captures proviennent de la version iOS, la mouture Android les interdisant.
Capacités de Lockbox : on en fait très vite le tour
Nous n’inscrirons pas Lockbox dans la liste des gestionnaires de mots de passe. Comme dit, le service ne sert qu’à accéder à ceux enregistrés depuis un Firefox « desktop », donc sur Windows, macOS ou Linux.
Il ne peut pas créer de nouveaux mots de passe, ne permet pas de les éditer et ne propose aucune fonction supplémentaire, comme le stockage de notes sécurisées. Cependant, un utilisateur de Firefox sur ordinateur pourrait bien y trouver son bonheur. S’il cherche uniquement à accéder à ses mots de passe, Lockbox peut faire l’affaire.
L’application propose, sur Android comme sur iOS, de remplir automatiquement les champs de saisie dans les applications et les sites web, quel que soit le navigateur utilisé. Attention cependant sur les iPhone et iPad d’Apple, iOS 12 doit être obligatoirement installé.
Pour qui ne souhaite que faire le lien entre l’ordinateur et ses appareils mobiles, la solution peut suffire. D’autant que si Lockbox ne crée pas de mots de passe, l’utilisateur peut se tourner vers un outil tiers depuis son PC ou son Mac. Rien n’empêche par exemple de se servir de Dashlane ou KeePass pour créer un identifiant fort, puis de l’insérer dans un formulaire d’inscription. Firefox propose alors de le sauvegarder, la synchronisation faisant ensuite le travail.
On note quand même quelques options, comme un temps de verrouillage par défaut fixé à 5 minutes ou le navigateur dans lequel ouvrir les sites. Un réglage permet également de couper la télémétrie, active par défaut. Mais on n’ira pas beaucoup plus loin.
Sécurité : à la fois un bon et un mauvais exemple
En matière de sécurité, Lockbox semble faire tout ce qu’il faut. Les clients pour Android et iOS sont open source (licence MPL 2.0). Toutes les informations sont chiffrées via AES-256-GCM de bout en bout. Mozilla insiste bien sur ce point dans sa FAQ : les opérations de chiffrement ont lieu sur l’appareil, l’éditeur ne pouvant voir ni le mot de passe, ni les données.
Pour le reste, Lockbox utilise le protocole onepw pour se connecter au compte Firefox et obtenir les clés de chiffrement. Ces dernières sont fabriquées via PBKDF2 et HKDF avec SHA-256 pour le hachage. Côté application, on peut activer la biométrie, selon l’appareil utilisé.
Cela étant, même si Lockbox en lui-même assure la protection des données de l’utilisateur, il ne fait rien pour améliorer la sécurité générale. C’est le gros reproche que l’on peut faire à Mozilla sur cet outil qui, somme toute, remplit son devoir.
Mais en ces temps troublés où les mots de passe ont montré depuis longtemps leurs faiblesses (pas assez longs, pas assez complexes, réutilisés entre les services…) on aurait aimé que l’éditeur joue ici un rôle de premier plan dans l’éducation des utilisateurs. Même des navigateurs comme Chrome et Safari intègrent des fonctions de génération de mots de passe.
Dans Lockbox, on ne trouve rien, pas même une petite information sous forme d’un témoin de couleur pour renvoyer un indice de force sur chaque mot de passe.
Mozilla serait également en mesure d’intégrer directement dans Lockbox son service Monitor, créé sur la base des informations contenues dans Have I Been Pwned. Au contact d’une adresse email utilisée comme identifiant, Lockbox renverrait alors une alerte pour prévenir d’une fuite de données sur l’un des services utilisés. Une fonction que l’on trouve souvent dans les gestionnaires de mots de passe, notamment 1Password et Dashlane.
En d’autres termes, Lockbox préservera sans problème les informations, mais sans dire si ces dernières représentent un problème. Or, assurer la sécurité des données n’est en rien un argument mais un élément incontournable. Mais pour un éditeur qui a souvent interpelé les internautes pour les sensibiliser à la sécurité et à la vie privée, on pouvait en attendre davantage.
On rappellera donc quelques règles de bonne conduite pour les mots de passe :
- Utiliser tous les caractères disponibles (minuscules, majuscules, chiffres et spéciaux)
- Créer un mot de passe différent pour chaque site
- S’assurer d’une taille d’au moins 12 caractères chaque fois que possible
Pour en savoir plus, nous vous rappelons notre guide sur le sujet.
Lockbox comme représentant d’un changement de stratégie chez Mozilla
L’application était initialement un simple projet dans une pouponnière numérique, Test Pilot. D’autres comme Color, Notes, Price Treacker ou encore Side View sont toujours accessibles. Mais contrairement à Lockbox, ils ne font plus l’objet d’aucun développement actif.
L’un des rares rescapés est Send, lancé officiellement il y a deux semaines sous forme finalisée. Il fournit pour un rappel un service de stockage temporaire de données pour envoyer ensuite un lien chez un ou plusieurs contacts. Il est bien sûr loin d’être le premier du genre, mais la communication de Mozilla est largement axée encore une fois sur la sécurité et la vie privée, avec un chiffrement des données et de multiples options.
Lockbox et Send montrent clairement la voie choisie par un Mozilla sous pression. La décision récente de Microsoft d’abonner son moteur de rendu au profit de Chromium et Blink renforce la situation de danger dans laquelle se trouve le père de Firefox. Ce dernier est désormais le seul acteur significatif à s’opposer au raz-de-marée Chromium, utilisé par Brave, Opera, Vivaldi et prochainement Edge.
Les ressources de Mozilla étant limitées, des choix radicaux ont manifestement été faits, autour d’une accentuation du message central. Depuis la sortie de Firefox Quantum, de gros travaux ont été réalisés dans le navigateur, dont chaque version depuis est significative, tant dans les fonctions que dans les améliorations techniques. Mozilla prépare d’ailleurs le déploiement de WebRender dans la prochaine mouture 67, attendue en mai.
Autour de son produit le plus connu, Mozilla semble désormais s’atteler à de petits services simples et fortement connotés vie privée, comme autant de compléments pratiques pour Firefox. Les trois derniers services lancés par l’éditeur sont d’ailleurs Monitor, Lockbox et Send, qui ont tous le même angle d’attaque.
Mais là où Monitor et Send ont un fonctionnement évident, Lockbox a un rôle plus important à jouer. On espère donc que l’application se dotera de fonctions annexes, comme la génération de mots de passe, même sous forme simplifiée. Par exemple, avec une simple réglette pour influer sur la taille, mais avec tous les caractères imposés. Pour l’instant, il tient davantage de la liseuse que d’un gestionnaire.
Des améliorations prévues, mais sans calendrier
Nous avons interroigé Mozilla sur ces limitations. L’éditeur nous a par exemple confirmé qu’une version française était bien en préparation. Elle sera déployée « lors d’une prochaine mise à jour », sans plus de précision.
Il prend également note des limitations remontées : « À l’heure actuelle, l’application n’inclut pas la possibilité de générer des mots de passe et elle n’est pas connectée à la base de données de Firefox Monitor. Avec cette mise à jour, nous améliorons l’expérience de connexion à l’application pour les utilisateurs et utilisatrices de Firefox. Nous sommes en train d’explorer d’autres options pour une prochaine mise à jour et nous nous penchons sur les fonctionnalités que les utilisateurs et utilisatrices de Firefox apprécieraient le plus. »
Quelles options ? Justement le plus gros manque actuel : « Les utilisateurs et utilisatrices de Lockbox sur Android et iOS nous ont dit que la gestion de mots de passe est une des fonctionnalités qu’ils et elles recherchent le plus. Nous travaillons donc à donner la priorité à cette fonctionnalité dans les mises à jour à venir sur chacune de ces plateformes. »
Il ne reste donc plus qu’à attendre.