Apple Mots de passe : prise en main du nouveau gestionnaire dédié de mots de passe

Dans les prochaines versions majeures de ses plateformes, Apple aura enfin un gestionnaire de mots de passe dédié. Nommé sobrement « Mots de passe », il reprend les informations de Trousseaux, avec une interface et des fonctions spécifiques. Si ses capacités n’en font pas techniquement un danger contre les références du domaine, son intégration pourrait faire toute la différence.

Les gestionnaires de mots de passe s'insinuent progressivement dans le quotidien. Ils ont de nombreux avantages, dont le stockage des identifiants pour s'en resservir quand on en a besoin. Ils permettent aussi de générer des mots de passe (ou phrases de passe) forts, longs et aléatoires. Certains sont synchronisés et peuvent redonner les informations sur les autres appareils. Ce sont les plus connus : 1Password, BitWarden, Dashlane ou encore LastPass.

• Mais au fait, pourquoi un gestionnaire de mots de passe ?

Dans l’environnement Apple, Trousseaux permet depuis de nombreuses années de stocker les identifiants. C’est vrai notamment pour tous les mots de passe, y compris ceux des réseaux Wi-Fi. Synchronisé par le compte iCloud, il permet de rappeler les mots de passe dans Safari. Dans les autres navigateurs, c’est un peu plus compliqué, mais une extension existe pour les navigateurs Chromium, y compris sous Windows.

Mais Trousseaux n’est guère pratique à utiliser en tant qu’application. Il est davantage tourné vers la présentation transparente des informations quand on en a besoin. Dans iOS 18 et macOS Sequoia, Apple intègre donc un gestionnaire de mots de passe dédié. Il est désormais « aisé » de le tester, les bêtas publiques de ces plateformes étant disponibles depuis quelques jours.

Présentation générale de Mots de passe

Mots de passe est une nouvelle application dans les nouveaux systèmes Apple, dont les versions finales sont attendues comme d’habitude au début de l’automne. Elle est indépendante et directement affichée sur la grille sur iOS, mais pas dans le Dock de macOS. Sur ce dernier, elle est simplement présente dans le dossier Applications. Dans tous les cas, sa consultation réclame le mot de passe de la session ou une validation biométrique. Dommage, on ne peut pas ajouter un mot de passe plus fort pour renforcer la protection de l’accès.

Sur un Mac, à la première ouverture, l’application nous accueille en nous posant la question d’une importation. Un bon point, car la présence de cette fonction est cruciale. Elle permet aux personnes utilisant un autre outil d’y déplacer ses données, pour ne pas avoir à tout recommencer. Tous les gestionnaires existants ont un mécanisme d’exportation. Plusieurs formats sont en général proposés, mais la solution d’Apple n’accepte (pour l’instant ?) que les fichiers CSV (le cas le plus classique). Si vous n’avez utilisé que Trousseaux jusqu’ici, il n’y a rien besoin de faire. Attention cependant, l’importation n’est disponible que dans la version Mac. Une application Windows est annoncée, mais pas encore disponible.

L’écran suivant propose d’activer les notifications. Celles-ci peuvent survenir quand un mot de passe est enregistré, quand un groupe est modifié et, surtout, si des mots de passe sont compromis dans une fuite de données (Apple ne précise pas sur quelles listes il se base). Un point intéressant, car même s’il s’agit d’un service assez courant, il n’est pas encore présent dans toutes les solutions, du moins sans abonnement. Or, la solution d’Apple est gratuite.

L’interface générale est très classique. Sur Mac, on retrouve une vue avec trois colonnes : une pour les rubriques, une autre pour les mots de passe correspondants et enfin le panneau de visualisation des données. Si l’on utilise que la catégorie « Tout », on peut replier la première colonne via l’icône en haut à gauche. Les autres catégories comprennent les clés d’accès (passkeys), les codes de sécurité (TOTP) et les clés Wi-Fi. Deux rubriques supplémentaires sont proposées : Sécurité pour regrouper les avertissements (par exemple des mots de passe réutilisés), et Supprimés pour les données effacées depuis l’application.

Sur iPhone, la vue est bien sûr différente, mais cohérente : un écran par colonne. On arrive donc sur les catégories et groupes partagés, puis les données correspondantes, puis les détails quand on a sélectionné un mot de passe ou un autre code. Il existe également des versions pour iPad et VisionOS, qui reprennent dans les grandes lignes l’ergonomie de la version Mac.

Un grand bond face à Trousseaux

Avant de nous pencher plus avant sur Mots de passe, il faut déjà rappeler ce que sait faire Trousseaux. À vrai dire, presque tout. Le stockage des mots de passe et clés d’accès bien sûr, mais également d’autres capacités à travers diverses applications. Sous Safari par exemple, créer des mots de passe forts et aléatoires. Dans les Réglages du système, la partie dédiée offrait aussi des recommandations (dans iOS 18 et Sequoia, ces informations ont disparu, au profit de Mots de passe). Même la génération de codes TOTP est prise en charge dans Trousseaux.

Mais alors, pourquoi ne pas utiliser directement ce dernier ? Parce que… ce n’est pas pratique. Il suffit de voir l’interface :

L’ensemble des informations est rassemblé sous forme de listes, réparties en quelques rubriques peu claires pour la personne peu habituée à ce type d’information. Un moteur de recherche est certes présent, mais si l’on n’a pas une idée précise de ce que l’on veut trouver, l’application est vite rebutante.

Une présentation claire

La nouvelle application est beaucoup plus propre, répartissant les informations dans des dossiers nettement plus parlants. Toutes les données de type sécurité y sont présentes et affichées sous forme explicite. La liste Tout est affichée par ordre alphabétique, que l’on peut inverser ou changer pour trier par date de création ou de modification. On remarque également que les listes prennent davantage leurs aises, avec une présentation plus aérée que dans Trousseaux.

Les clés des réseaux Wi-Fi, jusqu’ici listées dans les paramètres réseau d’iOS et macOS, ont maintenant leur propre dossier et sont rassemblés dans une liste. L’application permet même de générer un code QR pour permettre à d’autres appareils de se connecter facilement, par exemple le smartphone d’un invité.

Même constat pour les avertissements de sécurité. Les alertes étaient affichées dans Réglages, mais elles sont désormais mises en avant. Elles apparaissent à deux endroits : sous forme d’un point d’exclamation dans la liste générale et dans une section dédiée. L’application peut prévenir de plusieurs problèmes.

En cas de mot de passe facile à deviner ou réutilisé, la mention est indiquée en gris. Si un mot de passe est compromis (impliqué dans une fuite de données par exemple), la mention est en rouge. On peut masquer l’alerte ou cliquer sur « Modifier ». Mots de passe renvoie alors vers la page concernée, mais le processus reste manuel.

Un fonctionnement plus souple

On peut bien sûr ajouter soi-même des mots de passe, même si l’application récupère automatiquement des données quand on utilise Safari pour s’inscrire. Il suffit pour cela de cliquer sur le « + » en haut de la liste « Tout », l’application proposant tout de suite un mot de passe fort et aléatoire. Un point important d’ailleurs : on peut créer un mot de passe sans ajouter d’autres informations, notamment un site web, alors que c’était une obligation dans Trousseaux.

Mots de passe propose également une évolution notable dans la gestion des noms de domaine. Désormais, pour un même identifiant, on peut ajouter plusieurs noms de domaine. Pratique dans le cas d’un site que l’on consulte par exemple en plusieurs langues. Ce qui évite d’avoir à créer une entrée pour chaque variante, avec les avertissements de réutilisation du mot de passe allant avec.

Même chose pour les codes d’accès, quand on souhaite inscrire un compte pour générer des codes à six chiffres. Dans les autres navigateurs, il faudra attendre que l’extension soit prête. Du moins pour Chrome, Apple ne se souciant pas vraiment de Firefox.

Des mots de passe à partager

L’application met en avant le partage des mots de passe avec d’autres personnes. Il peut s’agir de membres de la famille ou de tiers. Mais si la fonction est clairement affichée dans l’application, elle n’est pas nouvelle pour autant. Elle était apparue l’année dernière dans iOS 17 et macOS Sonoma. À la différence qu’elle résidait dans les réglages et n’était pas forcément visible.

Si vous ne connaissez pas la fonction introduite l’an dernier, il s’agit donc d’une nouveauté. Quand on clique sur le bouton « Démarrer », un panneau informe des possibilités. On pourra créer des groupes pour y placer des mots de passe et autres clés d’accès, que l’on pourra partager avec des personnes définies. Notez que si la fonction parle de partage de mots de passe avec la famille, il peut s’agir de n’importe quel contact de confiance.

Le principe est le même que dans les autres gestionnaires. On nous demande d’abord de créer le groupe, auquel on donne un nom. On lui affecte ensuite des contacts. Par défaut, les membres du groupe Famille (iCloud) sont ajoutés, mais on peut personnaliser la liste en les supprimant et en ajoutant d’autres contacts. Ensuite, les mots de passe apparaissent sous forme de liste avec des cases à cocher. Après quoi, l’application propose d’avertir (via Messages) les personnes concernées.

Les personnes avec qui les mots de passe sont partagés doivent avoir au moins iOS 17 ou macOS Sonoma pour utiliser les données partagées. Une fois que le partage est actif, l’autocomplétion se fait de manière transparente, comme si les identifiants étaient les leurs. Comme toujours avec ce type de fonction, la méthode est beaucoup plus sécurisée que l’échange de mots de passe par des messageries ou autre.

Il n’y a pas de limites au nombre de groupes que l’on peut créer. On peut les modifier à tout le moment, pour ajouter ou retirer des contacts. Ils peuvent également être supprimés.

Un bon pas en avant, mais…

L’application est clairement bienvenue. Elle rend la consultation des informations d’identification beaucoup plus pratique. Cependant, on reste loin des capacités de services spécialisés comme 1Password, BitWarden ou Dashlane.

En dehors des quelques types d’informations évoqués dans cet article, Mots de passe ne sait rien gérer d’autres. Impossible par exemple d’y créer et stocker des notes sécurisées, alors qu’il s’agit d’une fonction de base dans les autres gestionnaires. Apple a peut-être estimé que les notes verrouillées dans Notes étaient suffisantes.

De manière générale, on ne peut ajouter aucune autre information à protéger que ce qui a été prévu. Pas question par exemple d’y importer des documents, des clés SSH, des licences d’application ou autre. Comme indiqué, on ne peut pas non plus renforcer la sécurité de l’accès, par exemple avec un mot de passe plus fort ou même un mécanisme physique comme une clé Yubico. On ne peut pas non plus créer ses propres dossiers ou collections, ou attribuer des catégories, icônes et autres étiquettes.

Est-ce un problème ? Pas forcément. Les personnes qui se servaient jusque-là de Trousseaux seront sans doute satisfaites d’avoir une application dédiée, une présentation claire et quelques fonctions supplémentaires. Pour celles qui ont déjà un gestionnaire de mot de passe, la question est posée : utilisez-vous les fonctions supplémentaires ? Si oui, aucune raison de changer, car l’application d’Apple est basique. Si, au contraire, les abandonner ne représente pas un grand sacrifice, le changement pourrait valoir le coup.

Attention cependant, car pour être pleinement efficace, l’application doit pouvoir être utilisée sur des appareils Apple prenant en charge les nouvelles versions majeures des systèmes, surtout iOS/iPadOS 18 et macOS Sequoia. En revanche, rien pour Android, ce qui pose d’emblée un gros problème pour un parc hétérogène.

Gratuit, basique, pas pour tout le monde

Au-delà des fonctions supplémentaires, le gros intérêt d’un gestionnaire indépendant de mots de passe est sa disponibilité sur toutes les plateformes. Quel que soit son appareil, on peut être sûr d’y retrouver ses données. 1Password, BitWarden, Dashlane ou encore LastPass sont disponibles partout et s’intègrent dans tous les navigateurs. Pour ces derniers, sans extension idoine, on est condamné à se rendre dans Mots de passe pour copier-coller l’information qui nous intéresse. On a vu plus commode. Avec la solution d’Apple, il vaut mieux des appareils Apple, même si un PC sous Windows est accepté.

Se pose aussi la question du « sherlocking » (prédation d'autres applications par l’intégration de leurs fonctions), même si elle est plus philosophique que pratique. Apple cherche-t-elle à prendre des parts de marché aux références du marché, ou s’agit-il d’une évolution naturelle ? Il y a des arguments pour les deux, d’autant qu’il ne s’agit ici que d’une première version, qui peut encore évoluer d’ici la version finale ou au cours des prochaines années. Néanmoins, le paysage de la sécurité a changé, les clés d’accès sont amenées à se répandre et l’utilisation de Trousseaux était bien trop limitante. On pourrait alors parler d’une « évolution logique ».