Un incident de trop : peut-on encore faire confiance à LastPass ?

lastpass

Une récente fuite de données compromet à nouveau la crédibilité de LastPass. Le gestionnaire de mots de passe peut-il encore faire renaître la confiance ?

Juste avant Noël, LastPass a lancé une nouvelle bombe. Le 22 décembre, le gestionnaire de mots de passe a reconnu que, lors d’une attaque de pirates sur un service de cloud tiers, les attaquants avaient réussi à dérober des dossiers de mots de passe chiffrés, où sont stockées des informations sensibles telles que des noms d’utilisateur et des mots de passe avec les URL associées.

Ainsi, LastPass a démenti les communications précédentes concernant la fuite de données. Dans un premier temps, le PDG Karim Toubba a admis que des données de compte telles que des adresses électroniques et des adresses IP avaient été volées, mais il a caché le fait que cela incluait des mots de passe. En outre, l’incident fait suite à un autre incident survenu en août, au cours duquel des morceaux de code source de logiciels avaient été volés.

Selon LastPass, les utilisateurs n’ont toujours pas à s’inquiéter car les mots de passe sont protégés par un système de chiffrement. Néanmoins, les utilisateurs du gestionnaire de mots de passe s’inquiéteront du fait que LastPass ne semble pas avoir mis en place une sécurité optimale. Est-ce l’incident est la goutte d’eau qui fait déborder le vase de confiance ?

Omissions, demi-vérités et mensonges

Aux dires de nombreux experts en sécurité, LastPass joue les innocents. Les critiques sur la façon dont LastPass gère cet incident de sécurité sont unanimes. The Verge présente un florilège des coups de gueule les plus vifs contre le gestionnaire de mots de passe.

Le chercheur en sécurité Wladimir Palant ne mâche pas ses mots. Sur son blog personnel, le chercheur dissèque mot pour mot la dernière déclaration de LastPass, qu’il décrit comme « un message de relations publiques plein d’omissions, de demi-vérités et de mensonges ». Selon Palant, LastPass ne se préoccupe que de sauver sa propre réputation et non la sécurité des utilisateurs.

Tout d’abord, le moment choisi pour cette mise à jour est remarquable. Palant pense que LastPass savait depuis un certain temps que des mots de passe avaient été volés, mais qu’elle a attendu la veille des fêtes pour le révéler, espérant que la nouvelle resterait discrète. L’entreprise tente également de dissocier cet incident de celui du mois d’août, alors que tout indique qu’ils sont liés.

Bovendien geeft LastPass gebruikers een vals gevoel van veiligheid. Er wordt veel te licht gegaan over het feit dat IP-adressen in handen zijn van de hackers. Aan de hand van IP-adressen kunnen hackers nu je online activiteit in kaart brengen. Tel daarbij op dat URL’s niet worden geëncrypteerd door LastPass, en hackers hebben heel wat informatie over je internetgewoontes.

Un dernier ennui de Palant est que LastPass fait tout ce qu’il peut pour détourner le blâme de lui-même. Par exemple, elle accuse un fournisseur externe de services de cloud d’être à l’origine de la fuite de données. Les pirates ne peuvent également accéder à vos mots de passe que s’ils parviennent à deviner votre mot de passe principal. Si vous avez suivi à la lettre les recommandations de LastPass à ce sujet (au moins 12 caractères), tout va bien. En d’autres termes, si votre compte devait être piraté, ce serait votre propre faute.

Chiffrement inviolable (ou non) ?

LastPass vante le fait qu’il sécurise les mots de passe avec un chiffrement AES 256 bits dans une architecture « Zero Knowledge », ce qui signifie que LastPass lui-même n’a pas accès à vos mots de passe. Pour sécuriser votre mot de passe principal, LastPass utilise une norme PBKDF2 de 100 100 itérations. Par conséquent, il faudrait des « millions d’années » aux pirates informatiques pour utiliser la force brute afin de découvrir votre mot de passe principal.

Tout cela semble chouette en théorie, mais les experts doutent également de cette affirmation. La critique vient d’un endroit inattendu, du concurrent 1Password. L’architecte en sécurité Jeffrey Goldberg écrit dans un blog que l’affirmation de LastPass n’est vraie que si le mot de passe à 12 caractères est généré de manière totalement aléatoire.

Cependant, comme les utilisateurs choisissent généralement leurs propres mots de passe qu’ils trouvent plus faciles à mémoriser, le coût et la vitesse à laquelle les pirates peuvent les craquer sont bien inférieurs à ce que prétend LastPass. Votre mot de passe principal peut donc être beaucoup plus facile à craquer que vous ne le pensez, même si vous suivez les conseils du gestionnaire de mots de passe.

Palant ajoute que LastPass lui-même ne suit pas systématiquement ces conseils. Son mot de passe principal ne comporte que 8 caractères, ce qui est beaucoup plus facile à craquer, et on ne lui a jamais conseillé de le changer.

Un résumé bien douloureux

On peut donc conclure que LastPass a mal tourné cette année. Tout le monde mérite une seconde chance, mais le gestionnaire de mots de passe en a déjà reçu une à plusieurs reprises. Selon un autre expert, Jeremi Gosney, LastPass a connu sept incidents majeurs au cours de la dernière décennie.

LastPass fait tout ce qu’il peut pour se disculper.

Un coup d’œil dans nos archives n’inspire pas vraiment confiance. En 2019, des chercheurs de Google ont découvert une fuite dans l’extension de navigateur de LastPass. L’année 2021 n’a pas non plus été une année exceptionnelle pour LastPass. Le gestionnaire de mots de passe s’est attiré l’ire des utilisateurs en réduisant sa version gratuite, son application Android a reçu des critiques négatives, et il y a exactement un an, LastPass a provoqué une crise cardiaque chez ses clients avec de fausses notifications sur les tentatives de connexion.

À combien d’incidents devons-nous encore pardonner à LastPass ? En tant que gestionnaire de mots de passe, LastPass a une grande responsabilité envers ses utilisateurs. La société a violé cette confiance à plusieurs reprises au cours des dernières années. Dans le domaine de la communication, cependant, elle prétend que la faute n’est jamais la sienne, et elle ignore les avis des experts externes à chaque reprise.

Notre bonne résolution pour 2023 est donc de confier nos mots de passe à un programme plus fiable. Et la vôtre ?

newsletter

Abonnez-vous gratuitement à ITdaily !

Category(Required)
This field is for validation purposes and should be left unchanged.