La semaine dernière, juste avant Noël, LastPass, l’un des principaux gestionnaires de mots de passe, a annoncé une violation de données grave.
Selon l’entreprise, des hackers ont mis la main sur les coffres-forts de mots de passe des utilisateurs en août et ont réussi à effectuer une nouvelle violation de données en novembre. Bien que LastPass affirme que vos informations de connexion sont toujours sécurisées, certains experts en cybersécurité critiquent son message, affirmant qu’il pourrait faire en sorte que les gens se sentent plus en sécurité qu’ils ne le sont réellement. Ils soulignent également que cette violation n’est que la dernière d’une série d’incidents qui rendent difficile de faire confiance au gestionnaire de mots de passe.
Selon LastPass, les pirates ont obtenu une multitude d’informations personnelles appartenant à ses clients, ainsi que des mots de passe chiffrés et cryptographiquement hachés, en plus d’autres données stockées dans les coffres-forts des clients.
En outre, ils ont copié une sauvegarde des données du coffre-fort client qui comprenait des données non chiffrées, comme des URL et des noms d’utilisateur, ainsi que des données chiffrées, telles que les mots de passe de sites Web et les notes de secours.
Cette violation n’est pas la preuve que les gestionnaires de mots de passe basés sur le cloud sont une mauvaise idée
Les experts en cybersécurité sont unanimes pour dire que cette violation n’est pas la preuve que les gestionnaires de mots de passe basés sur le cloud sont une mauvaise idée. Cependant, ils critiquent LastPass pour avoir décrit son algorithme de renforcement de mot de passe, connu sous le nom de PBKDF2, comme « plus fort que la norme ». Selon Wladimir Palant, « je me demande sérieusement ce que LastPass considère comme typique, étant donné que 100 000 itérations PBKDF2 sont le nombre le plus bas que j’ai vu dans n’importe quel gestionnaire de mots de passe actuel ».
La violation de données de LastPass est un rappel de l’importance de protéger vos données en utilisant des mots de passe forts et uniques, ainsi que des mesures de sécurité supplémentaires, comme l’authentification à deux facteurs. Bien que les gestionnaires de mots de passe basés sur le cloud puissent être utiles pour gérer vos mots de passe, il est important de choisir une entreprise de confiance et de rester vigilant quant à la sécurité de vos données.
L’auteur malveillant a copié des informations à partir de la sauvegarde contenant des informations de base sur le compte
LastPass a également déclaré que l’auteur malveillant a copié des informations à partir de la sauvegarde contenant des informations de base sur le compte client et les métadonnées associées, comme les noms de société, les noms d’utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass. Cela inclut également des données non chiffrées, telles que des URL et des noms d’utilisateur, ainsi que des données chiffrées, comme les mots de passe de sites Web et les notes de secours.
LastPass stockait également les adresses IP des utilisateurs, ce qui pourrait être suffisant pour créer un profil de mouvement des utilisateurs et les identifier.
La violation de données de LastPass est un rappel de l’importance de protéger vos données en utilisant des mots de passe forts et uniques, ainsi que des mesures de sécurité supplémentaires, comme l’authentification à deux facteurs. Bien que les gestionnaires de mots de passe basés sur le cloud puissent être utiles pour gérer vos mots de passe, il est important de choisir une entreprise de confiance et de rester vigilant quant à la sécurité de vos données.
LastPass est un gestionnaire de mots de passe qui prétend appliquer les meilleures pratiques de sécurité.
Cependant, le chercheur en sécurité Jeremi Gosney affirme que LastPass est loin d’appliquer ces pratiques de manière efficace. Depuis 2018, LastPass exige un minimum de douze caractères pour les mots de passe principaux afin de minimiser la possibilité de deviner un mot de passe par force brute. Cependant, beaucoup de clients de LastPass utilisent encore des mots de passe ne respectant pas cette exigence, et LastPass ne les invite pas à changer leur mot de passe.
Selon Gosney, l’affirmation de LastPass selon laquelle ils sont une entreprise de « zéro connaissance » est un mensonge éhonté, car ils ont autant de connaissances qu’un gestionnaire de mots de passe classique et ont été vulnérables à des attaques de piratage par le passé. En outre, Gosney affirme que LastPass n’a pas suivi les progrès technologiques en matière de craquage de mots de passe et est maintenant à la traîne. En raison de ces problèmes de sécurité, Gosney a cessé de recommander LastPass et a migré vers un autre gestionnaire de mots de passe en 2019.
Jeffrey Goldberg, le principal architecte de sécurité de 1Password
Jeffrey Goldberg, le principal architecte de sécurité de 1Password, a répondu à la récente annonce de LastPass concernant une violation de données qui a eu lieu en août 2022. Dans cette annonce, LastPass a affirmé que, grâce à leur architecture Zero Knowledge et à leurs paramètres de chiffrement par défaut, il faudrait « des millions d’années » pour craquer les mots de passe de leurs utilisateurs.
Goldberg a contesté cette affirmation en expliquant que les mots de passe créés par les humains ne répondent pas aux exigences de chiffrement aléatoire nécessaires pour que cette revendication soit vraie. Il a également mentionné que, même si cette affirmation était vraie, il serait possible pour un attaquant de craquer les mots de passe en utilisant des techniques de craquage spécialisées et en dépensant suffisamment d’argent. Enfin, il a souligné les fonctionnalités de sécurité uniques de 1Password qui protègent les utilisateurs en cas de violation de données, telles que le chiffrement de bout en bout et la clé secrète unique de chaque utilisateur.
