Lorsque vous vous inscrivez à un gestionnaire de mots de passe, vous lui confiez tous vos mots de passe à protéger, il est donc essentiel de faire confiance à l’entreprise qui se cache derrière. Mais après une série d’incidents de sécurité, la confiance envers LastPass s’érode rapidement.
Il existe des protocoles connus et éprouvés pour que les entreprises de gestionnaires de mots de passe gèrent vos données et vérifient votre mot de passe principal sans jamais avoir accès à vos données. Mais les suivent-elles ? Nous avons confiance qu’elles le font, car tout échec serait finalement exposé, causant des dommages considérables à la réputation de l’entreprise. Après tout, l’utilisation d’un gestionnaire de mots de passe repose entièrement sur la confiance.
Cependant, en raison d’une récente violation de données, d’une mauvaise communication à ce sujet et de politiques douteuses, LastPass est sur le point de perdre cette confiance.
Une politique qui alarme la communauté de sécurité en ligne est la découverte que LastPass stocke des liens de site web non chiffrés dans les coffres de vos identifiants, ainsi que vos informations d’identification chiffrées. Un rapport souligne que ces URL pourraient inclure des jetons de réinitialisation de mot de passe ou des paires nom d’utilisateur/mot de passe. Mais il n’était pas nécessaire de capturer et d’analyser les flux de données, car LastPass admet librement qu’il transmet ces informations sans chiffrement.
Dans un billet de blog du 22 décembre, sur l’incident de sécurité, les représentants de LastPass ont noté que la personne à l’origine de la violation de données avait obtenu « des données non chiffrées, telles que des URL de sites web ». Ne pas chiffrer les URL n’était pas une erreur ; c’était une décision politique. LastPass n’a pas encore répondu à nos demandes de commentaires.
Mon coffre-fort chiffré LastPass est-il sûr ?
Comme je l’ai expliqué en détail, LastPass utilise une clé de chiffrement dérivée de votre mot de passe principal pour prouver que vous êtes autorisé à télécharger les données de votre coffre-fort. Il utilise ensuite une clé de chiffrement complètement différente, également dérivée de votre mot de passe principal, pour décrypter les données du coffre-fort sur votre appareil local. LastPass n’a pas accès au mot de passe principal lui-même. Cependant, en volant directement les coffres-forts, l’attaquant de LastPass a contourné complètement tout le processus d’authentification, y compris toute authentification à plusieurs facteurs que vous pourriez avoir activée.
Oui, l’accès aux contenus du coffre-fort nécessite votre clé principale, mais l’acteur de menace est libre d’essayer un nombre quelconque de mots de passe dans l’espoir que vous avez utilisé un mauvais mot de passe. Jeffrey Goldberg, architecte principal de la sécurité chez 1Password, souligne dans un billet de blog que tout mot de passe créé par un humain est beaucoup plus vulnérable au craquage qu’un mot de passe totalement aléatoire de la même longueur. Et cela inclut les mots de passe créés à l’aide de la technique de la chanson préférée que j’ai recommandée – assurez-vous de les rendre très longs.
Dans un article récent, l’expert en sécurité Graham Cluley souligne que plus vous avez utilisé LastPass longtemps, plus vous êtes susceptible d’avoir un mot de passe principal faible. LastPass recommande actuellement un minimum de 12 caractères, mais il n’a pas toujours appliqué cette recommandation. Actuellement, LastPass exécute le mot de passe à travers 100 100 passes d’un algorithme d’obscurcissement pour rendre le craquage plus difficile. Cependant, le blogueur de sécurité Wladimir Palant explique qu’il y a quelques années, il n’utilisait que beaucoup moins de passes, aussi peu que 500 ou même une seule. Selon Palant, une campagne visant à résoudre ce problème s’est essoufflée.
LastPass aurait pu obliger tous les utilisateurs à mettre à jour leur mot de passe principal pour en obtenir un meilleur, qui aurait été obscurci 100 100 fois. Mais aucune action de ce type n’a été entreprise.
Êtes-vous un utilisateur de LastPass avec un mot de passe principal faible ? Vous êtes alors malheureusement coincé.
Voici où je vous dirais de changer immédiatement votre mot de passe principal LastPass et d’utiliser l’authentification à plusieurs facteurs. Mais cette fois, ces mesures ne vous aideront pas. Les voleurs de données ont une copie de votre coffre-fort qui est une capture d’écran à un moment donné, protégée par le mot de passe qui était en cours lorsque la violation s’est produite. Ils peuvent passer tout le temps et toute la puissance de calcul qu’ils veulent pour essayer de craquer leur collection de coffres-forts.
Changez tous vos mots de passe
La seule chose que vous pouvez faire pour vous protéger complètement contre les conséquences de cette violation est de changer tous vos mots de passe. Oui, tous. Vous voudrez peut-être le faire tout en passant à un autre gestionnaire de mots de passe. Considérez l’utilisation d’une solution open-source comme Bitwarden ou KeePass. Lorsque le code source d’un produit est librement disponible et visible, les bogues et les failles de sécurité ne peuvent pas se cacher.
Même si vous n’êtes pas un utilisateur de LastPass, c’est le moment idéal pour améliorer votre mot de passe principal et utiliser l’authentification à plusieurs facteurs pour votre gestionnaire de mots de passe et tous les sites qui le proposent.
