Des pirates accdent un compte dveloppeur de LastPass, parviennent voler son code source Et relancent le dbat sur la comparaison entre les gestionnaires de mots de passe

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



Le code source de LastPass et des informations techniques propritaires de lentreprise ont t vols. L’diteur du gestionnaire de mots de passe qui compte 25 millions dutilisateurs et 80 000 entreprises clientes vient d’annoncer que des pirates se sont introduits dans le compte d’un de ses dveloppeurs et l’ont utilis pour accder des donnes exclusives. Le tableau relance le dbat sur la comparaison entre les gestionnaires de mots de passe.

A tous les clients de LastPass,

Je souhaite vous informer d’un dveloppement que nous estimons important de partager avec la communaut des entreprises et des consommateurs de LastPass.

Il y a deux semaines, nous avons dtect une activit inhabituelle dans certaines parties de l’environnement de dveloppement de LastPass. Aprs avoir lanc une enqute immdiate, nous n’avons vu aucune preuve que cet incident impliquait un accs des donnes clients ou des coffres de mots de passe crypts.

Nous avons dtermin qu’une partie non autorise a eu accs certaines parties de l’environnement de dveloppement de LastPass par le biais d’un seul compte de dveloppeur compromis et a pris des parties du code source et certaines informations techniques exclusives de LastPass. Nos produits et services fonctionnent normalement.

En rponse l’incident, nous avons dploy des mesures de confinement et d’attnuation, et fait appel une socit de cyberscurit et d’expertise judiciaire de premier plan. Bien que notre enqute soit en cours, nous avons atteint un tat de confinement, mis en uvre des mesures de scurit renforces supplmentaires, et ne voyons aucune autre preuve d’activit non autorise.

Sur la base de ce que nous avons appris et mis en uvre, nous valuons d’autres techniques d’attnuation pour renforcer notre environnement. Nous avons inclus ci-dessous une brve FAQ de ce que nous pensons tre les questions et proccupations initiales les plus pressantes de votre part. Nous continuerons vous informer avec la transparence que vous mritez.

Nous vous remercions de votre patience, de votre comprhension et de votre soutien , a prcis le CEO de LastPass dans lessentiel de la communication relative la gestion de lincident.

Ainsi donc LastPass ne fournit pas de dtails supplmentaires concernant l’attaque, la manire dont les acteurs de la menace ont compromis le compte du dveloppeur et le code source qui a t vol.

Que LastPass soit victime de piratage nest pas une nouveaut. En 2015, lditeur a annonc une compromission de son rseau : Nous souhaitons informer notre communaut que notre quipe a dtect et bloqu immdiatement une activit douteuse sur notre rseau. Daprs nos investigations, nous navons aucune preuve que les donnes chiffres de nos utilisateurs ont t compromises, tout comme laccs aux comptes des utilisateurs. Les investigations ont cependant dmontr que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage, et le hachage dauthentification ont t compromis. Lannonce navait pas manqu de relancer le dbat sur la comparaison entre les gestionnaires de mots de passe.

Sur la base des examens de tiers et les avis d’experts en scurit, il est possible dtablir la plus large slection possible de gestionnaires de mots de passe tablis. Ainsi, la liste comporte des gestionnaires de mots de passe commerciaux offrant des versions gratuites, gnralement avec quelques limitations et une option de mise niveau vers un abonnement payant pour des fonctionnalits supplmentaires. Elle comporte aussi des produits commerciaux qui offrent des essais gratuits, mais qui ncessitent ensuite un abonnement payant, dont certains sont spcifiquement conus pour tre utiliss par des quipes. Pour finir, certaines, mais pas toutes, offrent des options familiales.

Les options gratuites avec des mises jour payantes

LastPass

LastPass est un gestionnaire de mots de passe populaire qui fait partie de la famille LogMeIn depuis 2015. LogMeIn est une entreprise amricaine de services informatiques cre en 2003. Last offre une version gratuite et une version payante. La version gratuite offre un ensemble de fonctionnalits robustes et prend en charge un nombre illimit d’appareils par utilisateur. Les produits personnels et professionnels de la socit fonctionnent sur toutes les principales plateformes et tous les navigateurs de bureau et mobiles. Le service est uniquement bas sur le cloud.

De cette manire, les fichiers sont stocks sur les serveurs de l’entreprise et synchroniss avec les appareils locaux. La version Premium, qui est 36*$ par an, donne droit quelques fonctionnalits supplmentaires, telles que des options avances d’authentification multifactorielle, un stockage de fichiers chiffrs de 1 Go et la possibilit de dsigner un contact de confiance pour un accs d’urgence. Le plan familial, qui couvre jusqu’ six utilisateurs, cote 48 dollars par an et comprend un tableau de bord. Les plans d’entreprise commencent 48 dollars par utilisateur et par an.

RoboForm Free/RoboForm Everywhere

RoboForm est un gestionnaire de mots de passe lanc en 2000. La version gratuite prend en charge un nombre illimit de connexions et dispose de clients pour Windows, MacOS, Android et iOS, et pour tous les principaux navigateurs. Elle stocke en local sa base de donnes d’identification, ce qui signifie que vous tes responsable de la sauvegarde de ces donnes et de leur synchronisation manuelle entre les appareils. RoboForm Everywhere quant lui est un service d’abonnement 24 dollars par an qui ajoute des fonctionnalits, telles que la sauvegarde dans le nuage, la synchronisation et lauthentification deux facteurs.

Il dispose dune option Famille 48 dollars par an. Elle couvre jusqu’ cinq utilisateurs, et les plans d’entreprise cotent 35 dollars par utilisateur et par an. Des rductions sont disponibles pour les achats pluriannuels.

Dashlane

Dashlane n’a pas la longvit de ses principaux rivaux, mais il existe depuis assez longtemps pour gagner une rputation de facilit d’utilisation. Les applications sont disponibles pour PC, Mac, Android, iOS et Windows. Si votre base de donnes de mots de passe comprend moins de 50 entres et que vous ne devez utiliser le logiciel que sur un seul appareil, vous pouvez vous en sortir avec la version gratuite, qui prend galement en charge l’authentification deux facteurs. Dashlane ne propose pas doption pour famille, mais il permet le partage des mots de passe entre les comptes.

La version Premium est 60 dollars par an. Elle supprime les limites sur le nombre de mots de passe enregistrs et d’appareils synchroniss et inclut une option VPN. En outre, l’offre Premium Plus 120 dollars par an ajoute une assurance contre le vol d’identit et une surveillance du crdit. Enfin, les versions d’entreprise comprennent les mmes fonctionnalits que la version Premium, 48 dollars par utilisateur et par an, avec des options de provisionnement et de dploiement ainsi que la possibilit de sparer les informations d’identification professionnelles et personnelles.

Les gestionnaires fournissant des services payants

1Password

Bien que ce produit ait gagn sa rputation sur les appareils Mac et iOS d’Apple, il a aussi t adopt par Windows, Android, Linux et Chrome OS. Il a une extension de navigateur, 1Password X, qui remplit les informations d’identification, suggre des mots de passe et fournit une authentification deux facteurs dans Chrome, Firefox et Microsoft Edge. Aprs un premier essai gratuit de 30 jours, vous tes invit souscrire un abonnement qui cote 36 dollars par an. En outre, il propose un abonnement familial de cinq utilisateurs qui cote 60 dollars par an.

1Password fonctionne mieux si ses fichiers de donnes sont synchroniss partir des serveurs de 1Password, mais vous avez galement la possibilit d’enregistrer les mots de passe localement et de synchroniser le fichier de donnes avec votre propre rseau ou un compte Dropbox ou iCloud. Les comptes professionnels 1Password ajoutent un contrle d’accs avanc et des journaux d’activit et des politiques de scurit gres de manire centralise. Ils cotent 96*$ par utilisateur et par an, avec un stockage de 5 pour les fichiers et un compte familial gratuit li pour chaque utilisateur.

Keeper

Keeper est arriv sur le march en 2011. Il propose grand assortiment de produits, avec des offres distinctes pour l’usage personnel et familial, les entreprises, les clients professionnels et les fournisseurs de services grs. Les forfaits personnels commencent 30 dollars par an pour Keeper Unlimited, qui permet de stocker un nombre illimit de mots de passe et de les synchroniser sur un nombre illimit d’appareils. Un forfait de 60*$ par an ajoute la fonction de messagerie crypte KeeperChat, le stockage scuris de fichiers et un service de surveillance des brches.

Ce dernier analyse les mots de passe enregistrs pour trouver ceux qui sont connus pour tre compromis. La version familiale de chaque forfait double le cot et prend en charge jusqu’ cinq utilisateurs. Keeper stocke les fichiers de donnes synchronises sur le cloud Amazon Web Services. Les forfaits tudiants sont moiti prix.

Hypervault

Hypervault est arriv sur le march fin 2018, et t conu l’origine pour un usage interne par ses dveloppeurs. La version 2, lance en avril 2019, tient certaines des promesses de la socit pour un gestionnaire de mots de passe ax sur les besoins des quipes. La version 2 saccompagne dune interface utilisateur remanie ainsi que des autorisations de groupe et une structure base sur les droits pour les membres de l’quipe. Labonnement commence 2,50 dollars par utilisateur et par mois, avec des rductions partir des seuils de 10 et 50 utilisateurs et des rductions supplmentaires pour les achats annuels.

La socit dispose d’un journal des modifications et d’une feuille de route bien documents, et une version autohberge est venir.

Les gestionnaires de mots de passe open source

KeePass Password Safe

Si vous avez la phobie du cloud ou si vous insistez sur les logiciels source ouverte, c’est votre choix. KeePass fonctionne sur toutes les plateformes de bureau et mobiles, y compris la plupart des distributions Linux, et il est gratuit. Les fichiers sont stocks localement, et vous voudrez matriser ses arcanes de raccourcis clavier pour remplir automatiquement les mots de passe. L’intgration au navigateur est possible grce des plugins tiers. En outre, KeePass Password Safe offre galement la possibilit de lutiliser sur un grand nombre dappareils.

Dans ce cas, le moteur de synchronisation intgr du programme met jour automatiquement la base de donnes des mots de passe, quel que soit l’emplacement de stockage en nuage que vous indiquez.

Bitwarden

Le code source de Bitwarden est hberg sur GitHub, avec des dpts spars pour les projets de bureau, de serveur, de Web, de navigateur, de mobile et de ligne de commande. Il dispose de toutes les fonctionnalits des listes de contrle des gestionnaires de mots de passe personnels commerciaux, y compris la synchronisation scurise dans le nuage. Si vous n’tes pas l’aise avec le stockage de vos mots de passe dans le nuage Bitwarden, vous pouvez hberger l’infrastructure sur votre propre serveur, en utilisant Docker.

Passbolt

Les dveloppeurs de Passbolt lont conu pour les quipes et DevOps, en utilisant des normes de scurit modernes source ouverte et des outils familiers, dont le lanceur dapplications conteneurises Docker. La version communautaire autohberge fonctionne sur votre propre serveur et est spcifiquement destine aux quipes agiles qui s’loignent de solutions comme KeePass et LastPass. Il a une version commerciale payante avec la prise en charge de l’authentification multifactorielle.

Labonnement commence 10 euros par mois pour cinq utilisateurs, avec des rductions pour un paiement annuel.

Password Safe

Password Safe a t conu par lexpert en scurit Bruce Schneier. Sur le bureau, il s’agit d’un produit exclusivement Windows, bien que des clones soient disponibles pour les appareils macOS, Android et iOS. Les bases de donnes sont sauvegardes localement et les fonctions de synchronisation ne sont pas intgres. Bien que Password Safe ait une base de fans fidles, il ne plaira probablement pas ceux qui veulent les capacits de polissage et de synchronisation d’une application plus moderne.

Et vous ?

Utilisez-vous un gestionnaire de mots de passe ? Comment le comparez vous l’offre concurrente ? Quels sont les critres qui vous ont amen opter pour ce dernier plutt que sur ceux d’autres diteurs ?

Partagez vous l’avis selon lequel les dveloppements en cours sont l’illustration de ce que l’re des mots de passe est dpasse ?

Voir aussi :

KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s’accompagne de nouvelles fonctionnalits comme la vrification de l’intgrit du mot de passe

La plupart des gestionnaires de mots de passe populaires prsentent des vulnrabilits pouvant entraner le vol de mots de passe, selon un rapport

Firefox 76 est disponible avec un gestionnaire de mot de passe amlior et d’autres nouveauts comme la possibilit de rejoindre des appels Zoom via le navigateur

Bitwarden : le gestionnaire de mots de passe qui sduit les adeptes de l’open source. Quel gestionnaire de mots de passe utilisez-vous ?

Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d’identification entres sur un site prcdemment visit



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.