Il y a les entreprises qui blâment leurs utilisateurs pour leur négligence. Et il y a d’autres – certes dont la sécurité informatique est le fond de commerce – qui les aident à muscler leur protection. Le célèbre service de gestion des mots de passe LastPass vient de montrer qu’il souhaite faire partie du deuxième lot.
Début janvier, l’entreprise a ainsi annoncé une série de changements pour ses utilisateurs. L’emploi d’un gestionnaire de mot de passe permet de conserver à l’abri des regards indiscrets ses différents password utilisés, mais sous réserve que le mot de passe maître ne soit pas cracké.
Douze caractères
Chez LastPass, ce dernier pouvait être d’une taille de huit caractères. Compte-tenu des progrès dans les attaques par force brute, cette façon de tester à la volée des combinaisons de caractères, l’entreprise va désormais obliger tous ses clients à définir un mot de passe maître d’au moins douze caractères. C’était déjà le paramétrage par défaut du service depuis 2018, mais il était quand même possible de créer un mot de passe plus court.
Pour aider ses utilisateurs à bien définir leur mot de passe, LastPass va également commencer à partir de février à vérifier la solidité des nouveaux mots de passe choisis. Ces derniers seront comparés à une base de données de mots de passe ayant fuité. Ainsi, les utilisateurs pourront savoir si le mot de passe qu’ils s’apprêtent à choisir a déjà été dévoilé sur un marché noir.
Attaque par dictionnaire
Une information intéressante pour les usages: les attaques par dictionnaire s’appuient justement sur ces grandes bases de données de mot de passe ayant déjà fuité. En cas de détection d’un mot de passe identique déjà exposé, l’utilisateur sera invité à choisir un autre password, qui sera alors “beaucoup plus difficile” à déchiffrer.
Autant de mesures qui doivent également permettre à LastPass de redorer son blason. Deux ans plus tôt, des mots de passe maîtres de certains utilisateurs avaient par exemple été révélés à la suite d’une attaque par bourrage d’identifiants. Mais l’entreprise avait surtout été très sévèrement secouée en 2022 par un piratage informatique.
Le hacker malveillant avait réussi à pénétrer son réseau en se faisant passer pour un développeur, contournant ainsi l’authentification multifactorielle. Ce dernier avait alors fait main basse sur des coffres forts de mots de passe chiffrés, un trésor inestimable pour le cybercriminel s’il réussit à retrouver les bons sésames pour les ouvrir.