la fin de l’anne dernire, le PDG de LastPass, Karim Toubba, a rvl qu’un incident de scurit en aot avait t bien pire qu’ils ne l’avaient d’abord admis. Au lieu de simplement perdre le code source interne et les documents des dveloppeurs, ce qui tait dj assez grave, ils avaient galement perdu les informations sur les comptes clients et les donnes du coffre-fort.
Qu’est-ce que cela signifie ? Cela signifie qu’au moins quelqu’un peut avoir les donnes de votre compte d’abonn non chiffres. Cela inclut vos noms d’utilisateur, noms d’entreprise, adresses de facturation, adresses e-mail, numros de tlphone et adresses IP LastPass. Ils ont galement vos donnes de coffre-fort. Cela inclut les URL de sites Web et vos noms d’utilisateur et mots de passe chiffrs.
Est-ce pour autant qu’il est recommand d’abandonner LastPass au profit d’une autre application de gestion de mots de passe ?
LastPass, l’un des principaux gestionnaires de mots de passe, a dclar que des pirates ont obtenu une multitude d’informations personnelles appartenant ses clients ainsi que des mots de passe chiffrs et cryptographiquement hachs en plus d’autres donnes stockes dans les coffres-forts des clients. La rvlation, publie le 22 dcembre, reprsente une mise jour spectaculaire d’une brche que LastPass a rvle en aot. cette priode, la socit a dclar qu’un acteur malveillant avait obtenu un accs non autoris via un seul compte de dveloppeur et l’a utilis pour accder des donnes exclusive. L’diteur a reconnu que le(s) cybercriminel(s) avait pris des parties du code source et certaines informations techniques propritaires de LastPass . La socit a dclar l’poque que les mots de passe principaux des clients, les mots de passe chiffrs, les informations personnelles et les autres donnes stockes dans les comptes clients n’taient pas affects.
Donnes sensibles, chiffres ou non, copies
Dans la mise jour de jeudi 22 dcembre, la socit a dclar que les pirates avaient accd aux informations personnelles et aux mtadonnes associes, notamment les noms de socit, les noms d’utilisateur final, les adresses de facturation, les adresses e-mail, les numros de tlphone et les adresses IP utilises par les clients pour accder aux services LastPass. Les pirates ont galement copi une sauvegarde des donnes du coffre-fort client qui comprenait des donnes non chiffres telles que des URL de sites Web et des champs de donnes chiffrs tels que des noms d’utilisateur et des mots de passe de sites Web, des notes scurises et des donnes remplies de formulaires.
Ces champs chiffrs restent scuriss avec un chiffrement AES 256 bits et ne peuvent tre dchiffrs qu’avec une cl unique de dchiffrement drive du mot de passe principal de chaque utilisateur l’aide de notre architecture Zero Knowledge , a expliqu le PDG de LastPass, Karim Toubba, faisant rfrence Advanced Encryption Scheme. Zero Knowledge fait rfrence des systmes de stockage impossibles dchiffrer pour le fournisseur de services. Le PDG a poursuivi :
Envoy par PDG LastPassLa mise jour indique que dans l’enqute de la socit jusqu’ prsent, rien n’indique que des donnes de carte de crdit non cryptes ont t consultes. LastPass ne stocke pas les donnes de carte de crdit dans leur intgralit, et les donnes de carte de crdit qu’il stocke sont conserves dans un environnement de stockage en nuage diffrent de celui auquel l’acteur de la menace a accd.
L’intrusion rvle en aot qui a permis aux pirates de voler le code source de LastPass et des informations techniques propritaires semble lie une violation distincte de Twilio, un fournisseur de services d’authentification et de communication deux facteurs bas San Francisco. Le cybercriminel derrire cette violation a vol les donnes de 163 des clients de Twilio. Les mmes hameonneurs qui ont frapp Twilio ont galement viol au moins 136 autres entreprises, dont LastPass.
La mise jour de jeudi 22 dcembre a indiqu que les cybercriminels pourraient utiliser le code source et les informations techniques vols LastPass pour pirater un employ distinct de LastPass et obtenir des informations d’identification et des cls de scurit pour accder et dchiffrer les volumes de stockage au sein du service de stockage bas sur le cloud de l’entreprise.
Mais les spcialistes de la cyberscurit se sont attaqu au communiqu de LastPass.
LastPass ou pas/plus LastPass ?
Pour Jeremi Gosney, chercheur en scurit, il faut s’loigner du gestionnaire en raison de sa longue histoire d’incomptence
Permettez-moi de commencer par dire que j’avais l’habitude de soutenir LastPass. Je l’ai recommand pendant des annes et l’ai dfendu publiquement dans les mdias. Si vous recherchez sur Google « jeremi gosney » + « lastpass », vous trouverez des centaines d’articles dans lesquels j’ai dfendu et/ou soutenu LastPass (y compris dans le magazine Consumer Reports). Je l’ai dfendu mme face aux vulnrabilits et aux failles, car il avait une UX suprieure et semblait toujours tre la meilleure option pour les masses malgr ses dfauts flagrants. Et il a toujours une place un peu spciale dans mon cur, tant le gestionnaire de mots de passe qui m’a en fait orient vers les gestionnaires de mots de passe. Il a plac la barre pour ce que j’attendais d’un gestionnaire de mots de passe, et pendant un certain temps, il tait ingal.
Mais les choses changent et ces dernires annes, je me suis retrouv incapable de dfendre LastPass. Je ne me souviens pas s’il y a eu une paille particulire qui a fait dborder le vase, mais je sais que j’ai cess de le recommander en 2017 et que j’ai totalement effectu la migration en 2019. Vous trouverez ci-dessous une liste non ordonne des raisons pour lesquelles j’ai perdu toute foi dans Last Pass :
- L’affirmation de LastPass de « zro connaissance » est un mensonge hont. Ils ont peu prs autant de connaissances qu’un gestionnaire de mots de passe pourrait avoir. Chaque fois que vous vous connectez un site, un vnement est gnr et envoy LastPass dans le seul but de suivre les sites auxquels vous vous connectez. Vous pouvez dsactiver la tlmtrie, sauf que la dsactiver ne fait rien – l’application enverra toujours des donnes LastPass chaque fois que vous vous authentifiez quelque part. De plus, presque tout dans votre coffre-fort LastPass n’est pas chiffr. Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de donnes chiffre o l’intgralit du fichier est protg, mais non – avec LastPass, votre coffre-fort est un fichier en texte brut et seuls quelques champs slectionns sont chiffrs.
- LastPass a l’habitude d’ignorer les chercheurs en scurit et les rapports de vulnrabilits, et ne participe pas la communaut infosec ni la communaut de hacking de mots de passe. Les signalements de vulnrabilit restent non reconnus et non rsolus pendant des mois, voire des annes, voire jamais. Pendant un certain temps, ils avaient mme un mauvais contact rpertori pour leur quipe de scurit. Bugcrowd signale les vulnrabilits pour eux maintenant, et la plupart sinon tous les rapports de vulnrabilits sont grs directement par Bugcrowd et non par LastPass. Si vous essayez de signaler une vulnrabilit au support LastPass, ils prtendront qu’ils ne comprennent pas et ne transmettront pas votre ticket l’quipe de scurit. Maintenant, Tavis Ormandy a flicit LastPass pour sa rponse rapide aux rapports de vulnrabilit, mais j’ai l’impression que c’est simplement parce que c’est Tavis / Project Zero qui les signale car ce n’est pas l’exprience que la plupart des chercheurs ont eue.
Vous savez, je ne recommande pas simplement aux utilisateurs de rejeter LastPass cause de cette dernire violation. Je vous recommande de courir aussi loin que possible de LastPass en raison de sa longue histoire d’incomptence, d’apathie et de ngligence. Il est tout fait clair qu’ils ne se soucient pas de leur propre scurit, et encore moins de votre scurit.
L’analyste Steven J. Vaughan-Nichols vote pour Bitwarden
Je trouve un peu trange que LastPass ne donne personne plus de dtails sur ce qui s’est pass avec le vol. Bitwarden, en revanche, est transparent avec ses audits et ses certifications en plus de sa base de code ouverte. La diffrence est claire. LastPass vous recommande de changer votre mot de passe principal et tous vos autres mots de passe. Je vous recommande de dire au revoir LastPass et de passer un autre gestionnaire de mots de passe.
Il existe de nombreux bons gestionnaires de mots de passe. Ils incluent 1Password, DashLane et NordPass. Mais ct offre payante ou gratuite, vous ne verrez pas mieux que Bitwarden.
Bitwarden est une sorte de programme open source. Plus prcisment, il utilise une licence disponible la source. La socit admet que la licence Bitwarden n’est pas considre comme open source selon la dfinition de l’Open Source Initiative (OSI), mais elle pense que la licence quilibre avec succs les principes d’ouverture et de communaut avec nos objectifs commerciaux .
Laissant de ct le problme de licence, le ct pratique de Bitwarden est qu’il est libre d’tre utilis la fois sur un serveur ou un client. Par exemple, en tant que client, vous pouvez l’excuter sur Linux, Windows, macOS, Android, iPhone et iPad. Avec ses extensions de navigateur, vous pouvez galement l’utiliser sur Brave, Chrome, Edge, Firefox, Safari, Opera, Vivaldi et Tor. Le cot? Vous pouvez l’excuter gratuitement sur tous les appareils et navigateurs dont vous disposez.
Gratuitement, vous obtenez galement un magasin bas sur le cloud pour tous vos mots de passe, Bitwarden Web Vault ; un gnrateur de mot de passe alatoire*; authentification deux facteurs (2FA); et la scurit supplmentaire de la fonction de violation de base de donnes de Bitwarden. Cette dernire fonctionnalit vrifie si l’un de vos mots de passe a dj t expos.
Spoiler Alerte : il y a de fortes chances que vos mots de passe soient dj disponibles. Vous ne me croyez pas ? Vrifiez votre adresse e-mail ou votre numro de tlphone sur HaveIbeenPwned et prparez-vous une mauvaise surprise.
Supposons, cependant, que vous ne confiez personne vos identifiants et mots de passe*? Dans ce cas, vous pouvez faire ce que je fais et excuter votre propre serveur Bitwarden. Si le faire partir de zro est trop intimidant pour vous, vous pouvez configurer Bitwarden assez facilement sur votre propre machine l’aide de conteneurs Docker. Vous n’avez pas de serveur vous ? Vous pouvez mme installer et excuter Bitwarden partir d’un Raspberry Pi.
Disons que vous n’tes pas un administrateur systme Linux, et pas aussi paranoaque que moi. Dans ce cas, vous voudrez peut-tre investir dans l’un des niveaux commerciaux de Bitwarden.
Pour 10 $ par an, vous obtenez un rapport sur la force du mot de passe ; un gigaoctet de stockage pour les pices jointes chiffres*; et prise en charge de la connexion scurise matrielle 2FA pour YubiKey et/ou Duo. Je suis un grand partisan des cls physiques 2FA. Il est tout simplement trop facile de casser les textos/SMS 2FA. Les applications d’authentification les plus populaires, telles que Google et Microsoft, sont troitement lies aux grandes entreprises.
Si vous avez une famille ou un petit groupe, il existe un plan de 40 $ par an pour six utilisateurs. Vous pouvez galement partager des mots de passe avec ce plan. Ne faites pas, je le rpte, ne faites pas cela. Peut-tre que vous faites confiance votre frre. Quant moi, pas tant que a.
Enfin, il existe deux plans entreprises Bitwarden. Le premier, Teams, pour les petites organisations, cote 3 $ par mois et par utilisateur. Le plan Enterprise plus grand et plus complet vous cotera 5 $ par utilisateur par mois.
Et vous ?
Utilisez-vous un gestionnaire de passe ? Si oui lequel ? Sur mobile, desktop, les deux ?
Vous en servez-vous pour gnrer vos mots de passe ?
Que pensez-vous des gestionnaires de mots de passe en gnral ?
Le(s)quel(s) recommanderiez-vous ?
Que pensez-vous des arguments utiliss par ces experts pour expliquer au public pourquoi il devrait s’loigner de LastPass ?
Partagez-vous leur point de vue ? Dans quelle mesure ?
Voir aussi :
KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s’accompagne de nouvelles fonctionnalits comme la vrification de l’intgrit du mot de passe
La plupart des gestionnaires de mots de passe populaires prsentent des vulnrabilits pouvant entraner le vol de mots de passe, selon un rapport
Firefox 76 est disponible avec un gestionnaire de mot de passe amlior et d’autres nouveauts comme la possibilit de rejoindre des appels Zoom via le navigateur
Bitwarden : le gestionnaire de mots de passe qui sduit les adeptes de l’open source. Quel gestionnaire de mots de passe utilisez-vous ?
Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d’identification entres sur un site prcdemment visit