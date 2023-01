LastPass a beaucoup fait les manchettes récemment. Que vous soyez déjà un utilisateur de LastPass ou que vous envisagiez de vous abonner, vous vous demandez probablement s’il est sûr de l’utiliser après les récents hacks.

La réponse courte est non, mais ce n’est qu’en partie à cause des hacks de 2022.

En tant que gestionnaire de mots de passe qui contient toutes vos connexions – y compris peut-être les noms d’utilisateur et les mots de passe pour les services bancaires en ligne et d’autres services critiques – il doit être totalement fiable.

Bien que nous nous méfiions de tout service en ligne ou basé sur le cloud prétendant être 100% sûr et à l’épreuve du piratage, ce n’est vraiment pas un bon aperçu si vous gérez les mots de passe de millions d’utilisateurs et subissez des violations répétées.

Dans le passé, nous avons accordé à LastPass le bénéfice du doute à de nombreuses reprises. Il a été piraté en 2015 lorsque les adresses e-mail et les rappels de mot de passe des utilisateurs ont été consultés.

Puis, en 2017, une vulnérabilité a été découverte dans son extension de navigateur qui aurait pu être utilisée pour voler vos mots de passe. Cela a été corrigé, mais une chose similaire s’est produite en 2019 où le dernier mot de passe utilisé était vulnérable.

Puis, en août 2022, LastPass a publié sur son blog qu’une machine utilisée pour le développement avait été compromise mais qu’il n’y avait aucune preuve que les données ou les mots de passe des clients avaient été consultés.

LastPass a déclaré qu’aucune action n’était requise car le mot de passe principal et les coffres chiffrés (contenant les identifiants et les mots de passe) sont restés en sécurité.

Malheureusement, cela s’est avéré trop optimiste : quelques mois plus tard, les pirates ont utilisé les informations qu’ils avaient obtenues en août pour pirater à nouveau LastPass, cette fois en accédant aux adresses e-mail, numéros de téléphone et adresses IP des utilisateurs.

Ils l’ont fait en arnaquant un employé de LastPass et en réussissant à obtenir les informations nécessaires pour accéder à un stockage en nuage que LastPass utilise pour conserver les données des clients et les coffres-forts de mots de passe.

Les mots de passe, les noms d’utilisateur et toutes les notes de ces coffres sont, bien sûr, cryptés, mais toutes les données ne le sont pas : LastPass a confirmé qu’elles contiennent également des URL non cryptées de sites Web.

Les pirates auraient besoin de deviner votre mot de passe principal pour déchiffrer les informations contenues dans ces coffres-forts, mais comme ils peuvent utiliser un logiciel pour accélérer ce processus, ce n’est qu’une question de temps avant qu’ils ne parviennent à en déchiffrer certains, surtout si vous avez utilisé un mot de passe plus faible. avec moins de 12 caractères – quelque chose qui est possible si vous ne l’avez pas changé depuis avant 2018.

Je suis un utilisateur LastPass. Que devrais-je faire?

Si vous utilisez un mot de passe fort, vous devriez être d’accord – dit LastPass – car les logiciels généralement disponibles prendraient “des millions d’années” pour le déchiffrer.

“En raison des méthodes de hachage et de cryptage que nous utilisons pour protéger nos clients, il serait extrêmement difficile d’essayer de forcer brutalement les mots de passe principaux pour les clients qui suivent nos meilleures pratiques en matière de mot de passe. Nous testons régulièrement les dernières technologies de craquage de mots de passe par rapport à nos algorithmes pour suivre et améliorer nos contrôles cryptographiques.

L’auteur de la menace peut également cibler les clients avec des attaques de phishing, de credential stuffing ou d’autres attaques par force brute contre les comptes en ligne associés à votre coffre-fort LastPass. Afin de vous protéger contre les attaques d’ingénierie sociale ou de phishing, il est important de savoir que LastPass ne vous appellera, n’enverra jamais d’e-mail ou de SMS pour vous demander de cliquer sur un lien pour vérifier vos informations personnelles. Sauf lors de la connexion à votre coffre-fort à partir d’un client LastPass, LastPass ne vous demandera jamais votre mot de passe principal.

Le problème est que si les pirates ont déjà une copie de votre coffre-fort, qui est cryptée avec votre vieille mot de passe, puis changez votre mot de passe principal LastPass maintenant ne fera aucune différence car cela ne changera que le cryptage de la version stockée par LastPass, pas la copie dont disposent les méchants.

Cela signifie que votre seule option est de changer les mots de passe des comptes dans le coffre-fort afin que si les pirates réussissent à déchiffrer votre coffre-fort, les mots de passe qu’ils obtiennent ne fonctionneront plus.

C’est très compliqué et prend beaucoup de temps de changer des centaines (voire des dizaines) de mots de passe, mais cela vaut évidemment la peine de le faire pour toute banque ou tout autre compte lié à vos finances afin d’atténuer le risque. Cela inclut les comptes de tous les sites d’achat en ligne qui stockent vos informations de paiement, comme Amazon, et n’oubliez pas PayPal et autres.

Dois-je toujours utiliser LastPass ?

Non. Il est tout simplement impossible de vous recommander de continuer à l’utiliser. L’histoire des violations et des vulnérabilités était déjà assez mauvaise, mais le fait que les méchants aient maintenant réussi à mettre la main sur des coffres-forts de mots de passe cryptés est la goutte qui a fait déborder le vase.

Il y a aussi le fait que le code de LastPass est une “source fermée”. Contrairement aux logiciels open source, cela signifie que personne en dehors de LastPass ne peut inspecter le code qu’il utilise pour rechercher d’éventuelles vulnérabilités. Il existe des gestionnaires de mots de passe open source, notamment Bitwarden et KeePass.

Nous avons déjà dit que vous devriez changer tous les mots de passe des comptes financiers importants, mais vous devriez trouver un autre gestionnaire de mots de passe et migrer vos mots de passe vers celui-ci.

La plupart des gestionnaires de mots de passe fonctionnent comme LastPass et stockent votre coffre-fort de mots de passe dans le cloud. Ils le font pour faciliter la synchronisation de ces connexions entre tous vos appareils, mais certains offrent une option “auto-hébergée” où vous pouvez stocker votre coffre-fort localement sur votre appareil. C’est mieux du point de vue de la sécurité, mais cela a tendance à signifier qu’il n’est pas aussi facile de synchroniser les nouvelles connexions et les changements de mot de passe sur tous les appareils que vous utilisez.

Mais la sécurité et la commodité vont rarement de pair, donc cela dépend vraiment de combien vous voulez garder vos mots de passe en sécurité pour savoir si vous faites confiance ou non à un gestionnaire de mots de passe basé sur le cloud.

Histoires liées