LastPass a beaucoup fait parler de lui ces derniers temps. Que vous soyez déjà un utilisateur de LastPass ou que vous envisagiez de vous abonner, vous vous demandez probablement si vous pouvez (continuer à) l’utiliser en toute sécurité depuis les récents piratages.
Notre réponse est non, mais ce n’est qu’en partie à cause des hacks de 2022.
En tant que gestionnaire de mots de passe qui contient tous vos identifiants, y compris peut-être vos noms d’utilisateur et mots de passe de banque en ligne et autres services essentiels, ce service devrait être totalement fiable.
Bien que nous nous méfions de tout service en ligne ou basé sur le cloud qui prétend être sûr à 100 % et à l’abri du piratage, il est très inquiétant de savoir qu’un service gérant les mots de passe de millions d’utilisateurs et que vous êtes victime de violations répétées.
LastPass et son passé peu brillant…
Par le passé, nous avons accordé à LastPass le bénéfice du doute à de nombreuses reprises. Il a été piraté en 2015 lorsque les adresses électroniques des utilisateurs et les rappels de mots de passe avaient été consultés.
Puis, en 2017, une vulnérabilité a été découverte dans son extension de navigateur qui aurait pu être expolitée pour voler vos mots de passe. Celle-ci a été corrigée, mais la même chose s’est produite en 2019 où le dernier mot de passe utilisé était vulnérable.
Puis, en août 2022, LastPass a publié sur son blog qu’il y avait eu une “activité inhabituelle dans certaines parties de l’environnement de développement LastPass”, mais qu’il n’y avait “aucune preuve que cet incident ait impliqué un accès à des données client ou à des coffres-forts de mots de passe chiffrés”.
LastPass a déclaré qu’aucune action n’était nécessaire.
Malheureusement, cette affirmation s’est avérée trop optimiste : quelques mois plus tard, des pirates ont fait usage des informations qu’ils avaient obtenues en août pour pirater à nouveau LastPass, en accédant cette fois aux adresses électroniques, aux numéros de téléphone et aux adresses IP des abonnés.
Pour ce faire, ils ont escroqué un employé de LastPass et ont réussi à obtenir les informations nécessaires pour accéder à un stockage cloud sur lequel LastPass s’appuie pour conserver les données des clients et les coffres-forts de mots de passe.
Les mots de passe, les identifiants et toutes les notes contenues dans ces coffres sont, bien sûr, chiffrés, mais pas toutes les données : LastPass a confirmé qu’ils contiennent également des URL non cryptées de sites Web.
Les pirates doivent deviner votre mot de passe principal pour décrypter les informations contenues dans ces coffres, mais comme ils peuvent avoir recours à des logiciels pour accélérer ce processus, ce n’est qu’une question de temps avant qu’ils ne parviennent à en hacker certains, surtout si votre code d’accès comporte moins de 12 caractères, ce qui est possible si vous ne l’avez pas modifié depuis avant 2018.
Je suis un utilisateur de LastPass, que dois-je faire ?
Si vous avez un mot de passe fort, alors il n’y a pas lieu de s’inquiéter (selon LastPass) car les logiciels généralement disponibles mettraient “des millions d’années” à le craquer.
Nous lisons sur le blog de la firme que grâce aux “méthodes de hachage et de chiffrement que nous utilisons pour protéger nos clients font qu’il serait extrêmement difficile de tenter de deviner au moyen d’une attaque par force brute les mots de passe maîtres des clients qui suivent nos meilleures pratiques en matière de mots de passe. Nous soumettons régulièrement les dernières techniques de cassage de mots de passe à des tests contre nos algorithmes afin de maintenir à niveau et d’améliorer nos contrôles cryptographiques.
La personne malveillante peut également cibler les clients avec des attaques par phishing, par credential stuffing, ou d’autres attaques par force brute sur les comptes en ligne associés à votre coffre-fort LastPass. Pour vous protéger contre les attaques d’ingénierie sociale ou de phishing, il est important de savoir que LastPass ne vous appellera jamais, ni ne vous enverra d’e-mail ou de SMS pour vous demander de cliquer sur un lien afin de vérifier vos informations personnelles. Hormis lors de la connexion à votre coffre-fort depuis un client LastPass, LastPass ne vous demandera jamais votre mot de passe maître”.
Le problème est que si les pirates ont déjà une copie de votre coffre, qui est crypté avec votre ancien mot de passe, alors changer votre mot de passe maître LastPass maintenant ne fera aucune différence. Cela ne changera que le chiffrement de la version que LastPass stocke, pas la copie que les hackers possèdent.
Cela signifie que votre seule option est de modifier les mots de passe des comptes dans la chambre forte, de sorte que si les pirates parviennent à décrypter votre chambre forte, les mots de passe qu’ils obtiennent ne fonctionneront plus.
Il est très compliqué et très long de changer des centaines (même dizaines) de mots de passe, mais cela vaut évidemment la peine de le faire pour tous les comptes bancaires ou autres comptes liés à vos finances afin d’atténuer les risques. Cela inclut les comptes de tous les sites d’achat en ligne qui stockent vos données de paiement, comme Amazon, sans oublier PayPal et les autres.
Dois-je rester fidèle à LastPass ?
Non. Il est nous tout simplement impossible de vous recommander de continuer à l’utiliser. L’historique des violations et des vulnérabilités était déjà assez grave, mais le fait que les pirates soient parvenus à mettre la main sur des coffres de mots de passe cryptés est la goutte d’eau qui a fait déborder le vase.
Il y a aussi le fait que le code de LastPass est “closed source”. Contrairement aux logiciels à code source ouvert, cela signifie que personne en dehors de LastPass ne peut inspecter le code qu’il utilise pour vérifier s’il est vulnérable. Il existe des gestionnaires de mots de passe open source, notamment Bitwarden et KeePass.
Nous avons déjà dit que vous devriez changer les mots de passe des comptes financiers importants, mais vous devriez à présent trouver un autre gestionnaire et y migrer vos codes.
La plupart fonctionne comme LastPass et stocke votre coffre-fort de mots de passe dans le cloud. Ils le font pour faciliter la synchronisation des identifiants entre tous vos appareils, mais certains proposent une option “auto-hébergée” qui vous permet de stocker votre coffre-fort localement sur votre appareil.
C’est mieux du point de vue de la sécurité, mais cela signifie qu’il n’est pas aussi facile de synchroniser les nouvelles connexions et les changements de mot de passe sur tous les appareils utilisés.
Mais sécurité et commodité vont rarement de pair, et c’est donc en fonction de votre volonté de préserver la sécurité de vos mots de passe que vous devez faire confiance ou non à un gestionnaire de mots de passe en ligne…
Adaptation de l’article original de Jim Martin, paru sur Techavisor.com