Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source

Et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

Le code source de LastPass et des informations techniques propriétaires de l’entreprise ont été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes – vient d'annoncer que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Le tableau relance le débat sur la comparaison entre les gestionnaires de mots de passe.

« A tous les clients de LastPass,

Je souhaite vous informer d'un développement que nous estimons important de partager avec la communauté des entreprises et des consommateurs de LastPass.

Il y a deux semaines, nous avons détecté une activité inhabituelle dans certaines parties de l'environnement de développement de LastPass. Après avoir lancé une enquête immédiate, nous n'avons vu aucune preuve que cet incident impliquait un accès à des données clients ou à des coffres de mots de passe cryptés.

Nous avons déterminé qu'une partie non autorisée a eu accès à certaines parties de l'environnement de développement de LastPass par le biais d'un seul compte de développeur compromis et a pris des parties du code source et certaines informations techniques exclusives de LastPass. Nos produits et services fonctionnent normalement.

En réponse à l'incident, nous avons déployé des mesures de confinement et d'atténuation, et fait appel à une société de cybersécurité et d'expertise judiciaire de premier plan. Bien que notre enquête soit en cours, nous avons atteint un état de confinement, mis en œuvre des mesures de sécurité renforcées supplémentaires, et ne voyons aucune autre preuve d'activité non autorisée.

Sur la base de ce que nous avons appris et mis en œuvre, nous évaluons d'autres techniques d'atténuation pour renforcer notre environnement. Nous avons inclus ci-dessous une brève FAQ de ce que nous pensons être les questions et préoccupations initiales les plus pressantes de votre part. Nous continuerons à vous informer avec la transparence que vous méritez.

Nous vous remercions de votre patience, de votre compréhension et de votre soutien », a précisé le CEO de LastPass dans l’essentiel de la communication relative à la gestion de l’incident.

Ainsi donc LastPass ne fournit pas de détails supplémentaires concernant l'attaque, la manière dont les acteurs de la menace ont compromis le compte du développeur et le code source qui a été volé.



Que LastPass soit victime de piratage n’est pas une nouveauté. En 2015, l’éditeur a annoncé une compromission de son réseau : « Nous souhaitons informer notre communauté que notre équipe a détecté et bloqué immédiatement une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données chiffrées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage, et le hachage d’authentification ont été compromis. » L’annonce n’avait pas manqué de relancer le débat sur la comparaison entre les gestionnaires de mots de passe.

Sur la base des examens de tiers et les avis d'experts en sécurité, il est possible d’établir la plus large sélection possible de gestionnaires de mots de passe établis. Ainsi, la liste comporte des gestionnaires de mots de passe commerciaux offrant des versions gratuites, généralement avec quelques limitations et une option de mise à niveau vers un abonnement payant pour des fonctionnalités supplémentaires. Elle comporte aussi des produits commerciaux qui offrent des essais gratuits, mais qui nécessitent ensuite un abonnement payant, dont certains sont spécifiquement conçus pour être utilisés par des équipes. Pour finir, certaines, mais pas toutes, offrent des options familiales.

Les options gratuites avec des mises à jour payantes

LastPass

LastPass est un gestionnaire de mots de passe populaire qui fait partie de la famille LogMeIn depuis 2015. LogMeIn est une entreprise américaine de services informatiques créée en 2003. Last offre une version gratuite et une version payante. La version gratuite offre un ensemble de fonctionnalités robustes et prend en charge un nombre illimité d'appareils par utilisateur. Les produits personnels et professionnels de la société fonctionnent sur toutes les principales plateformes et tous les navigateurs de bureau et mobiles. Le service est uniquement basé sur le cloud.

De cette manière, les fichiers sont stockés sur les serveurs de l'entreprise et synchronisés avec les appareils locaux. La version Premium, qui est à 36*$ par an, donne droit à quelques fonctionnalités supplémentaires, telles que des options avancées d'authentification multifactorielle, un stockage de fichiers chiffrés de 1 Go et la possibilité de désigner un contact de confiance pour un accès d'urgence. Le plan familial, qui couvre jusqu'à six utilisateurs, coûte 48 dollars par an et comprend un tableau de bord. Les plans d'entreprise commencent à 48 dollars par utilisateur et par an.

RoboForm Free/RoboForm Everywhere

RoboForm est un gestionnaire de mots de passe lancé en 2000. La version gratuite prend en charge un nombre illimité de connexions et dispose de clients pour Windows, MacOS, Android et iOS, et pour tous les principaux navigateurs. Elle stocke en local sa base de données d'identification, ce qui signifie que vous êtes responsable de la sauvegarde de ces données et de leur synchronisation manuelle entre les appareils. RoboForm Everywhere quant à lui est un service d'abonnement à 24 dollars par an qui...