IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source
Et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

Le , par Patrick Ruiz

3PARTAGES

14  0 
Le code source de LastPass et des informations techniques propriétaires de l’entreprise ont été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes – vient d'annoncer que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Le tableau relance le débat sur la comparaison entre les gestionnaires de mots de passe.

« A tous les clients de LastPass,

Je souhaite vous informer d'un développement que nous estimons important de partager avec la communauté des entreprises et des consommateurs de LastPass.

Il y a deux semaines, nous avons détecté une activité inhabituelle dans certaines parties de l'environnement de développement de LastPass. Après avoir lancé une enquête immédiate, nous n'avons vu aucune preuve que cet incident impliquait un accès à des données clients ou à des coffres de mots de passe cryptés.

Nous avons déterminé qu'une partie non autorisée a eu accès à certaines parties de l'environnement de développement de LastPass par le biais d'un seul compte de développeur compromis et a pris des parties du code source et certaines informations techniques exclusives de LastPass. Nos produits et services fonctionnent normalement.

En réponse à l'incident, nous avons déployé des mesures de confinement et d'atténuation, et fait appel à une société de cybersécurité et d'expertise judiciaire de premier plan. Bien que notre enquête soit en cours, nous avons atteint un état de confinement, mis en œuvre des mesures de sécurité renforcées supplémentaires, et ne voyons aucune autre preuve d'activité non autorisée.

Sur la base de ce que nous avons appris et mis en œuvre, nous évaluons d'autres techniques d'atténuation pour renforcer notre environnement. Nous avons inclus ci-dessous une brève FAQ de ce que nous pensons être les questions et préoccupations initiales les plus pressantes de votre part. Nous continuerons à vous informer avec la transparence que vous méritez.

Nous vous remercions de votre patience, de votre compréhension et de votre soutien », a précisé le CEO de LastPass dans l’essentiel de la communication relative à la gestion de l’incident.

Ainsi donc LastPass ne fournit pas de détails supplémentaires concernant l'attaque, la manière dont les acteurs de la menace ont compromis le compte du développeur et le code source qui a été volé.


Que LastPass soit victime de piratage n’est pas une nouveauté. En 2015, l’éditeur a annoncé une compromission de son réseau : « Nous souhaitons informer notre communauté que notre équipe a détecté et bloqué immédiatement une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données chiffrées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage, et le hachage d’authentification ont été compromis. » L’annonce n’avait pas manqué de relancer le débat sur la comparaison entre les gestionnaires de mots de passe.

Sur la base des examens de tiers et les avis d'experts en sécurité, il est possible d’établir la plus large sélection possible de gestionnaires de mots de passe établis. Ainsi, la liste comporte des gestionnaires de mots de passe commerciaux offrant des versions gratuites, généralement avec quelques limitations et une option de mise à niveau vers un abonnement payant pour des fonctionnalités supplémentaires. Elle comporte aussi des produits commerciaux qui offrent des essais gratuits, mais qui nécessitent ensuite un abonnement payant, dont certains sont spécifiquement conçus pour être utilisés par des équipes. Pour finir, certaines, mais pas toutes, offrent des options familiales.

Les options gratuites avec des mises à jour payantes

LastPass

LastPass est un gestionnaire de mots de passe populaire qui fait partie de la famille LogMeIn depuis 2015. LogMeIn est une entreprise américaine de services informatiques créée en 2003. Last offre une version gratuite et une version payante. La version gratuite offre un ensemble de fonctionnalités robustes et prend en charge un nombre illimité d'appareils par utilisateur. Les produits personnels et professionnels de la société fonctionnent sur toutes les principales plateformes et tous les navigateurs de bureau et mobiles. Le service est uniquement basé sur le cloud.

De cette manière, les fichiers sont stockés sur les serveurs de l'entreprise et synchronisés avec les appareils locaux. La version Premium, qui est à 36*$ par an, donne droit à quelques fonctionnalités supplémentaires, telles que des options avancées d'authentification multifactorielle, un stockage de fichiers chiffrés de 1 Go et la possibilité de désigner un contact de confiance pour un accès d'urgence. Le plan familial, qui couvre jusqu'à six utilisateurs, coûte 48 dollars par an et comprend un tableau de bord. Les plans d'entreprise commencent à 48 dollars par utilisateur et par an.

RoboForm Free/RoboForm Everywhere

RoboForm est un gestionnaire de mots de passe lancé en 2000. La version gratuite prend en charge un nombre illimité de connexions et dispose de clients pour Windows, MacOS, Android et iOS, et pour tous les principaux navigateurs. Elle stocke en local sa base de données d'identification, ce qui signifie que vous êtes responsable de la sauvegarde de ces données et de leur synchronisation manuelle entre les appareils. RoboForm Everywhere quant à lui est un service d'abonnement à 24 dollars par an qui ajoute des fonctionnalités, telles que la sauvegarde dans le nuage, la synchronisation et l’authentification à deux facteurs.

Il dispose d’une option Famille à 48 dollars par an. Elle couvre jusqu'à cinq utilisateurs, et les plans d'entreprise coûtent 35 dollars par utilisateur et par an. Des réductions sont disponibles pour les achats pluriannuels.

Dashlane

Dashlane n'a pas la longévité de ses principaux rivaux, mais il existe depuis assez longtemps pour gagner une réputation de facilité d'utilisation. Les applications sont disponibles pour PC, Mac, Android, iOS et Windows. Si votre base de données de mots de passe comprend moins de 50 entrées et que vous ne devez utiliser le logiciel que sur un seul appareil, vous pouvez vous en sortir avec la version gratuite, qui prend également en charge l'authentification à deux facteurs. Dashlane ne propose pas d’option pour famille, mais il permet le partage des mots de passe entre les comptes.

La version Premium est à 60 dollars par an. Elle supprime les limites sur le nombre de mots de passe enregistrés et d'appareils synchronisés et inclut une option VPN. En outre, l'offre Premium Plus à 120 dollars par an ajoute une assurance contre le vol d'identité et une surveillance du crédit. Enfin, les versions d'entreprise comprennent les mêmes fonctionnalités que la version Premium, à 48 dollars par utilisateur et par an, avec des options de provisionnement et de déploiement ainsi que la possibilité de séparer les informations d'identification professionnelles et personnelles.

Les gestionnaires fournissant des services payants

1Password

Bien que ce produit ait gagné sa réputation sur les appareils Mac et iOS d'Apple, il a aussi été adopté par Windows, Android, Linux et Chrome OS. Il a une extension de navigateur, 1Password X, qui remplit les informations d'identification, suggère des mots de passe et fournit une authentification à deux facteurs dans Chrome, Firefox et Microsoft Edge. Après un premier essai gratuit de 30 jours, vous êtes invité à souscrire à un abonnement qui coûte 36 dollars par an. En outre, il propose un abonnement familial de cinq utilisateurs qui coûte 60 dollars par an.

1Password fonctionne mieux si ses fichiers de données sont synchronisés à partir des serveurs de 1Password, mais vous avez également la possibilité d'enregistrer les mots de passe localement et de synchroniser le fichier de données avec votre propre réseau ou un compte Dropbox ou iCloud. Les comptes professionnels 1Password ajoutent un contrôle d'accès avancé et des journaux d'activité et des politiques de sécurité gérées de manière centralisée. Ils coûtent 96*$ par utilisateur et par an, avec un stockage de 5 pour les fichiers et un compte familial gratuit lié pour chaque utilisateur.

Keeper

Keeper est arrivé sur le marché en 2011. Il propose grand assortiment de produits, avec des offres distinctes pour l'usage personnel et familial, les entreprises, les clients professionnels et les fournisseurs de services gérés. Les forfaits personnels commencent à 30 dollars par an pour Keeper Unlimited, qui permet de stocker un nombre illimité de mots de passe et de les synchroniser sur un nombre illimité d'appareils. Un forfait de 60*$ par an ajoute la fonction de messagerie cryptée KeeperChat, le stockage sécurisé de fichiers et un service de surveillance des brèches.

Ce dernier analyse les mots de passe enregistrés pour trouver ceux qui sont connus pour être compromis. La version familiale de chaque forfait double le coût et prend en charge jusqu'à cinq utilisateurs. Keeper stocke les fichiers de données synchronisées sur le cloud Amazon Web Services. Les forfaits étudiants sont à moitié prix.

Hypervault

Hypervault est arrivé sur le marché fin 2018, et été conçu à l'origine pour un usage interne par ses développeurs. La version 2, lancée en avril 2019, tient certaines des promesses de la société pour un gestionnaire de mots de passe axé sur les besoins des équipes. La version 2 s’accompagne d’une interface utilisateur remaniée ainsi que des autorisations de groupe et une structure basée sur les droits pour les membres de l'équipe. L’abonnement commence à 2,50 dollars par utilisateur et par mois, avec des réductions à partir des seuils de 10 et 50 utilisateurs et des réductions supplémentaires pour les achats annuels.

La société dispose d'un journal des modifications et d'une feuille de route bien documentés, et une version autohébergée est “à venir”.

Les gestionnaires de mots de passe open source

KeePass Password Safe

Si vous avez la phobie du cloud ou si vous insistez sur les logiciels à source ouverte, c'est votre choix. KeePass fonctionne sur toutes les plateformes de bureau et mobiles, y compris la plupart des distributions Linux, et il est gratuit. Les fichiers sont stockés localement, et vous voudrez maîtriser ses arcanes de raccourcis clavier pour remplir automatiquement les mots de passe. L'intégration au navigateur est possible grâce à des plugins tiers. En outre, KeePass Password Safe offre également la possibilité de l’utiliser sur un grand nombre d’appareils.

Dans ce cas, le moteur de synchronisation intégré du programme met à jour automatiquement la base de données des mots de passe, quel que soit l'emplacement de stockage en nuage que vous indiquez.

Bitwarden

Le code source de Bitwarden est hébergé sur GitHub, avec des dépôts séparés pour les projets de bureau, de serveur, de Web, de navigateur, de mobile et de ligne de commande. Il dispose de toutes les fonctionnalités des listes de contrôle des gestionnaires de mots de passe personnels commerciaux, y compris la synchronisation sécurisée dans le nuage. Si vous n'êtes pas à l'aise avec le stockage de vos mots de passe dans le nuage Bitwarden, vous pouvez héberger l'infrastructure sur votre propre serveur, en utilisant Docker.

Passbolt

Les développeurs de Passbolt l’ont conçu pour les équipes et DevOps, en utilisant des normes de sécurité modernes à source ouverte et des outils familiers, dont le lanceur d’applications conteneurisées Docker. La version communautaire autohébergée fonctionne sur votre propre serveur et est spécifiquement destinée aux équipes agiles qui s'éloignent de solutions comme KeePass et LastPass. Il a une version commerciale payante avec la prise en charge de l'authentification multifactorielle.

L’abonnement commence à 10 euros par mois pour cinq utilisateurs, avec des réductions pour un paiement annuel.

Password Safe

Password Safe a été conçu par l’expert en sécurité Bruce Schneier. Sur le bureau, il s'agit d'un produit exclusivement Windows, bien que des clones soient disponibles pour les appareils macOS, Android et iOS. Les bases de données sont sauvegardées localement et les fonctions de synchronisation ne sont pas intégrées. Bien que Password Safe ait une base de fans fidèles, il ne plaira probablement pas à ceux qui veulent les capacités de polissage et de synchronisation d'une application plus moderne.

Et vous ?

Utilisez-vous un gestionnaire de mots de passe ? Comment le comparez vous à l'offre concurrente ? Quels sont les critères qui vous ont amené à opter pour ce dernier plutôt que sur ceux d'autres éditeurs ?
Partagez vous l'avis selon lequel les développements en cours sont l'illustration de ce que l'ère des mots de passe est dépassée ?

Voir aussi :

KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe

La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport

Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur

Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?

Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 27/08/2022 à 11:18
Qui est étonné par cette news?

Quand on veut éviter le piratage, il y 2 règles simples:

1. Ne pas utiliser un service "online" qui stocke vos données (fussent-elles cryptées) dans le cloud à la disposition de tous les hackers du monde

2. Ne pas utiliser un produits ou services utilisés par des millions d'utilisateurs: Un hacker ne va pas se fatiguer à violer un système utilisé par seulement une centaine de guignols!

Dans notre entreprise, nous avons résolu très simplement le problème: Tous nos échanges sont cryptées à l'aide d'un logiciel fait "maison" et notre "LastPass" provient de la même origine...
7  1 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 17/09/2022 à 12:51
Utiliser un service en ligne pour y stocker ses mots-de-passe est par définition une idiotie...

C'est comme si un banquier regroupait toutes les clés des coffres-forts que sa banque met à disposition de sa clientèle fortuné au milieu d'une place publique dans une jolie cassette munie d'un cadenas avec une pancarte "Ici sont réunies l'ensemble des clés des coffres-forts de la banque Cresus&co. Prière de ne pas toucher"
5  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 26/08/2022 à 21:10
le mieux est de ce faire le sien, un que des pirates ne pourront pas retrouner dans tous les sens car ils ne l'auront pas
4  0 
Avatar de JPLAROCHE
Membre éprouvé https://www.developpez.com
Le 26/08/2022 à 18:44
j'ai longtemps testé… et pour le meilleur KeePassXC , il est sur votre pc et très simple d'utilisation.
2  0 
Avatar de jbrosset
Membre du Club https://www.developpez.com
Le 24/09/2022 à 17:30
Je vais réagir à l'inverse de la quasi totalité des commentaires :
Je veux bien entendre que l'utilisation d'un gestionnaire de mots de passe en ligne est une idiotie, mais personnellement je n'ai pas trouvé mieux pour gérer une bonne centaine de mots de passe et les partager avec une épouse non technophile qui n'accepte que des trucs hyper simples.
Note monde aujourd'hui est fou avec des dizaines et des dizaines de mots de passe à définir, forts (et donc difficiles à mémoriser), qu'il faut changer souvent.
Bref, moi je vous le dis honnêtement : ma vie ne se déroule pas exclusivement derrière un ordinateur, loin s'en faut, et je ne sais pas comment faire, sans migraine ni crise de nerfs.
J'ose le dire, parmi ce concert de critiques à propos de LastPass, parce que je suis convaincu que ce que je raconte c'est ce que vivent beaucoup, beaucoup de personnes individuelles, et de familles (avec partage des données sensibles).
Alors, si vous avez des idées constructives et réalistes (c'est-à-dire très simples à mettre en œuvre, sinon je sais déjà que ça ne marchera pas) eh bien n'hésitez pas à nous les partager...
2  0 
Avatar de QBasic
Membre à l'essai https://www.developpez.com
Le 17/09/2022 à 15:13
Utiliser un service en ligne pour y stocker ses mots-de-passe est par définition une idiotie...
C'est clair, s'il y a bien un type de données à ne confier à personne, c'est les mots de passe !
1  0 
Avatar de onilink_
Membre chevronné https://www.developpez.com
Le 17/09/2022 à 15:38
Moi qui pensais que les gestionnaires de password c'était forcement chiffré et en local...
Comme quoi on en apprend tous les jours
1  0 
Avatar de sanderbe
Membre éclairé https://www.developpez.com
Le 17/09/2022 à 19:24
Bonsoir

LastPass, le gestionnaire de mots de passe, affirme que les pirates ont eu un accès interne à son système, pendant quatre jours

Selon vous, LastPass vaut-il le coup ?
Non pas du tout !

Protège-t-il vraiment vos mots de passe ?
Absoluement pas ! D'ailleurs en chinant dans les archives du forum , LastPass est le gestionnaire de mot de pass qui a eu droit à 2 piratages 2015 et 2018 de mémoires. Donc services à proscrire !

Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?
Contre .
1  0 
Avatar de daerlnaxe
Membre éclairé https://www.developpez.com
Le 17/09/2022 à 23:09
Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé. Ce jour là j'ai développé en c# ma propre appli, je comptais d'ailleurs la mettre à dispo gratuitement, simplement je voulais savoir avant sur les licences si j'avais droit (pour une fois) à proposer de me faire des dons (pas des gros trucs mais histoire de pouvoir moins m'inquiéter de mon activité "pro", vu qu'une maladie me clouait dans un fauteuil).
1  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 18/09/2022 à 12:07
Selon vous, LastPass vaut-il le coup ? Protège-t-il vraiment vos mots de passe ?
Non il n'en vaut pas le coup :
1) c'est une solution propriétaire, c'est donc accorder une confiance inutile à certains maillons de la chaîne de sécurité pour seule raison de profiter au business de l'entreprise qui l'emploi
2) Il les protège, oui, mais pas suffisemment, surtout en regard d'autres solution déjà existante sur le marché (ex : Bitwarden, ou mieuxBitwarden hébergé dans un docker local, ou encore mieux Keepass Password Safe (aka Keepass) hébergé en local et synchronisé)

Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?
Je suis contre "la non utilisation d'un gestionnaire de mot de passe de manière générique".
Pour gérer ET protéger ses mots de passe, un gestionnaire est nécessaire. Mais cela n'implique pas de tous les placer au même endroit.
>> à chaque problématique sa solution adaptée.

Certains secrets on une nécessité absolue de secret, il ne doivent alors n'exister que dans la tête. D'autres ont un besoin fort de verrouiller son accès, suivant où se situent les risques, ils doivent être stockés soit sur papier, soit sur un machine locale, soit sur une machine distante. Et pour couronner le tout, chaque mot de passe est plus sensible à tel ou tel stockage, puisque exposant un contexte d'utilisation différent (le digicode de l'alarme, le compte bancaire en ligne, ou le compte du forum, présentent tous des emplois différents ...et donc des risque différents sur un même stockage).

La problématique va au-delà de simplement "dois-je utiliser un gestionnaire".
Il faudrait analyser les points suivants :
- un gestionnaire se doit-il d'être fiable (limiter les erreurs) ou pratique ...ou les 2 à la fois ?
- quelles fonctionnalités sont nécessaires pour la gestion des mots de passe, de manière fiable et/ou pratique ?
- solution propriétaire ou 100% sous licence libre ? ...quelle licence ?
- solution locale ou en ligne ? (licence adapté ? > ex: AGPL et non GPL pour un service en ligne délivré par un tiers)
- service via prestataire ou auto-hébergé ?
- tous les accès centralisés sur une seule solution ou répartis en fonction de la surface d'attaque et du contexte d'usage de l'accès ?

Citation Envoyé par daerlnaxe Voir le message
Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé.
C'est une problématique qui existe sur tout support de stockage, que ce soit sur papier ou numérique, et hypothétiquement dans ton cerveau également.
Citation Envoyé par daerlnaxe Voir le message
Ce jour là j'ai développé en c# ma propre appli, je comptais d'ailleurs la mettre à dispo gratuitement (...)
Tu n'as pas cherché à forker un projet sous licence libre ? est-ce une démarche pour prototyper, ou bien une réelle envie d'offrir à d'autre un outil que tu ne trouves nulle part ?
Citation Envoyé par daerlnaxe Voir le message
(...) je voulais savoir avant sur les licences si j'avais droit (pour une fois) à proposer de me faire des dons (pas des gros trucs mais histoire de pouvoir moins m'inquiéter de mon activité "pro", vu qu'une maladie me clouait dans un fauteuil).
A ma connaissance presque toutes les licences libres acceptent le don (je ne connais aucune exception), ce qui est moins général, c'est l'autorisation de pouvoir restreindre la diffusion du produit contre transaction financière.
1  0