IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les spécialistes de la cybersécurité s'attaquent au communiqué de LastPass suite à une violation de sécurité
« leur déclaration est pleine d'omissions, de demi-vérités et de mensonges éhontés »

Le , par Stéphane le calme

3PARTAGES

11  0 
La semaine dernière, juste avant Noël, LastPass a fait une annonce explosive : à la suite d'une violation de données en août, qui a conduit à une autre violation de données en novembre, des hackers avaient mis la main sur les coffres-forts de mots de passe des utilisateurs. Alors que l'entreprise insiste sur le fait que vos informations de connexion sont toujours sécurisées, certains experts en cybersécurité critiquent fortement son message, affirmant qu'il pourrait faire en sorte que les gens se sentent plus en sécurité qu'ils ne le sont réellement et soulignant qu'il ne s'agit que du dernier d'une série d'incidents qui rendent il est difficile de faire confiance au gestionnaire de mots de passe.

Une chose sur laquelle plusieurs d'entre eux semblent s'accorder, c'est que cette violation n'est pas la preuve que les gestionnaires de mots de passe basés sur le cloud sont une mauvaise idée. Toutefois, l'un d'eux critique l'entreprise pour avoir décrit son algorithme de renforcement de mot de passe, connu sous le nom de PBKDF2, comme « plus fort que la norme ». L'idée derrière la norme est qu'il est plus difficile de deviner vos mots de passe par force brute, car vous devrez effectuer un certain nombre de calculs à chaque supposition. « Je me demande sérieusement ce que LastPass considère comme typique », a noté Wladimir Palant, « étant donné que 100 000 itérations PBKDF2 sont le nombre le plus bas que j'ai vu dans n'importe quel gestionnaire de mots de passe actuel ».


LastPass, l'un des principaux gestionnaires de mots de passe, a déclaré que des pirates ont obtenu une multitude d'informations personnelles appartenant à ses clients ainsi que des mots de passe chiffrés et cryptographiquement hachés en plus d'autres données stockées dans les coffres-forts des clients. La révélation, publiée le 22 décembre, représente une mise à jour spectaculaire d'une brèche que LastPass a révélée en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusive. L'éditeur a reconnu que le(s) cybercriminel(s) « avait pris des parties du code source et certaines informations techniques propriétaires de LastPass ». La société a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés.

Données sensibles, chiffrées ou non, copiées

Dans la mise à jour de jeudi 22 décembre, la société a déclaré que les pirates avaient accédé aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux services LastPass. Les pirates ont également copié une sauvegarde des données du coffre-fort client qui comprenait des données non chiffrées telles que des URL de sites Web et des champs de données chiffrés tels que des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires.

« Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a expliqué le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme. Zero Knowledge fait référence à des systèmes de stockage impossibles à déchiffrer pour le fournisseur de services. Le PDG a poursuivi :

Citation Envoyé par PDG LastPass
Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local. Pour plus d'informations sur notre architecture Zero Knowledge et nos algorithmes de chiffrement, veuillez cliquer ici.

La mise à jour indique que dans l'enquête de la société jusqu'à présent, rien n'indique que des données de carte de crédit non cryptées ont été consultées. LastPass ne stocke pas les données de carte de crédit dans leur intégralité, et les données de carte de crédit qu'il stocke sont conservées dans un environnement de stockage en nuage différent de celui auquel l'acteur de la menace a accédé.
L'intrusion révélée en août qui a permis aux pirates de voler le code source de LastPass et des informations techniques propriétaires semble liée à une violation distincte de Twilio, un fournisseur de services d'authentification et de communication à deux facteurs basé à San Francisco. Le cybercriminel derrière cette violation a volé les données de 163 des clients de Twilio. Les mêmes hameçonneurs qui ont frappé Twilio ont également violé au moins 136 autres entreprises, dont LastPass.

La mise à jour de jeudi 22 décembre a indiqué que les cybercriminels pourraient utiliser le code source et les informations techniques volés à LastPass pour pirater un employé distinct de LastPass et obtenir des informations d'identification et des clés de sécurité pour accéder et déchiffrer les volumes de stockage au sein du service de stockage basé sur le cloud de l'entreprise.

Mais les spécialistes de la cybersécurité se sont attaqué au communiqué de LastPass.

Wladimir Palant, un chercheur en sécurité connu pour avoir aidé à développer à l'origine AdBlock Pro

Les professionnels de la sécurité ne se sont pas amusés, cette saison des fêtes est devenue une période très chargée pour eux. LastPass aurait probablement pu empêcher cela s'ils étaient plus soucieux de protéger leurs utilisateurs que de sauver leur image. Leur déclaration est également pleine d'omissions, de demi-vérités et de mensonges éhontés. Comme je sais que tout le monde ne peut pas voir à travers tout cela, j'ai pensé que je choisirais un tas de phrases de cette déclaration et donnerais un contexte que LastPass ne voulait pas mentionner.

Commençons par le tout premier paragraphe :

Citation Envoyé par LastPass
Conformément à notre engagement envers la transparence, nous souhaitons vous fournir une mise à jour concernant notre enquête en cours.
En fait, cela n'a rien à voir avec un quelconque engagement. LastPass est en fait tenu par la loi américaine de divulguer immédiatement une violation de données. Nous verrons bientôt à quel point ils sont vraiment transparents dans leur déclaration.

Citation Envoyé par LastPass
Bien qu'aucune donnée client n'ait été consultée lors de l'incident d'août 2022, certains codes sources et informations techniques ont été volés dans notre environnement de développement et utilisés pour cibler un autre employé, obtenant des informations d'identification et des clés qui ont été utilisées pour accéder et décrypter certains volumes de stockage dans le cloud. service de stockage.
LastPass tente de présenter l'incident d'août 2022 et la fuite de données comme deux événements distincts. Mais l'utilisation des informations obtenues lors de l'accès initial afin d'accéder à davantage d'actifs est en fait une technique typique utilisée par les cybercriminels. C'est ce qu'on appelle un mouvement latéral.

L'interprétation la plus correcte des événements est donc : nous n'avons pas de nouvelle brèche maintenant, LastPass n'a plutôt pas réussi à contenir la brèche d'août 2022. Et à cause de cet échec, les données des gens ont maintenant disparu. Oui, cette interprétation est beaucoup moins favorable à LastPass, c'est pourquoi ils essaient probablement de l'éviter.

Notez également comment LastPass évite de mentionner quand l'évènement « cibler un autre employé » s'est produit. C'était probablement déjà le cas avant qu'ils ne déclarent la victoire en septembre 2022, ce qui jette également une mauvaise lumière sur eux.

Citation Envoyé par LastPass
Le service de stockage sur le cloud auquel accède l'auteur malveillant est physiquement séparé de notre environnement de production.
Est-ce censé être rassurant, étant donné que le stockage cloud en question avait apparemment une copie de toutes les données LastPass ? Ou est-ce peut-être une tentative de rejeter la faute : « Ce ne sont pas nos serveurs dont les données ont été extraites » ?

Citation Envoyé par LastPass
À ce jour, nous avons déterminé qu'une fois la clé d'accès au stockage sur le cloud et les clés de déchiffrement du double conteneur de stockage obtenues, l'auteur malveillant a copié des informations à partir de la sauvegarde contenant des informations de base sur le compte client et les métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, adresses e-mail, numéros de téléphone et adresses IP à partir desquelles les clients accédaient au service LastPass.
Nous apprenons ici que LastPass stockait vos adresses IP. Et comme ils ne précisent pas combien ils stockaient, nous devons supposer : tous. Et si vous êtes un utilisateur actif de LastPass, ces données devraient être suffisamment bonnes pour créer un profil de mouvement complet. Qui est maintenant entre les mains d'un cybercriminel inconnu.

Bien sûr, LastPass ne mentionne pas cette implication, en espérant que les utilisateurs les moins férus de technologie ne s'en rendront pas compte.

Il y a un autre aspect intéressant ici : combien de temps a-t-il fallu pour copier les données de millions d'utilisateurs ? Pourquoi LastPass n'a-t-il pas détecté cela avant que les attaquants n'en aient fini avec cela ? Nous ne l'apprendrons pas dans leur déclaration.

Citation Envoyé par LastPass
L'auteur malveillant a également pu copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage crypté qui est stocké dans un format binaire propriétaire qui contient à la fois des données non chiffrées, telles que les URL de sites Web, ainsi que des champs sensibles entièrement chiffrés tels que les noms d'utilisateur de sites Web. et mots de passe, notes sécurisées et données remplies par formulaire.
Notez que LastPass admet ne pas chiffrer les URL des sites Web mais ne les regroupe pas sous les « champs sensibles ». Mais les URL de sites Web sont des données très sensibles. Les cybercriminels aimeraient savoir à quoi vous avez accès. Ensuite, ils pourraient produire des e-mails de phishing bien ciblés uniquement pour les personnes qui en valent la peine.

Peu importe le fait que certaines de ces URL sont associées à des paramètres. Par exemple, LastPass enregistre parfois les URL de réinitialisation du mot de passe. Et parfois, ils seront toujours valables. Oups…

Rien de tout cela n'est nouveau bien sûr. LastPass a été averti à maintes reprises que ne pas chiffrer les URL et les métadonnées est une très mauvaise idée. En novembre 2015. En janvier 2017. En juillet 2018. Et ce ne sont que les cas dont j'ai connaissance. Ils ont choisi d'ignorer le problème et ils continuent de le minimiser.

Citation Envoyé par LastPass
En raison des méthodes de hachage et de chiffrement que nous utilisons pour protéger nos clients, il serait extrêmement difficile de tenter de deviner par force brute des mots de passe principaux pour les clients qui suivent nos meilleures pratiques en matière de mot de passe.
Cela prépare le terrain pour blâmer les clients. LastPass doit être conscient que les mots de passe seront déchiffrés pour au moins certains de leurs clients. Et ils ont déjà une explication pratique : ces clients n'ont manifestement pas suivi leurs meilleures pratiques.

Nous verrons ci-dessous quelles sont ces meilleures pratiques et comment LastPass les applique réellement.

Citation Envoyé par LastPass
Nous testons régulièrement les dernières technologies de craquage de mots de passe par rapport à nos algorithmes pour suivre et améliorer nos contrôles cryptographiques.
Cela semble rassurant. Pourtant, je ne connais qu'une seule occasion où ils ont ajusté leurs valeurs par défaut : en 2018, lorsque j'ai souligné que leurs valeurs par défaut étaient tout à fait insuffisantes. Rien n'a changé après cela, et ils sont à nouveau à la traîne.

Passons maintenant à leurs meilleures pratiques en matière de mot de passe :

Citation Envoyé par LastPass
Depuis 2018, nous exigeons un minimum de douze caractères pour les mots de passe principaux. Cela minimise considérablement la possibilité de deviner avec succès un mot de passe par force brute.
Si vous êtes un client LastPass, il y a de fortes chances que vous ignoriez complètement cette exigence. C'est parce que LastPass n'a pas demandé aux clients existants de changer leur mot de passe principal. J'avais mon compte de test depuis 2018, et même aujourd'hui, je peux me connecter avec mon mot de passe à huit caractères sans aucun avertissement ni invite à le changer.

LastPass a donc exigé douze caractères au cours des quatre dernières années, mais une grande partie de leur clientèle utilise probablement encore des mots de passe non conformes à cette exigence. Et LastPass les blâmera si leurs données sont déchiffrées en conséquence.


Jeremi Gosney, chercheur en sécurité

Permettez-moi de commencer par dire que j'avais l'habitude de soutenir LastPass. Je l'ai recommandé pendant des années et l'ai défendu publiquement dans les médias. Si vous recherchez sur Google "jeremi gosney" + "lastpass", vous trouverez des centaines d'articles dans lesquels j'ai défendu et/ou soutenu LastPass (y compris dans le magazine Consumer Reports). Je l'ai défendu même face aux vulnérabilités et aux failles, car il avait une UX supérieure et semblait toujours être la meilleure option pour les masses malgré ses défauts flagrants. Et il a toujours une place un peu spéciale dans mon cœur, étant le gestionnaire de mots de passe qui m'a en fait orienté vers les gestionnaires de mots de passe. Il a placé la barre pour ce que j'attendais d'un gestionnaire de mots de passe, et pendant un certain temps, il était inégalé.

Mais les choses changent et ces dernières années, je me suis retrouvé incapable de défendre LastPass. Je ne me souviens pas s'il y a eu une paille particulière qui a fait déborder le vase, mais je sais que j'ai cessé de le recommander en 2017 et que j'ai totalement effectué la migration en 2019. Vous trouverez ci-dessous une liste non ordonnée des raisons pour lesquelles j'ai perdu toute foi dans Last Pass :
  • L'affirmation de LastPass de "zéro connaissance" est un mensonge éhonté. Ils ont à peu près autant de connaissances qu'un gestionnaire de mots de passe pourrait avoir. Chaque fois que vous vous connectez à un site, un événement est généré et envoyé à LastPass dans le seul but de suivre les sites auxquels vous vous connectez. Vous pouvez désactiver la télémétrie, sauf que la désactiver ne fait rien - l'application enverra toujours des données à LastPass chaque fois que vous vous authentifiez quelque part. De plus, presque tout dans votre coffre-fort LastPass n'est pas chiffré. Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de données chiffrée où l'intégralité du fichier est protégé, mais non - avec LastPass, votre coffre-fort est un fichier en texte brut et seuls quelques champs sélectionnés sont chiffrés.
  • LastPass a l'habitude d'ignorer les chercheurs en sécurité et les rapports de vulnérabilités, et ne participe pas à la communauté infosec ni à la communauté de hacking de mots de passe. Les signalements de vulnérabilité restent non reconnus et non résolus pendant des mois, voire des années, voire jamais. Pendant un certain temps, ils avaient même un mauvais contact répertorié pour leur équipe de sécurité. Bugcrowd signale les vulnérabilités pour eux maintenant, et la plupart sinon tous les rapports de vulnérabilités sont gérés directement par Bugcrowd et non par LastPass. Si vous essayez de signaler une vulnérabilité au support LastPass, ils prétendront qu'ils ne comprennent pas et ne transmettront pas votre ticket à l'équipe de sécurité. Maintenant, Tavis Ormandy a félicité LastPass pour sa réponse rapide aux rapports de vulnérabilité, mais j'ai l'impression que c'est simplement parce que c'est Tavis / Project Zero qui les signale car ce n'est pas l'expérience que la plupart des chercheurs ont eue.

Vous savez, je ne recommande pas simplement aux utilisateurs de rejeter LastPass à cause de cette dernière violation. Je vous recommande de courir aussi loin que possible de LastPass en raison de sa longue histoire d'incompétence, d'apathie et de négligence. Il est tout à fait clair qu'ils ne se soucient pas de leur propre sécurité, et encore moins de votre sécurité.


Jeffrey Goldberg, architecte principal de sécurité de 1Password

LastPass, un concurrent, a récemment annoncé que des hachages de mot de passe étaient inclus dans une violation d'août 2022 de leur stockage sur le cloud. Leur notice affirmait que si les utilisateurs avaient suivi les paramètres par défaut, « il faudrait des millions d'années pour deviner votre mot de passe principal en utilisant la technologie de craquage de mot de passe généralement disponible ». Cette affirmation est très trompeuse. Dans cet article, j'explorerai la revendication LastPass et les fonctionnalités uniques de 1Password qui vous protègent - maintenant et en cas de violation similaire.

Si 1Password devait subir une violation de données similaire, l'attaquant ne serait pas en mesure de déchiffrer votre combinaison de mot de passe de compte et de clé secrète, même s'il mettait tous les ordinateurs sur Terre à travailler sur le craquage et les exécutait pendant des millions de fois l'âge de l'univers.

Les nouvelles

Le jeudi 22 décembre, LastPass a publié une mise à jour de son annonce concernant une violation d'août 2022. La mise à jour indique que les données utilisateur chiffrées « restent sécurisées avec un chiffrement AES 256 bits et ne peuvent être déchiffrées qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge ». L'avis poursuit en indiquant que « si vous utilisez les paramètres par défaut ci-dessus, il faudrait des millions d'années pour deviner votre mot de passe principal à l'aide de la technologie de craquage de mot de passe généralement disponible ». Les paramètres par défaut auxquels ils se réfèrent sont les 100 100 tours de PBKDF2 pour le traitement de LastPass et une longueur de mot de passe minimale de douze caractères.

Cette revendication de « millions d'années » semble reposer sur l'hypothèse que le mot de passe à 12 caractères de l'utilisateur LastPass a été généré par un processus complètement aléatoire. Les mots de passe créés par les humains sont loin de répondre à cette exigence. Comme je le dis depuis plus d'une décennie, les humains ne peuvent tout simplement pas créer de mots de passe à haute entropie. Des schémas apparemment intelligents pour créer des mots de passe avec un mélange de lettres, de chiffres et de symboles font plus de mal que de bien.

À moins que votre mot de passe n'ait été créé par un bon générateur de mots de passe, il est déchiffrable.

Les conseils sur les «meilleures pratiques» de mot de passe de compte LastPass liés à leur annonce ne disent rien sur l'utilisation d'un générateur de mot de passe, il serait donc incorrect de supposer que les utilisateurs génèrent leurs mots de passe LastPass à l'aide d'un générateur de mot de passe fort.

Coûts du craquage

Peut-être que l'affirmation de « millions d'années » est basée sur de mauvaises hypothèses sur la vitesse de supposition. Il se trouve que nous avons estimé, grâce à un concours de hacking, que le coût du piratage de mots de passe hachés avec 100 000 tours de PBKDF2-H256 est d'environ six dollars américains pour 232 suppositions. (La différence entre nos 100 000 tours de PBKDF2 et les 100 100 tours de LastPass est si petite que nous pouvons l'ignorer.) En raison du fonctionnement des puissances de 2, le coût de faire 233 suppositions serait de 12 dollars, le coût de faire 234 suppositions serait être 24 dollars. Dix milliards de suppositions coûteraient environ 100 USD.

Étant donné que l'attaquant commence par les mots de passe les plus susceptibles d'être créés par l'homme, cet effort de 100 $ est susceptible d'obtenir des résultats à moins que le mot de passe n'ait été généré par la machine.

Sources : Wladimir Palant, Jeremi Gosney, Jeffrey Goldberg

Et vous ?

Utilisez-vous un gestionnaire de passe ? Si oui lequel ? Sur mobile, desktop, les deux ?
Vous en servez-vous pour générer vos mots de passe ?
Que pensez-vous des gestionnaires de mots de passe en général ?
Partagez vous l'avis selon lequel les développements en cours sont l'illustration de ce que l'ère des mots de passe est dépassée ?
Que pensez-vous des propos des différents chercheurs ? Êtes-vous surpris de les voir autant s'attaquer à la communication de LastPass ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 17/01/2023 à 11:59
Ce qu'il faut abandonner, ce n'est pas LastPass mais la totalité des solutions d'archivage de mots-de-passe sur le Cloud!!!

Que la plateforme se nomme LastPass, MmeMichuPassword ou PasswordPourLesNuls, le problème sera toujours le même: des milliers de mots-de-pas réunis sur une même plateforme accessible sur le web...

Cela attire les hackers comme le miel les abeilles et, tôt ou tard, un petit malin trouvera la faille!
6  2 
Avatar de Eric30
Membre actif https://www.developpez.com
Le 29/12/2022 à 9:20
Disclaimer : je n'ai pas d'actions chez LastPass. Mais je ne peux m'empêcher de réagir à certains commentaires que je trouve étranges de la part de "Professionnels de l'informatique" (c'est ce que nous sommes censés être non ?).

Citation Envoyé par daerlnaxe Voir le message
Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé. Ce jour là j'ai développé en c# ma propre appli.


Citation Envoyé par sanderbe Voir le message
Bonsoir

D'ailleurs en chinant dans les archives du forum , LastPass est le gestionnaire de mot de pass qui a eu droit à 2 piratages 2015 et 2018 de mémoires. Donc services à proscrire !
.
"Ça veut dire quoi" piraté ? Vol de code ? Vol de données de prod ou de staging ? Des données anonymisées ? Chiffrées ? Intrusion dans un réseau ? Man in the middle ? Madame Dupont qui avait mis le nom de son caniche comme mot de passe principal ?

Ah ces mots valises...

Citation Envoyé par Anselme45 Voir le message
Exact... Mais il est intéressant de noter que ta remarque s'applique à tous les services CLOUD!!! Vous savez ce truc à la mode qui est promu par tous les acteurs du numérique... [...]

Il y a encore un grand avenir aux idées stupides...
Je ne suis pas un fan du "tout cloud", mais j'aime bien rappeler que l'on parle toujours des trains qui arrivent en retard, jamais de ceux qui arrivent à l'heure.
Et de là à parler d'idée "stupide"...

Bref, au delà du troll, et de ce titre d'article un brin "sensationnaliste", on peut résumer la situation par le fait que si vous avez un mot de passe fort (et mieux encore, activé la 2FA), vous êtres assez tranquille.

Citation Envoyé par 23JFK Voir le message
De base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.
Amen.
2  0 
Avatar de FrancisGernet
Membre régulier https://www.developpez.com
Le 29/12/2022 à 10:22
Bonjour,
J'utilise toujours KeePass version 2.45.
2  0 
Avatar de smarties
Membre émérite https://www.developpez.com
Le 17/01/2023 à 9:36
Pour BitWarden, il existe une implémentation RUST du serveur nommée VaultWarden.
1  0 
Avatar de sergio_is_back
Expert confirmé https://www.developpez.com
Le 17/01/2023 à 12:40
Citation Envoyé par Anselme45 Voir le message
Ce qu'il faut abandonner, ce n'est pas LastPass mais la totalité des solutions d'archivage de mots-de-passe sur le Cloud!!!

Que la plateforme se nomme LastPass, MmeMichuPassword ou PasswordPourLesNuls, le problème sera toujours le même: des milliers de mots-de-pas réunis sur une même plateforme accessible sur le web...

Cela attire les hackers comme le miel les abeilles et, tôt ou tard, un petit malin trouvera la faille!
+10

Oui quand on ne veut pas se faire voler ses données, le mieux est encore de ne pas les exposer dans le cloud !!!
Et ce quelque soit le chiffrage, les diverses mesures de sécurité, etc...
2  1 
Avatar de daerlnaxe
Membre éprouvé https://www.developpez.com
Le 17/01/2023 à 13:16
J'ai déjà fait mon choix, ça fait deux ans je crois, j'ai développé ma propre app bien sûr rien en clair et diverses sécurités. J'avais eu un petit hack de mon compte FB que j'ai dégagé très rapidement, et je refaisais tout un plan pour ne pas avoir deux fois le même mot de passe et forcément sécuriser ça quelque part, au début LastPass m'a intéressé et au bout de qqs heures je me suis dit qu'au final je ne savais rien de la sécurité derrière et ça m'a inquiété quand j'ai voulu mettre les comptes de boutiques... Et finalement content d'avoir renoncé à l'utiliser. Je voulais la mettre à disposition de tout le monde mais j'ai confié l'aspect juridique à quelqu'un d'autre, n'y comprenant pas grand chose, trop de temps pour avoir un retour, une vie à remettre en route... donc on est une petite poignée à l'utiliser du coup. Truc très con je voulais simplement mettre des dons mais comme j'utiliser VS en version gratuite, je me demandais quelles étaient mes possibilités. On m'a répondu depuis mais j'ai simplement pas le temps de m'en occuper vu que je cherche un job et que j'ai du gérer ma reconversion.

En fait à ce moment je me suis dit que si j'arrivais à tirer un smic par mois de diverses solutions via des dons j'allais pouvoir à la fois m'éclater sur ce que j'aime faire et rendre service. J'ai déjà fait quelques apps, certaines sont à disposition sous d'autres pseudos mais je ne demande jamais un rond et mine de rien il y a énormément d'heures de boulot derrière... et vu qu'il y en a un petit nombre, gérer ça pour les bugs, évolutions, suivre aussi .net ça prend du temps. Ce n'était pas pour m'enrichir mais plutôt pour pouvoir m'y consacrer.

Et si vous vous demandez pourquoi je n'utilise pas KeePass et bien c'est parce que j'ai fait le tour des solutions et que ça ne couvrait pas certains de mes besoins, tout simplement. Là j'ai quelque chose qui est bien plus souple pour gérer et qui s'adapte mieux.

Maintenant le réel problème mérite que l'on creuse un peu...

Si je fais confiance à un application tierce elle doit me donner une garantie, mais si elle me donne une garantie comme me laissait accéder au code source ça peut aussi compromettre la sécurité. Derrière il y a des implémentations basiques qui sont en elles mêmes des garanties, des bonnes pratiques que normalement on devrait voir partout mais hélas on s'aperçoit que trop souvent c'est laissé de côté. Mais après il y a à gérer le confort de l'utilisateur, ses erreurs aussi... Et puis être rentable. Mon programme est conçu en mode paranoïa pure, c'est probable que ça gonflerait les gens de l'utiliser au début. Et après tout souvenez vous de toutes les personnes qui disaient de virer l'UAC comme d'autres sécurité... pour moi le seul problème qui se pose c'est la communication, tant que l'utilisateur a une idée claire de ce qu'il utilise... Car c'est à lui de faire ses choix.

En passant d'ailleurs rien n'empêcherait non plus de se retrouver avec une application qui balancerait les mots de passe, tout le monde ne va pas traquer en permanence le comportement des applis installées... et là ça peut réserver des surprises. Je me souviens d'un banal client nommé Inc...mail, avec de jolis émotes, mais qui était une vraie saleté en réalité.
1  0 
Avatar de diabolos29
Membre expérimenté https://www.developpez.com
Le 17/01/2023 à 19:18
La solution de stockage des mots de passe, ça dépend avant tout du cas d'usage. Chaque solution présente des avantages et des inconvénients. Une solution en ligne, ça préserve aussi des aléas qui peuvent subvenir sur les terminaux utilisateur. Pour ça, en théorie du moins, LastPass et les autres répondent à la problématique. Le problème ici, c'est le niveau de confiance que l'on peut accorder à ce tiers pour gérer nos secrets.

Mon cas d'usage à moi fait que j'ai opté pour un stockage local au travers d'un trousseau Keepass (clé unique complexe) synchronisé avec une instance perso de Nextcloud (c'est un peu plus complexe que ça en fait mais c'est l'idée). Cette solution convient aussi parce que je suis l'unique utilisateur de ce trousseau...
1  0 
Avatar de highway2009
Candidat au Club https://www.developpez.com
Le 19/01/2023 à 8:42
Ma solution c'est keepass avec une synchronization peer-to-peer grâce à Syncthing, donc pas de cloud. Aucun service, pas de compte, pas de single point of failure.
Sur Mac et Linux j'utilise KeePassXC, et sur iOS KeePassium (open source, bonne intégration avec iOS) + Möbius Sync comme client Syncthing.
1  0 
Avatar de user056478426
Membre actif https://www.developpez.com
Le 17/01/2023 à 9:18
Pour ma part, rien de tel qu'un fichier keepass stocké sur un cloud chiffré (protondrive, mega, ...) puis synchronisé sur mes différents appareils.
0  0 
Avatar de floyer
Membre averti https://www.developpez.com
Le 17/01/2023 à 11:28
J’utilise aussi KeePass, mais trouve le principe de synchronisation WebDAV plus simple à mettre en œuvre (difficultés avec des accès cloud sur iOS). La sécurité tient exclusivement sur le chiffrement KeePass.
0  0