IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui
Selon des experts qui évoquent « sa longue histoire d'incompétence et de négligence »

Le , par Stéphane le calme

3PARTAGES

14  0 
À la fin de l'année dernière, le PDG de LastPass, Karim Toubba, a révélé qu'un incident de sécurité en août avait été bien pire qu'ils ne l'avaient d'abord admis. Au lieu de simplement perdre le code source interne et les documents des développeurs, ce qui était déjà assez grave, ils avaient également perdu les informations sur les comptes clients et les données du coffre-fort.

Qu'est-ce que cela signifie ? Cela signifie qu'au moins quelqu'un peut avoir les données de votre compte d'abonné non chiffrées. Cela inclut vos noms d'utilisateur, noms d'entreprise, adresses de facturation, adresses e-mail, numéros de téléphone et adresses IP LastPass. Ils ont également vos données de coffre-fort. Cela inclut les URL de sites Web et vos noms d'utilisateur et mots de passe chiffrés.

Est-ce pour autant qu'il est recommandé d'abandonner LastPass au profit d'une autre application de gestion de mots de passe ?


LastPass, l'un des principaux gestionnaires de mots de passe, a déclaré que des pirates ont obtenu une multitude d'informations personnelles appartenant à ses clients ainsi que des mots de passe chiffrés et cryptographiquement hachés en plus d'autres données stockées dans les coffres-forts des clients. La révélation, publiée le 22 décembre, représente une mise à jour spectaculaire d'une brèche que LastPass a révélée en août. À cette période, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusive. L'éditeur a reconnu que le(s) cybercriminel(s) « avait pris des parties du code source et certaines informations techniques propriétaires de LastPass ». La société a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés.

Données sensibles, chiffrées ou non, copiées

Dans la mise à jour de jeudi 22 décembre, la société a déclaré que les pirates avaient accédé aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux services LastPass. Les pirates ont également copié une sauvegarde des données du coffre-fort client qui comprenait des données non chiffrées telles que des URL de sites Web et des champs de données chiffrés tels que des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires.

« Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a expliqué le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme. Zero Knowledge fait référence à des systèmes de stockage impossibles à déchiffrer pour le fournisseur de services. Le PDG a poursuivi :

Citation Envoyé par PDG LastPass
Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local. Pour plus d'informations sur notre architecture Zero Knowledge et nos algorithmes de chiffrement, veuillez cliquer ici.

La mise à jour indique que dans l'enquête de la société jusqu'à présent, rien n'indique que des données de carte de crédit non cryptées ont été consultées. LastPass ne stocke pas les données de carte de crédit dans leur intégralité, et les données de carte de crédit qu'il stocke sont conservées dans un environnement de stockage en nuage différent de celui auquel l'acteur de la menace a accédé.
L'intrusion révélée en août qui a permis aux pirates de voler le code source de LastPass et des informations techniques propriétaires semble liée à une violation distincte de Twilio, un fournisseur de services d'authentification et de communication à deux facteurs basé à San Francisco. Le cybercriminel derrière cette violation a volé les données de 163 des clients de Twilio. Les mêmes hameçonneurs qui ont frappé Twilio ont également violé au moins 136 autres entreprises, dont LastPass.

La mise à jour de jeudi 22 décembre a indiqué que les cybercriminels pourraient utiliser le code source et les informations techniques volés à LastPass pour pirater un employé distinct de LastPass et obtenir des informations d'identification et des clés de sécurité pour accéder et déchiffrer les volumes de stockage au sein du service de stockage basé sur le cloud de l'entreprise.

Mais les spécialistes de la cybersécurité se sont attaqué au communiqué de LastPass.


LastPass ou pas/plus LastPass ?

Pour Jeremi Gosney, chercheur en sécurité, il faut s'éloigner du gestionnaire « en raison de sa longue histoire d'incompétence »

Permettez-moi de commencer par dire que j'avais l'habitude de soutenir LastPass. Je l'ai recommandé pendant des années et l'ai défendu publiquement dans les médias. Si vous recherchez sur Google "jeremi gosney" + "lastpass", vous trouverez des centaines d'articles dans lesquels j'ai défendu et/ou soutenu LastPass (y compris dans le magazine Consumer Reports). Je l'ai défendu même face aux vulnérabilités et aux failles, car il avait une UX supérieure et semblait toujours être la meilleure option pour les masses malgré ses défauts flagrants. Et il a toujours une place un peu spéciale dans mon cœur, étant le gestionnaire de mots de passe qui m'a en fait orienté vers les gestionnaires de mots de passe. Il a placé la barre pour ce que j'attendais d'un gestionnaire de mots de passe, et pendant un certain temps, il était inégalé.

Mais les choses changent et ces dernières années, je me suis retrouvé incapable de défendre LastPass. Je ne me souviens pas s'il y a eu une paille particulière qui a fait déborder le vase, mais je sais que j'ai cessé de le recommander en 2017 et que j'ai totalement effectué la migration en 2019. Vous trouverez ci-dessous une liste non ordonnée des raisons pour lesquelles j'ai perdu toute foi dans Last Pass :
  • L'affirmation de LastPass de "zéro connaissance" est un mensonge éhonté. Ils ont à peu près autant de connaissances qu'un gestionnaire de mots de passe pourrait avoir. Chaque fois que vous vous connectez à un site, un événement est généré et envoyé à LastPass dans le seul but de suivre les sites auxquels vous vous connectez. Vous pouvez désactiver la télémétrie, sauf que la désactiver ne fait rien - l'application enverra toujours des données à LastPass chaque fois que vous vous authentifiez quelque part. De plus, presque tout dans votre coffre-fort LastPass n'est pas chiffré. Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de données chiffrée où l'intégralité du fichier est protégé, mais non - avec LastPass, votre coffre-fort est un fichier en texte brut et seuls quelques champs sélectionnés sont chiffrés.
  • LastPass a l'habitude d'ignorer les chercheurs en sécurité et les rapports de vulnérabilités, et ne participe pas à la communauté infosec ni à la communauté de hacking de mots de passe. Les signalements de vulnérabilité restent non reconnus et non résolus pendant des mois, voire des années, voire jamais. Pendant un certain temps, ils avaient même un mauvais contact répertorié pour leur équipe de sécurité. Bugcrowd signale les vulnérabilités pour eux maintenant, et la plupart sinon tous les rapports de vulnérabilités sont gérés directement par Bugcrowd et non par LastPass. Si vous essayez de signaler une vulnérabilité au support LastPass, ils prétendront qu'ils ne comprennent pas et ne transmettront pas votre ticket à l'équipe de sécurité. Maintenant, Tavis Ormandy a félicité LastPass pour sa réponse rapide aux rapports de vulnérabilité, mais j'ai l'impression que c'est simplement parce que c'est Tavis / Project Zero qui les signale car ce n'est pas l'expérience que la plupart des chercheurs ont eue.

Vous savez, je ne recommande pas simplement aux utilisateurs de rejeter LastPass à cause de cette dernière violation. Je vous recommande de courir aussi loin que possible de LastPass en raison de sa longue histoire d'incompétence, d'apathie et de négligence. Il est tout à fait clair qu'ils ne se soucient pas de leur propre sécurité, et encore moins de votre sécurité.

L'analyste Steven J. Vaughan-Nichols vote pour Bitwarden

Je trouve un peu étrange que LastPass ne donne à personne plus de détails sur ce qui s'est passé avec le vol. Bitwarden, en revanche, est transparent avec ses audits et ses certifications en plus de sa base de code ouverte. La différence est claire. LastPass vous recommande de changer votre mot de passe principal et tous vos autres mots de passe. Je vous recommande de dire au revoir à LastPass et de passer à un autre gestionnaire de mots de passe.

Il existe de nombreux bons gestionnaires de mots de passe. Ils incluent 1Password, DashLane et NordPass. Mais côté offre payante ou gratuite, vous ne verrez pas mieux que Bitwarden.

Bitwarden est une sorte de programme open source. Plus précisément, il utilise une licence disponible à la source. La société admet que la licence Bitwarden n'est pas considérée comme open source selon la définition de l'Open Source Initiative (OSI), mais elle « pense que la licence équilibre avec succès les principes d'ouverture et de communauté avec nos objectifs commerciaux ».

Laissant de côté le problème de licence, le côté pratique de Bitwarden est qu'il est libre d'être utilisé à la fois sur un serveur ou un client. Par exemple, en tant que client, vous pouvez l'exécuter sur Linux, Windows, macOS, Android, iPhone et iPad. Avec ses extensions de navigateur, vous pouvez également l'utiliser sur Brave, Chrome, Edge, Firefox, Safari, Opera, Vivaldi et Tor. Le coût? Vous pouvez l'exécuter gratuitement sur tous les appareils et navigateurs dont vous disposez.

Gratuitement, vous obtenez également un magasin basé sur le cloud pour tous vos mots de passe, Bitwarden Web Vault ; un générateur de mot de passe aléatoire*; authentification à deux facteurs (2FA); et la sécurité supplémentaire de la fonction de violation de base de données de Bitwarden. Cette dernière fonctionnalité vérifie si l'un de vos mots de passe a déjà été exposé.

Spoiler Alerte : il y a de fortes chances que vos mots de passe soient déjà disponibles. Vous ne me croyez pas ? Vérifiez votre adresse e-mail ou votre numéro de téléphone sur HaveIbeenPwned et préparez-vous à une mauvaise surprise.

Supposons, cependant, que vous ne confiez à personne vos identifiants et mots de passe*? Dans ce cas, vous pouvez faire ce que je fais et exécuter votre propre serveur Bitwarden. Si le faire à partir de zéro est trop intimidant pour vous, vous pouvez configurer Bitwarden assez facilement sur votre propre machine à l'aide de conteneurs Docker. Vous n'avez pas de serveur à vous ? Vous pouvez même installer et exécuter Bitwarden à partir d'un Raspberry Pi.

Disons que vous n'êtes pas un administrateur système Linux, et pas aussi paranoïaque que moi. Dans ce cas, vous voudrez peut-être investir dans l'un des niveaux commerciaux de Bitwarden.

Pour 10 $ par an, vous obtenez un rapport sur la force du mot de passe ; un gigaoctet de stockage pour les pièces jointes chiffrées*; et prise en charge de la connexion sécurisée matérielle 2FA pour YubiKey et/ou Duo. Je suis un grand partisan des clés physiques 2FA. Il est tout simplement trop facile de casser les textos/SMS 2FA. Les applications d'authentification les plus populaires, telles que Google et Microsoft, sont étroitement liées aux grandes entreprises.

Si vous avez une famille ou un petit groupe, il existe un plan de 40 $ par an pour six utilisateurs. Vous pouvez également partager des mots de passe avec ce plan. Ne faites pas, je le répète, ne faites pas cela. Peut-être que vous faites confiance à votre frère. Quant à moi, pas tant que ça.

Enfin, il existe deux plans entreprises Bitwarden. Le premier, Teams, pour les petites organisations, coûte 3 $ par mois et par utilisateur. Le plan Enterprise plus grand et plus complet vous coûtera 5 $ par utilisateur par mois.

Et vous ?

Utilisez-vous un gestionnaire de passe ? Si oui lequel ? Sur mobile, desktop, les deux ?
Vous en servez-vous pour générer vos mots de passe ?
Que pensez-vous des gestionnaires de mots de passe en général ?
Le(s)quel(s) recommanderiez-vous ?
Que pensez-vous des arguments utilisés par ces experts pour expliquer au public pourquoi il devrait s'éloigner de LastPass ?
Partagez-vous leur point de vue ? Dans quelle mesure ?

Voir aussi :

KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe
La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport
Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur
Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?
Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 17/01/2023 à 11:59
Ce qu'il faut abandonner, ce n'est pas LastPass mais la totalité des solutions d'archivage de mots-de-passe sur le Cloud!!!

Que la plateforme se nomme LastPass, MmeMichuPassword ou PasswordPourLesNuls, le problème sera toujours le même: des milliers de mots-de-pas réunis sur une même plateforme accessible sur le web...

Cela attire les hackers comme le miel les abeilles et, tôt ou tard, un petit malin trouvera la faille!
6  2 
Avatar de smarties
Membre émérite https://www.developpez.com
Le 17/01/2023 à 9:36
Pour BitWarden, il existe une implémentation RUST du serveur nommée VaultWarden.
1  0 
Avatar de sergio_is_back
Expert confirmé https://www.developpez.com
Le 17/01/2023 à 12:40
Citation Envoyé par Anselme45 Voir le message
Ce qu'il faut abandonner, ce n'est pas LastPass mais la totalité des solutions d'archivage de mots-de-passe sur le Cloud!!!

Que la plateforme se nomme LastPass, MmeMichuPassword ou PasswordPourLesNuls, le problème sera toujours le même: des milliers de mots-de-pas réunis sur une même plateforme accessible sur le web...

Cela attire les hackers comme le miel les abeilles et, tôt ou tard, un petit malin trouvera la faille!
+10

Oui quand on ne veut pas se faire voler ses données, le mieux est encore de ne pas les exposer dans le cloud !!!
Et ce quelque soit le chiffrage, les diverses mesures de sécurité, etc...
2  1 
Avatar de daerlnaxe
Membre éprouvé https://www.developpez.com
Le 17/01/2023 à 13:16
J'ai déjà fait mon choix, ça fait deux ans je crois, j'ai développé ma propre app bien sûr rien en clair et diverses sécurités. J'avais eu un petit hack de mon compte FB que j'ai dégagé très rapidement, et je refaisais tout un plan pour ne pas avoir deux fois le même mot de passe et forcément sécuriser ça quelque part, au début LastPass m'a intéressé et au bout de qqs heures je me suis dit qu'au final je ne savais rien de la sécurité derrière et ça m'a inquiété quand j'ai voulu mettre les comptes de boutiques... Et finalement content d'avoir renoncé à l'utiliser. Je voulais la mettre à disposition de tout le monde mais j'ai confié l'aspect juridique à quelqu'un d'autre, n'y comprenant pas grand chose, trop de temps pour avoir un retour, une vie à remettre en route... donc on est une petite poignée à l'utiliser du coup. Truc très con je voulais simplement mettre des dons mais comme j'utiliser VS en version gratuite, je me demandais quelles étaient mes possibilités. On m'a répondu depuis mais j'ai simplement pas le temps de m'en occuper vu que je cherche un job et que j'ai du gérer ma reconversion.

En fait à ce moment je me suis dit que si j'arrivais à tirer un smic par mois de diverses solutions via des dons j'allais pouvoir à la fois m'éclater sur ce que j'aime faire et rendre service. J'ai déjà fait quelques apps, certaines sont à disposition sous d'autres pseudos mais je ne demande jamais un rond et mine de rien il y a énormément d'heures de boulot derrière... et vu qu'il y en a un petit nombre, gérer ça pour les bugs, évolutions, suivre aussi .net ça prend du temps. Ce n'était pas pour m'enrichir mais plutôt pour pouvoir m'y consacrer.

Et si vous vous demandez pourquoi je n'utilise pas KeePass et bien c'est parce que j'ai fait le tour des solutions et que ça ne couvrait pas certains de mes besoins, tout simplement. Là j'ai quelque chose qui est bien plus souple pour gérer et qui s'adapte mieux.

Maintenant le réel problème mérite que l'on creuse un peu...

Si je fais confiance à un application tierce elle doit me donner une garantie, mais si elle me donne une garantie comme me laissait accéder au code source ça peut aussi compromettre la sécurité. Derrière il y a des implémentations basiques qui sont en elles mêmes des garanties, des bonnes pratiques que normalement on devrait voir partout mais hélas on s'aperçoit que trop souvent c'est laissé de côté. Mais après il y a à gérer le confort de l'utilisateur, ses erreurs aussi... Et puis être rentable. Mon programme est conçu en mode paranoïa pure, c'est probable que ça gonflerait les gens de l'utiliser au début. Et après tout souvenez vous de toutes les personnes qui disaient de virer l'UAC comme d'autres sécurité... pour moi le seul problème qui se pose c'est la communication, tant que l'utilisateur a une idée claire de ce qu'il utilise... Car c'est à lui de faire ses choix.

En passant d'ailleurs rien n'empêcherait non plus de se retrouver avec une application qui balancerait les mots de passe, tout le monde ne va pas traquer en permanence le comportement des applis installées... et là ça peut réserver des surprises. Je me souviens d'un banal client nommé Inc...mail, avec de jolis émotes, mais qui était une vraie saleté en réalité.
1  0 
Avatar de diabolos29
Membre expérimenté https://www.developpez.com
Le 17/01/2023 à 19:18
La solution de stockage des mots de passe, ça dépend avant tout du cas d'usage. Chaque solution présente des avantages et des inconvénients. Une solution en ligne, ça préserve aussi des aléas qui peuvent subvenir sur les terminaux utilisateur. Pour ça, en théorie du moins, LastPass et les autres répondent à la problématique. Le problème ici, c'est le niveau de confiance que l'on peut accorder à ce tiers pour gérer nos secrets.

Mon cas d'usage à moi fait que j'ai opté pour un stockage local au travers d'un trousseau Keepass (clé unique complexe) synchronisé avec une instance perso de Nextcloud (c'est un peu plus complexe que ça en fait mais c'est l'idée). Cette solution convient aussi parce que je suis l'unique utilisateur de ce trousseau...
1  0 
Avatar de highway2009
Candidat au Club https://www.developpez.com
Le 19/01/2023 à 8:42
Ma solution c'est keepass avec une synchronization peer-to-peer grâce à Syncthing, donc pas de cloud. Aucun service, pas de compte, pas de single point of failure.
Sur Mac et Linux j'utilise KeePassXC, et sur iOS KeePassium (open source, bonne intégration avec iOS) + Möbius Sync comme client Syncthing.
1  0 
Avatar de user056478426
Membre actif https://www.developpez.com
Le 17/01/2023 à 9:18
Pour ma part, rien de tel qu'un fichier keepass stocké sur un cloud chiffré (protondrive, mega, ...) puis synchronisé sur mes différents appareils.
0  0 
Avatar de floyer
Membre averti https://www.developpez.com
Le 17/01/2023 à 11:28
J’utilise aussi KeePass, mais trouve le principe de synchronisation WebDAV plus simple à mettre en œuvre (difficultés avec des accès cloud sur iOS). La sécurité tient exclusivement sur le chiffrement KeePass.
0  0 
Avatar de QBasic
Membre à l'essai https://www.developpez.com
Le 17/01/2023 à 12:13
J'utilise le gestionnaire hardware Hoplite Key Manager depuis plusieurs années, comme ça aucune de mes données ne se trouve dans le cloud !
0  0 
Avatar de floyer
Membre averti https://www.developpez.com
Le 17/01/2023 à 13:02
KeePass pour PC et Strongbox (une implémentation iOS), font de la synchronisation WebDAV, donc pas de problème de synchronisation. Le serveur est sauvegardé tous les jours, et mon PC fait une sauvegarde de la base à chaque enregistrement.

Reste que monter un serveur WebDAV n’est pas trivial pour tout le monde.
0  0