Discussion :

[Bruno]

La dernière violation de données de LastPass a exposé certaines informations sur les clients,
le PDG Karim révèle que cette violation a eu lieu à partir d'informations recueillies en août

Dans une mise à jour de billet de blog publiée en septembre, LastPass révèle que la dernière violation de données sur la plateforme de gestion de mot de passer a exposé certaines informations sur les clients. En août, le gestionnaire de mot de passe expliquait s’être fait dérober du code source et des informations techniques via un compte développeur compromis.

Le 22 août, nous avons révélé que le code source de LastPass, le gestionnaire de mots de passe, et des informations techniques propriétaires de l’entreprise avaient été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes avait annoncé que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Aujourd'hui, LastPass affirme que la dernière violation de données de LastPass a exposé certaines informations sur les clients.

« Le 25 août 2022, nous vous avons informé d'un incident de sécurité limité à l'environnement de développement de LastPass, au cours duquel certains de nos codes sources et informations techniques ont été dérobés. Je tenais à vous informer de la conclusion de notre enquête afin d'assurer la transparence et la tranquillité d'esprit de nos communautés de consommateurs et d'entreprises », déclare Karim Toubba, CEO de LastPass.

On ne sait pas encore exactement à quelles informations les pirates ont eu accès ni combien de clients ont été touchés, mais Karim Toubba affirme que les mots de passe des utilisateurs n'ont pas été compromis. « Les mots de passe de nos clients restent chiffrés en toute sécurité grâce à l'architecture "Zero Knowledge" de LastPass », écrit Toubba, citant la politique de l'entreprise selon laquelle seul l'utilisateur connaît son mot de passe principal, le chiffrement s'effectuant uniquement au niveau du périphérique et non du serveur.

Comme indique Toubba, le contenu d'un utilisateur dans LastPass, y compris les mots de passe et les notes sécurisées, est protégé par un seul mot de passe principal. Le contenu est synchronisé avec tout appareil sur lequel l'utilisateur utilise le logiciel LastPass ou des extensions d'applications. Les informations sont chiffrées avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilité d'augmenter la valeur des itérations du mot de passe. Le chiffrement et le déchiffrement ont lieu au niveau de l'appareil.

LastPass dispose d'un remplisseur de formulaires qui automatise la saisie de mots de passe et le remplissage de formulaires, et prend en charge la génération de mots de passe, le partage et la journalisation de sites, ainsi que l'authentification à deux facteurs. LastPass prend en charge l'authentification à deux facteurs via diverses méthodes, notamment l'application LastPass Authenticator pour les téléphones mobiles, ainsi que d'autres méthodes comme YubiKey.

LastPass est disponible sous forme d'extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont également disponibles pour les smartphones fonctionnant sous les systèmes d'exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalité hors ligne. Notez que LastPass désactive le paramètre du navigateur Google Chrome permettant à l'utilisateur d'enregistrer automatiquement ses mots de passe dans le navigateur.

Conformément à notre engagement de transparence, je voulais vous informer d'un incident de sécurité sur lequel notre équipe enquête actuellement.

Nous avons récemment détecté une activité inhabituelle au sein d'un service de stockage en nuage tiers, qui est actuellement partagé par LastPass et sa société affiliée, GoTo. Nous avons immédiatement lancé une enquête, engagé Mandiant, une société de sécurité de premier plan, et alerté les forces de l'ordre.

Nous avons déterminé qu'une partie non autorisée, utilisant les informations obtenues lors de l'incident du 20 août 2022, a pu accéder à certains éléments d'information de nos clients. Les mots de passe de nos clients restent cryptés en toute sécurité grâce à l'architecture Zero Knowledge de LastPass.

Nous travaillons avec diligence pour comprendre la portée de l'incident et identifier les informations spécifiques qui ont été consultées. En attendant, nous pouvons confirmer que les produits et services de LastPass restent entièrement fonctionnels. Comme toujours, nous vous recommandons de suivre nos meilleures pratiques en matière d'installation et de configuration de LastPass, que vous trouverez ici.

Dans le cadre de nos efforts, nous continuons à déployer des mesures de sécurité renforcées et des capacités de surveillance à travers notre infrastructure pour aider à détecter et à prévenir d'autres activités des acteurs de la menace.

Que LastPass soit victime de piratage n’est pas une nouveauté. En 2015, l’éditeur a annoncé une compromission de son réseau : « Nous souhaitons informer notre communauté que notre équipe a détecté et bloqué immédiatement une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données chiffrées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage, et le hachage d’authentification ont été compromis. » L’annonce n’avait pas manqué de relancer le débat sur la comparaison entre les gestionnaires de mots de passe.

Sur la base des examens de tiers et les avis d'experts en sécurité, il est possible d’établir la plus large sélection possible de gestionnaires de mots de passe établis. Ainsi, la liste comporte des gestionnaires de mots de passe commerciaux offrant des versions gratuites, généralement avec quelques limitations et une option de mise à niveau vers un abonnement payant pour des fonctionnalités supplémentaires. Elle comporte aussi des produits commerciaux qui offrent des essais gratuits, mais qui nécessitent ensuite un abonnement payant, dont certains sont spécifiquement conçus pour être utilisés par des équipes. Pour finir, certaines, mais pas toutes, offrent des options familiales.

« Nous travaillons avec diligence pour comprendre la portée de l'incident et identifier quelles informations spécifiques ont été consultées », indique Toubba, ajoutant que le service reste « entièrement fonctionnel » malgré la brèche. La société a lancé une enquête et a déclaré qu'elle a également notifié les forces de l'ordre.

Le post publié au mois d'août par LastPass indiquait que le compte du développeur qui a été compromis n'avait pas accès aux données des clients. LastPass avait alors assuré aux utilisateurs de son service qu'aucun « mot de passe principal » n'avait été compromis, car il « ne stocke jamais votre mot de passe principal et n'en a pas connaissance ». Dans la mise à jour du 30novembre, LastPass a déclaré avoir détecté une "activité inhabituelle" dans certaines parties de son environnement de développement.

Source : LastPass

Et vous ?

Quel est votre avis sur le sujet ?

Pense-vous que LastPass voudrait cacher une sorte de très mauvaise nouvelle ?

Voir aussi :

Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

Les utilisateurs de LastPass ont averti que leurs mots de passe principaux étaient compromis, mais le gestionnaire de mots de passe affirme qu'il n'y a aucune preuve d'une violation de données

[Stéphane le calme]

LastPass : vos informations et vos données de coffre-fort de mots de passe sont désormais entre les mains de pirates,
Le gestionnaire de mots de passe affirme que la violation qu'il a révélée en août était bien pire que prévu

LastPass, l'un des principaux gestionnaires de mots de passe, a déclaré que des pirates ont obtenu une multitude d'informations personnelles appartenant à ses clients ainsi que des mots de passe chiffrés et cryptographiquement hachés en plus d'autres données stockées dans les coffres-forts des clients.

La révélation, publiée jeudi, représente une mise à jour spectaculaire d'une brèche que LastPass a révélée en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'ont utilisé pour accéder à des données exclusive. L'éditeur a reconnu que le(s) cybercriminel(s) « avait pris des parties du code source et certaines informations techniques propriétaires de LastPass ». La société a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés.

Données sensibles, chiffrées ou non, copiées

Dans la mise à jour de jeudi, la société a déclaré que les pirates avaient accédé aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux services LastPass. Les pirates ont également copié une sauvegarde des données du coffre-fort client qui comprenait des données non chiffrées telles que des URL de sites Web et des champs de données chiffrés tels que des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires.

« Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a expliqué le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme. Zero Knowledge fait référence à des systèmes de stockage impossibles à déchiffrer pour le fournisseur de services. Le PDG a poursuivi :

Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local. Pour plus d'informations sur notre architecture Zero Knowledge et nos algorithmes de chiffrement, veuillez cliquer ici.

La mise à jour indique que dans l'enquête de la société jusqu'à présent, rien n'indique que des données de carte de crédit non cryptées ont été consultées. LastPass ne stocke pas les données de carte de crédit dans leur intégralité, et les données de carte de crédit qu'il stocke sont conservées dans un environnement de stockage en nuage différent de celui auquel l'acteur de la menace a accédé.

L'intrusion révélée en août qui a permis aux pirates de voler le code source de LastPass et des informations techniques propriétaires semble liée à une violation distincte de Twilio, un fournisseur de services d'authentification et de communication à deux facteurs basé à San Francisco. Le cybercriminel derrière cette violation a volé les données de 163 des clients de Twilio. Les mêmes hameçonneurs qui ont frappé Twilio ont également violé au moins 136 autres entreprises, dont LastPass.

La mise à jour de jeudi a indiqué que les cybercriminels pourraient utiliser le code source et les informations techniques volés à LastPass pour pirater un employé distinct de LastPass et obtenir des informations d'identification et des clés de sécurité pour accéder et déchiffrer les volumes de stockage au sein du service de stockage basé sur le cloud de l'entreprise.

Renforcez votre sécurité maintenant

La mise à jour de jeudi a également répertorié plusieurs solutions que LastPass a prises pour renforcer sa sécurité après la violation. Les étapes comprennent la mise hors service de l'environnement de développement piraté et sa reconstruction à partir de zéro, la conservation d'un service géré de détection et de réponse des terminaux et la rotation de toutes les informations d'identification et certificats pertinents susceptibles d'avoir été affectés.

Compte tenu de la sensibilité des données stockées par LastPass, il est alarmant qu'un si large éventail de données personnelles ait été obtenu. Alors que déchiffrer les hachages de mot de passe nécessiterait des quantités massives de ressources, ce n'est pas hors de propos, en particulier compte tenu de la méthode et de l'ingéniosité des cybercriminels.

Les clients LastPass doivent s'assurer qu'ils ont changé leur mot de passe principal et tous les mots de passe stockés dans leur coffre-fort. Ils doivent également s'assurer qu'ils utilisent des paramètres qui dépassent la valeur par défaut de LastPass. Ces paramètres hachent les mots de passe stockés à l'aide des itérations 100100 de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2), un schéma de hachage qui peut rendre impossible le déchiffrage de mots de passe principaux longs, uniques et générés de manière aléatoire Les itérations 100100 sont terriblement en deçà du seuil de 310 000 itérations recommandé par l'OWASP pour PBKDF2 en combinaison avec l'algorithme de hachage SHA256 utilisé par LastPass. Les clients LastPass peuvent vérifier le nombre actuel d'itérations PBKDF2 pour leurs comptes ici.

Les clients de LastPass doivent également être très attentifs aux e-mails et appels téléphoniques de phishing prétendument de LastPass ou d'autres services à la recherche de données sensibles et d'autres escroqueries qui exploitent leurs données personnelles compromises. La société propose également des conseils spécifiques aux clients professionnels qui ont mis en œuvre les services de connexion fédérée LastPass.

Le communiqué de LastPass sur le sujet

À notre communauté LastPass,

Nous vous avons récemment informé qu'une partie non autorisée avait eu accès à un service de stockage cloud tiers, que LastPass utilise pour stocker des sauvegardes archivées de nos données de production. Conformément à notre engagement envers la transparence, nous souhaitons vous fournir une mise à jour concernant notre enquête en cours.

Ce que nous avons appris

Sur la base de notre enquête à ce jour, nous avons appris qu'un acteur malveillant inconnu a accédé à un environnement de stockage basé sur le cloud en exploitant les informations obtenues à partir de l'incident que nous avons précédemment divulgué en août 2022. Bien qu'aucune donnée client n'ait été consultée lors de l'incident d'août 2022, une source du code et des informations techniques ont été volés dans notre environnement de développement et utilisés pour cibler un autre employé, obtenant des informations d'identification et des clés qui ont été utilisées pour accéder et déchiffrer certains volumes de stockage dans le service de stockage basé sur le cloud.

Les services de production LastPass fonctionnent actuellement à partir de centres de données sur site avec un stockage basé sur le cloud utilisé à diverses fins telles que le stockage des sauvegardes et les exigences régionales en matière de résidence des données. Le service de stockage sur le cloud auquel a accédé l'auteur de la menace est physiquement séparé de notre environnement de production.

À ce jour, nous avons déterminé qu'une fois la clé d'accès au stockage sur le cloud et les clés de déchiffrement du double conteneur de stockage obtenues, l'auteur de la menace a copié des informations à partir de la sauvegarde contenant des informations de base sur le compte client et les métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, adresses e-mail, numéros de téléphone et adresses IP à partir desquelles les clients accédaient au service LastPass.

L'auteur de la menace a également pu copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage chiffré qui est stocké dans un format binaire propriétaire qui contient à la fois des données non chiffrées, telles que les URL de sites Web, ainsi que des champs sensibles entièrement chiffrés tels que les noms d'utilisateur de sites Web. et mots de passe, notes sécurisées et données remplies par formulaire. Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge. Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local.

Il n'y a aucune preuve que des données de carte de crédit non chiffrées aient été consultées. LastPass ne stocke pas les numéros de carte de crédit complets et les informations de carte de crédit ne sont pas archivées dans cet environnement de stockage sur le cloud.

Qu'est-ce que cela signifie? Mes données sont-elles en danger ?

L'auteur de la menace peut tenter d'utiliser la force brute pour deviner votre mot de passe principal et déchiffrer les copies des données du coffre-fort qu'il a prises. En raison des méthodes de hachage et de chiffrement que nous utilisons pour protéger nos clients, il serait extrêmement difficile de tenter de deviner par force brute des mots de passe principaux pour les clients qui suivent nos meilleures pratiques en matière de mot de passe. Nous testons régulièrement les dernières technologies de craquage de mots de passe par rapport à nos algorithmes pour suivre et améliorer nos contrôles cryptographiques.

L'auteur de la menace peut également cibler les clients avec des attaques de phishing, de credential stuffing ou d'autres attaques par force brute contre les comptes en ligne associés à votre coffre-fort LastPass. Afin de vous protéger contre les attaques d'ingénierie sociale ou de phishing, il est important de savoir que LastPass ne vous appellera, n'enverra jamais d'e-mail ou de SMS pour vous demander de cliquer sur un lien pour vérifier vos informations personnelles. Sauf lors de la connexion à votre coffre-fort à partir d'un client LastPass, LastPass ne vous demandera jamais votre mot de passe principal.

Que doivent faire les clients LastPass ?

Pour rappel, les paramètres de mot de passe principal par défaut de LastPass et les meilleures pratiques incluent les éléments suivants :

• Depuis 2018, nous exigeons un minimum de douze caractères pour les mots de passe principaux. Cela minimise considérablement la possibilité de deviner avec succès un mot de passe par force brute.
• Pour augmenter encore la sécurité de votre mot de passe principal, LastPass utilise une implémentation plus robuste que la norme des 100100 itérations de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2), un algorithme de renforcement de mot de passe qui rend difficile la devinette de votre mot de passe principal.
• Nous vous recommandons également de ne jamais réutiliser votre mot de passe principal sur d'autres sites Web. Si vous réutilisez votre mot de passe principal et que ce mot de passe a déjà été compromis, un acteur de la menace peut utiliser des dumping d'informations d'identification compromises déjà disponibles sur Internet pour tenter d'accéder à votre compte (c'est ce qu'on appelle une attaque de « bourrage d'informations d'identification »).

Si vous utilisez les paramètres par défaut ci-dessus, il faudrait des millions d'années pour deviner votre mot de passe principal à l'aide de la technologie de craquage de mot de passe généralement disponible. Vos données de coffre-fort sensibles, telles que les noms d'utilisateur et les mots de passe, les notes sécurisées, les pièces jointes et les champs de remplissage de formulaire, restent chiffrés en toute sécurité sur la base de l'architecture Zero Knowledge de LastPass. Il n'y a aucune action recommandée que vous devez prendre en ce moment.

Cependant, il est important de noter que si votre mot de passe principal n'utilise pas les valeurs par défaut ci-dessus, cela réduirait considérablement le nombre de tentatives nécessaires pour le deviner correctement. Dans ce cas, comme mesure de sécurité supplémentaire, vous devriez envisager de minimiser les risques en modifiant les mots de passe des sites Web que vous avez stockés.

Pour les clients professionnels qui ont implémenté les services de connexion fédérée LastPass, LastPass maintient notre architecture Zero Knowledge et implémente un mot de passe principal caché pour chiffrer vos données de coffre-fort. Selon le modèle d'implémentation choisi, ce mot de passe principal caché est en fait une combinaison de deux ou plusieurs chaînes aléatoires de 256 bits ou 32 caractères stockées séparément et générées par chiffrement qui doivent être spécifiquement combinées pour être utilisées.

L'auteur de la menace n'avait pas accès aux fragments de clé stockés dans l'infrastructure du fournisseur d'identité du client ou de LastPass et ils n'étaient pas inclus dans les sauvegardes copiées contenant les coffres du client. Par conséquent, si vous avez implémenté les services de connexion fédérée, vous n'avez pas besoin d'entreprendre d'actions supplémentaires.

Cependant, il est important de noter que si vous êtes un client Business qui n'utilise pas Federated Login et que votre mot de passe principal n'utilise pas les valeurs par défaut ci-dessus, cela réduirait considérablement le nombre de tentatives nécessaires pour le deviner correctement. Dans ce cas, comme mesure de sécurité supplémentaire, vous devriez envisager de minimiser les risques en modifiant les mots de passe des sites Web que vous avez stockés.

Source : LastPass

Et vous ?

Utilisez-vous un gestionnaire de mots de passe ? Comment le comparez vous à l'offre concurrente ? Quels sont les critères qui vous ont amené à opter pour ce dernier plutôt que sur ceux d'autres éditeurs ?
Partagez vous l'avis selon lequel les développements en cours sont l'illustration de ce que l'ère des mots de passe est dépassée ?

Voir aussi :

KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe

La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport

Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur

Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?

Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité

[23JFK]

De base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.

[Anselme45]

De base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.

Exact... Mais il est intéressant de noter que ta remarque s'applique à tous les services CLOUD!!! Vous savez ce truc à la mode qui est promu par tous les acteurs du numérique...

Pensée émue pour les 8 800 entreprises de Suisse francophone qui ont fait confiance au logiciel ERP nommé WinBiz Cloud qui a vu ses serveurs piratés!!!

Résultat: Plus d'un moi d'arrêt du service Cloud en question alors que les entreprises font leur compte de fin d'année et encore, après un mois, seuls 86% des clients sont annoncés comme ayant retrouvé l'usage de leur WinBiz Cloud avec des lenteurs et des instabilités quand ce ne sont pas des clients qui dénoncent le fait d'avoir accès à des données qui ne sont pas les leurs...

Il y a encore un grand avenir aux idées stupides...

[Invité]

Bonsoir

LastPass : vos informations et vos données de coffre-fort de mots de passe sont désormais entre les mains de pirates, le gestionnaire de mots de passe affirme que la violation qu'il a révélée en août était bien pire que prévu

Utilisez-vous un gestionnaire de mots de passe ?

Oui , un strictement personnel

Comment le comparez vous à l'offre concurrente ?

Il est "gratuit" . Quoi que j'ai quand même acheté un service de logiciel derrière

Quels sont les critères qui vous ont amené à opter pour ce dernier plutôt que sur ceux d'autres éditeurs ?

Je peux personnaliser le service de stockage a ma façon et selon "ma logique" de sécurité qui m'est propre.

Partagez vous l'avis selon lequel les développements en cours sont l'illustration de ce que l'ère des mots de passe est dépassée ?

Pas du tout !

Au contraire . LE 2FA et j'en passe sont trop lourd et nécessite des moyens ou des sociétés peuvent mettre des sortes d'embargo ou empecher les gens de jouir de ce qui leur appartient. Se serait un peu le serruier qui refuse de vous laisser rentrer chez vous.

[Stéphane le calme]

Les spécialistes de la cybersécurité s'attaquent au communiqué de LastPass suite à une violation de sécurité,
« leur déclaration est pleine d'omissions, de demi-vérités et de mensonges éhontés »

La semaine dernière, juste avant Noël, LastPass a fait une annonce explosive : à la suite d'une violation de données en août, qui a conduit à une autre violation de données en novembre, des hackers avaient mis la main sur les coffres-forts de mots de passe des utilisateurs. Alors que l'entreprise insiste sur le fait que vos informations de connexion sont toujours sécurisées, certains experts en cybersécurité critiquent fortement son message, affirmant qu'il pourrait faire en sorte que les gens se sentent plus en sécurité qu'ils ne le sont réellement et soulignant qu'il ne s'agit que du dernier d'une série d'incidents qui rendent il est difficile de faire confiance au gestionnaire de mots de passe.

Une chose sur laquelle plusieurs d'entre eux semblent s'accorder, c'est que cette violation n'est pas la preuve que les gestionnaires de mots de passe basés sur le cloud sont une mauvaise idée. Toutefois, l'un d'eux critique l'entreprise pour avoir décrit son algorithme de renforcement de mot de passe, connu sous le nom de PBKDF2, comme « plus fort que la norme ». L'idée derrière la norme est qu'il est plus difficile de deviner vos mots de passe par force brute, car vous devrez effectuer un certain nombre de calculs à chaque supposition. « Je me demande sérieusement ce que LastPass considère comme typique », a noté Wladimir Palant, « étant donné que 100 000 itérations PBKDF2 sont le nombre le plus bas que j'ai vu dans n'importe quel gestionnaire de mots de passe actuel ».

LastPass, l'un des principaux gestionnaires de mots de passe, a déclaré que des pirates ont obtenu une multitude d'informations personnelles appartenant à ses clients ainsi que des mots de passe chiffrés et cryptographiquement hachés en plus d'autres données stockées dans les coffres-forts des clients. La révélation, publiée le 22 décembre, représente une mise à jour spectaculaire d'une brèche que LastPass a révélée en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusive. L'éditeur a reconnu que le(s) cybercriminel(s) « avait pris des parties du code source et certaines informations techniques propriétaires de LastPass ». La société a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés.

Données sensibles, chiffrées ou non, copiées

Dans la mise à jour de jeudi 22 décembre, la société a déclaré que les pirates avaient accédé aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux services LastPass. Les pirates ont également copié une sauvegarde des données du coffre-fort client qui comprenait des données non chiffrées telles que des URL de sites Web et des champs de données chiffrés tels que des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires.

« Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a expliqué le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme. Zero Knowledge fait référence à des systèmes de stockage impossibles à déchiffrer pour le fournisseur de services. Le PDG a poursuivi :

Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local. Pour plus d'informations sur notre architecture Zero Knowledge et nos algorithmes de chiffrement, veuillez cliquer ici.

La mise à jour indique que dans l'enquête de la société jusqu'à présent, rien n'indique que des données de carte de crédit non cryptées ont été consultées. LastPass ne stocke pas les données de carte de crédit dans leur intégralité, et les données de carte de crédit qu'il stocke sont conservées dans un environnement de stockage en nuage différent de celui auquel l'acteur de la menace a accédé.

L'intrusion révélée en août qui a permis aux pirates de voler le code source de LastPass et des informations techniques propriétaires semble liée à une violation distincte de Twilio, un fournisseur de services d'authentification et de communication à deux facteurs basé à San Francisco. Le cybercriminel derrière cette violation a volé les données de 163 des clients de Twilio. Les mêmes hameçonneurs qui ont frappé Twilio ont également violé au moins 136 autres entreprises, dont LastPass.

La mise à jour de jeudi 22 décembre a indiqué que les cybercriminels pourraient utiliser le code source et les informations techniques volés à LastPass pour pirater un employé distinct de LastPass et obtenir des informations d'identification et des clés de sécurité pour accéder et déchiffrer les volumes de stockage au sein du service de stockage basé sur le cloud de l'entreprise.

Mais les spécialistes de la cybersécurité se sont attaqué au communiqué de LastPass.

Wladimir Palant, un chercheur en sécurité connu pour avoir aidé à développer à l'origine AdBlock Pro

Les professionnels de la sécurité ne se sont pas amusés, cette saison des fêtes est devenue une période très chargée pour eux. LastPass aurait probablement pu empêcher cela s'ils étaient plus soucieux de protéger leurs utilisateurs que de sauver leur image. Leur déclaration est également pleine d'omissions, de demi-vérités et de mensonges éhontés. Comme je sais que tout le monde ne peut pas voir à travers tout cela, j'ai pensé que je choisirais un tas de phrases de cette déclaration et donnerais un contexte que LastPass ne voulait pas mentionner.

Commençons par le tout premier paragraphe :

Conformément à notre engagement envers la transparence, nous souhaitons vous fournir une mise à jour concernant notre enquête en cours.

En fait, cela n'a rien à voir avec un quelconque engagement. LastPass est en fait tenu par la loi américaine de divulguer immédiatement une violation de données. Nous verrons bientôt à quel point ils sont vraiment transparents dans leur déclaration.

Bien qu'aucune donnée client n'ait été consultée lors de l'incident d'août 2022, certains codes sources et informations techniques ont été volés dans notre environnement de développement et utilisés pour cibler un autre employé, obtenant des informations d'identification et des clés qui ont été utilisées pour accéder et décrypter certains volumes de stockage dans le cloud. service de stockage.

LastPass tente de présenter l'incident d'août 2022 et la fuite de données comme deux événements distincts. Mais l'utilisation des informations obtenues lors de l'accès initial afin d'accéder à davantage d'actifs est en fait une technique typique utilisée par les cybercriminels. C'est ce qu'on appelle un mouvement latéral.

L'interprétation la plus correcte des événements est donc : nous n'avons pas de nouvelle brèche maintenant, LastPass n'a plutôt pas réussi à contenir la brèche d'août 2022. Et à cause de cet échec, les données des gens ont maintenant disparu. Oui, cette interprétation est beaucoup moins favorable à LastPass, c'est pourquoi ils essaient probablement de l'éviter.

Notez également comment LastPass évite de mentionner quand l'évènement « cibler un autre employé » s'est produit. C'était probablement déjà le cas avant qu'ils ne déclarent la victoire en septembre 2022, ce qui jette également une mauvaise lumière sur eux.

Le service de stockage sur le cloud auquel accède l'auteur malveillant est physiquement séparé de notre environnement de production.

Est-ce censé être rassurant, étant donné que le stockage cloud en question avait apparemment une copie de toutes les données LastPass ? Ou est-ce peut-être une tentative de rejeter la faute : « Ce ne sont pas nos serveurs dont les données ont été extraites » ?

À ce jour, nous avons déterminé qu'une fois la clé d'accès au stockage sur le cloud et les clés de déchiffrement du double conteneur de stockage obtenues, l'auteur malveillant a copié des informations à partir de la sauvegarde contenant des informations de base sur le compte client et les métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, adresses e-mail, numéros de téléphone et adresses IP à partir desquelles les clients accédaient au service LastPass.

Nous apprenons ici que LastPass stockait vos adresses IP. Et comme ils ne précisent pas combien ils stockaient, nous devons supposer : tous. Et si vous êtes un utilisateur actif de LastPass, ces données devraient être suffisamment bonnes pour créer un profil de mouvement complet. Qui est maintenant entre les mains d'un cybercriminel inconnu.

Bien sûr, LastPass ne mentionne pas cette implication, en espérant que les utilisateurs les moins férus de technologie ne s'en rendront pas compte.

Il y a un autre aspect intéressant ici : combien de temps a-t-il fallu pour copier les données de millions d'utilisateurs ? Pourquoi LastPass n'a-t-il pas détecté cela avant que les attaquants n'en aient fini avec cela ? Nous ne l'apprendrons pas dans leur déclaration.

L'auteur malveillant a également pu copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage crypté qui est stocké dans un format binaire propriétaire qui contient à la fois des données non chiffrées, telles que les URL de sites Web, ainsi que des champs sensibles entièrement chiffrés tels que les noms d'utilisateur de sites Web. et mots de passe, notes sécurisées et données remplies par formulaire.

Notez que LastPass admet ne pas chiffrer les URL des sites Web mais ne les regroupe pas sous les « champs sensibles ». Mais les URL de sites Web sont des données très sensibles. Les cybercriminels aimeraient savoir à quoi vous avez accès. Ensuite, ils pourraient produire des e-mails de phishing bien ciblés uniquement pour les personnes qui en valent la peine.

Peu importe le fait que certaines de ces URL sont associées à des paramètres. Par exemple, LastPass enregistre parfois les URL de réinitialisation du mot de passe. Et parfois, ils seront toujours valables. Oups…

Rien de tout cela n'est nouveau bien sûr. LastPass a été averti à maintes reprises que ne pas chiffrer les URL et les métadonnées est une très mauvaise idée. En novembre 2015. En janvier 2017. En juillet 2018. Et ce ne sont que les cas dont j'ai connaissance. Ils ont choisi d'ignorer le problème et ils continuent de le minimiser.

En raison des méthodes de hachage et de chiffrement que nous utilisons pour protéger nos clients, il serait extrêmement difficile de tenter de deviner par force brute des mots de passe principaux pour les clients qui suivent nos meilleures pratiques en matière de mot de passe.

Cela prépare le terrain pour blâmer les clients. LastPass doit être conscient que les mots de passe seront déchiffrés pour au moins certains de leurs clients. Et ils ont déjà une explication pratique : ces clients n'ont manifestement pas suivi leurs meilleures pratiques.

Nous verrons ci-dessous quelles sont ces meilleures pratiques et comment LastPass les applique réellement.

Nous testons régulièrement les dernières technologies de craquage de mots de passe par rapport à nos algorithmes pour suivre et améliorer nos contrôles cryptographiques.

Cela semble rassurant. Pourtant, je ne connais qu'une seule occasion où ils ont ajusté leurs valeurs par défaut : en 2018, lorsque j'ai souligné que leurs valeurs par défaut étaient tout à fait insuffisantes. Rien n'a changé après cela, et ils sont à nouveau à la traîne.

Passons maintenant à leurs meilleures pratiques en matière de mot de passe :

Depuis 2018, nous exigeons un minimum de douze caractères pour les mots de passe principaux. Cela minimise considérablement la possibilité de deviner avec succès un mot de passe par force brute.

Si vous êtes un client LastPass, il y a de fortes chances que vous ignoriez complètement cette exigence. C'est parce que LastPass n'a pas demandé aux clients existants de changer leur mot de passe principal. J'avais mon compte de test depuis 2018, et même aujourd'hui, je peux me connecter avec mon mot de passe à huit caractères sans aucun avertissement ni invite à le changer.

LastPass a donc exigé douze caractères au cours des quatre dernières années, mais une grande partie de leur clientèle utilise probablement encore des mots de passe non conformes à cette exigence. Et LastPass les blâmera si leurs données sont déchiffrées en conséquence.

Jeremi Gosney, chercheur en sécurité

Permettez-moi de commencer par dire que j'avais l'habitude de soutenir LastPass. Je l'ai recommandé pendant des années et l'ai défendu publiquement dans les médias. Si vous recherchez sur Google "jeremi gosney" + "lastpass", vous trouverez des centaines d'articles dans lesquels j'ai défendu et/ou soutenu LastPass (y compris dans le magazine Consumer Reports). Je l'ai défendu même face aux vulnérabilités et aux failles, car il avait une UX supérieure et semblait toujours être la meilleure option pour les masses malgré ses défauts flagrants. Et il a toujours une place un peu spéciale dans mon cœur, étant le gestionnaire de mots de passe qui m'a en fait orienté vers les gestionnaires de mots de passe. Il a placé la barre pour ce que j'attendais d'un gestionnaire de mots de passe, et pendant un certain temps, il était inégalé.

Mais les choses changent et ces dernières années, je me suis retrouvé incapable de défendre LastPass. Je ne me souviens pas s'il y a eu une paille particulière qui a fait déborder le vase, mais je sais que j'ai cessé de le recommander en 2017 et que j'ai totalement effectué la migration en 2019. Vous trouverez ci-dessous une liste non ordonnée des raisons pour lesquelles j'ai perdu toute foi dans Last Pass :

• L'affirmation de LastPass de "zéro connaissance" est un mensonge éhonté. Ils ont à peu près autant de connaissances qu'un gestionnaire de mots de passe pourrait avoir. Chaque fois que vous vous connectez à un site, un événement est généré et envoyé à LastPass dans le seul but de suivre les sites auxquels vous vous connectez. Vous pouvez désactiver la télémétrie, sauf que la désactiver ne fait rien - l'application enverra toujours des données à LastPass chaque fois que vous vous authentifiez quelque part. De plus, presque tout dans votre coffre-fort LastPass n'est pas chiffré. Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de données chiffrée où l'intégralité du fichier est protégé, mais non - avec LastPass, votre coffre-fort est un fichier en texte brut et seuls quelques champs sélectionnés sont chiffrés.
• LastPass a l'habitude d'ignorer les chercheurs en sécurité et les rapports de vulnérabilités, et ne participe pas à la communauté infosec ni à la communauté de hacking de mots de passe. Les signalements de vulnérabilité restent non reconnus et non résolus pendant des mois, voire des années, voire jamais. Pendant un certain temps, ils avaient même un mauvais contact répertorié pour leur équipe de sécurité. Bugcrowd signale les vulnérabilités pour eux maintenant, et la plupart sinon tous les rapports de vulnérabilités sont gérés directement par Bugcrowd et non par LastPass. Si vous essayez de signaler une vulnérabilité au support LastPass, ils prétendront qu'ils ne comprennent pas et ne transmettront pas votre ticket à l'équipe de sécurité. Maintenant, Tavis Ormandy a félicité LastPass pour sa réponse rapide aux rapports de vulnérabilité, mais j'ai l'impression que c'est simplement parce que c'est Tavis / Project Zero qui les signale car ce n'est pas l'expérience que la plupart des chercheurs ont eue.

Vous savez, je ne recommande pas simplement aux utilisateurs de rejeter LastPass à cause de cette dernière violation. Je vous recommande de courir aussi loin que possible de LastPass en raison de sa longue histoire d'incompétence, d'apathie et de négligence. Il est tout à fait clair qu'ils ne se soucient pas de leur propre sécurité, et encore moins de votre sécurité.

Jeffrey Goldberg, architecte principal de sécurité de 1Password

LastPass, un concurrent, a récemment annoncé que des hachages de mot de passe étaient inclus dans une violation d'août 2022 de leur stockage sur le cloud. Leur notice affirmait que si les utilisateurs avaient suivi les paramètres par défaut, « il faudrait des millions d'années pour deviner votre mot de passe principal en utilisant la technologie de craquage de mot de passe généralement disponible ». Cette affirmation est très trompeuse. Dans cet article, j'explorerai la revendication LastPass et les fonctionnalités uniques de 1Password qui vous protègent - maintenant et en cas de violation similaire.

Si 1Password devait subir une violation de données similaire, l'attaquant ne serait pas en mesure de déchiffrer votre combinaison de mot de passe de compte et de clé secrète, même s'il mettait tous les ordinateurs sur Terre à travailler sur le craquage et les exécutait pendant des millions de fois l'âge de l'univers.

Les nouvelles

Le jeudi 22 décembre, LastPass a publié une mise à jour de son annonce concernant une violation d'août 2022. La mise à jour indique que les données utilisateur chiffrées « restent sécurisées avec un chiffrement AES 256 bits et ne peuvent être déchiffrées qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge ». L'avis poursuit en indiquant que « si vous utilisez les paramètres par défaut ci-dessus, il faudrait des millions d'années pour deviner votre mot de passe principal à l'aide de la technologie de craquage de mot de passe généralement disponible ». Les paramètres par défaut auxquels ils se réfèrent sont les 100 100 tours de PBKDF2 pour le traitement de LastPass et une longueur de mot de passe minimale de douze caractères.

Cette revendication de « millions d'années » semble reposer sur l'hypothèse que le mot de passe à 12 caractères de l'utilisateur LastPass a été généré par un processus complètement aléatoire. Les mots de passe créés par les humains sont loin de répondre à cette exigence. Comme je le dis depuis plus d'une décennie, les humains ne peuvent tout simplement pas créer de mots de passe à haute entropie. Des schémas apparemment intelligents pour créer des mots de passe avec un mélange de lettres, de chiffres et de symboles font plus de mal que de bien.

À moins que votre mot de passe n'ait été créé par un bon générateur de mots de passe, il est déchiffrable.

Les conseils sur les «meilleures pratiques» de mot de passe de compte LastPass liés à leur annonce ne disent rien sur l'utilisation d'un générateur de mot de passe, il serait donc incorrect de supposer que les utilisateurs génèrent leurs mots de passe LastPass à l'aide d'un générateur de mot de passe fort.

Coûts du craquage

Peut-être que l'affirmation de « millions d'années » est basée sur de mauvaises hypothèses sur la vitesse de supposition. Il se trouve que nous avons estimé, grâce à un concours de hacking, que le coût du piratage de mots de passe hachés avec 100 000 tours de PBKDF2-H256 est d'environ six dollars américains pour 232 suppositions. (La différence entre nos 100 000 tours de PBKDF2 et les 100 100 tours de LastPass est si petite que nous pouvons l'ignorer.) En raison du fonctionnement des puissances de 2, le coût de faire 2³³ suppositions serait de 12 dollars, le coût de faire 2³⁴ suppositions serait être 24 dollars. Dix milliards de suppositions coûteraient environ 100 USD.

Étant donné que l'attaquant commence par les mots de passe les plus susceptibles d'être créés par l'homme, cet effort de 100 $ est susceptible d'obtenir des résultats à moins que le mot de passe n'ait été généré par la machine.

Sources : Wladimir Palant, Jeremi Gosney, Jeffrey Goldberg

Et vous ?

Utilisez-vous un gestionnaire de passe ? Si oui lequel ? Sur mobile, desktop, les deux ?
Vous en servez-vous pour générer vos mots de passe ?
Que pensez-vous des gestionnaires de mots de passe en général ?
Partagez vous l'avis selon lequel les développements en cours sont l'illustration de ce que l'ère des mots de passe est dépassée ?
Que pensez-vous des propos des différents chercheurs ? Êtes-vous surpris de les voir autant s'attaquer à la communication de LastPass ?

[Eric30]

Disclaimer : je n'ai pas d'actions chez LastPass. Mais je ne peux m'empêcher de réagir à certains commentaires que je trouve étranges de la part de "Professionnels de l'informatique" (c'est ce que nous sommes censés être non ?).

Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé. Ce jour là j'ai développé en c# ma propre appli.

Bonsoir

D'ailleurs en chinant dans les archives du forum , LastPass est le gestionnaire de mot de pass qui a eu droit à 2 piratages 2015 et 2018 de mémoires. Donc services à proscrire !
.

"Ça veut dire quoi" piraté ? Vol de code ? Vol de données de prod ou de staging ? Des données anonymisées ? Chiffrées ? Intrusion dans un réseau ? Man in the middle ? Madame Dupont qui avait mis le nom de son caniche comme mot de passe principal ?

Ah ces mots valises...

Exact... Mais il est intéressant de noter que ta remarque s'applique à tous les services CLOUD!!! Vous savez ce truc à la mode qui est promu par tous les acteurs du numérique... [...]

Il y a encore un grand avenir aux idées stupides...

Je ne suis pas un fan du "tout cloud", mais j'aime bien rappeler que l'on parle toujours des trains qui arrivent en retard, jamais de ceux qui arrivent à l'heure.
Et de là à parler d'idée "stupide"...

Bref, au delà du troll, et de ce titre d'article un brin "sensationnaliste", on peut résumer la situation par le fait que si vous avez un mot de passe fort (et mieux encore, activé la 2FA), vous êtres assez tranquille.

De base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.

Amen.

[FrancisGernet]

Bonjour,
J'utilise toujours KeePass version 2.45.

[Galactus13]

je n’utilise pas de gestionnaire de mot de passe sur internet, aucune confiance, ni code a destination bancaire,
Au pire via paypal sans relation bancaire ! ben oui, la confiance a une frontière: la mienne !

j'ai créer le mon gestionnaire SAH256 avec un codage de mon cru que j'utilise sur certains sites dit sensible.
le souci étant d'utilisé au moins 10-12 caractères minimum, différent par site usité.
pour le reste, rien n'est inviolable !
Du coup c'est gratuit,

Le cloud? j'utilise pas non plus,
Quand a la maison connecté qui décide de faire ce quelle veut ! non merci ! Si elle décidait de me foutre a la porte !
Il me reste à vivre en autarcie dans la forêt de Brocéliande ...

[Stéphane le calme]

Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui,
selon des experts qui évoquent « sa longue histoire d'incompétence, d'apathie et de négligence »

À la fin de l'année dernière, le PDG de LastPass, Karim Toubba, a révélé qu'un incident de sécurité en août avait été bien pire qu'ils ne l'avaient d'abord admis. Au lieu de simplement perdre le code source interne et les documents des développeurs, ce qui était déjà assez grave, ils avaient également perdu les informations sur les comptes clients et les données du coffre-fort.

Qu'est-ce que cela signifie ? Cela signifie qu'au moins quelqu'un peut avoir les données de votre compte d'abonné non chiffrées. Cela inclut vos noms d'utilisateur, noms d'entreprise, adresses de facturation, adresses e-mail, numéros de téléphone et adresses IP LastPass. Ils ont également vos données de coffre-fort. Cela inclut les URL de sites Web et vos noms d'utilisateur et mots de passe chiffrés.

Est-ce pour autant qu'il est recommandé d'abandonner LastPass au profit d'une autre application de gestion de mots de passe ?

LastPass, l'un des principaux gestionnaires de mots de passe, a déclaré que des pirates ont obtenu une multitude d'informations personnelles appartenant à ses clients ainsi que des mots de passe chiffrés et cryptographiquement hachés en plus d'autres données stockées dans les coffres-forts des clients. La révélation, publiée le 22 décembre, représente une mise à jour spectaculaire d'une brèche que LastPass a révélée en août. À cette période, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusive. L'éditeur a reconnu que le(s) cybercriminel(s) « avait pris des parties du code source et certaines informations techniques propriétaires de LastPass ». La société a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés.

Données sensibles, chiffrées ou non, copiées

Dans la mise à jour de jeudi 22 décembre, la société a déclaré que les pirates avaient accédé aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux services LastPass. Les pirates ont également copié une sauvegarde des données du coffre-fort client qui comprenait des données non chiffrées telles que des URL de sites Web et des champs de données chiffrés tels que des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires.

« Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a expliqué le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme. Zero Knowledge fait référence à des systèmes de stockage impossibles à déchiffrer pour le fournisseur de services. Le PDG a poursuivi :

Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local. Pour plus d'informations sur notre architecture Zero Knowledge et nos algorithmes de chiffrement, veuillez cliquer ici.

La mise à jour indique que dans l'enquête de la société jusqu'à présent, rien n'indique que des données de carte de crédit non cryptées ont été consultées. LastPass ne stocke pas les données de carte de crédit dans leur intégralité, et les données de carte de crédit qu'il stocke sont conservées dans un environnement de stockage en nuage différent de celui auquel l'acteur de la menace a accédé.

L'intrusion révélée en août qui a permis aux pirates de voler le code source de LastPass et des informations techniques propriétaires semble liée à une violation distincte de Twilio, un fournisseur de services d'authentification et de communication à deux facteurs basé à San Francisco. Le cybercriminel derrière cette violation a volé les données de 163 des clients de Twilio. Les mêmes hameçonneurs qui ont frappé Twilio ont également violé au moins 136 autres entreprises, dont LastPass.

La mise à jour de jeudi 22 décembre a indiqué que les cybercriminels pourraient utiliser le code source et les informations techniques volés à LastPass pour pirater un employé distinct de LastPass et obtenir des informations d'identification et des clés de sécurité pour accéder et déchiffrer les volumes de stockage au sein du service de stockage basé sur le cloud de l'entreprise.

Mais les spécialistes de la cybersécurité se sont attaqué au communiqué de LastPass.

LastPass ou pas/plus LastPass ?

Pour Jeremi Gosney, chercheur en sécurité, il faut s'éloigner du gestionnaire « en raison de sa longue histoire d'incompétence »

Permettez-moi de commencer par dire que j'avais l'habitude de soutenir LastPass. Je l'ai recommandé pendant des années et l'ai défendu publiquement dans les médias. Si vous recherchez sur Google "jeremi gosney" + "lastpass", vous trouverez des centaines d'articles dans lesquels j'ai défendu et/ou soutenu LastPass (y compris dans le magazine Consumer Reports). Je l'ai défendu même face aux vulnérabilités et aux failles, car il avait une UX supérieure et semblait toujours être la meilleure option pour les masses malgré ses défauts flagrants. Et il a toujours une place un peu spéciale dans mon cœur, étant le gestionnaire de mots de passe qui m'a en fait orienté vers les gestionnaires de mots de passe. Il a placé la barre pour ce que j'attendais d'un gestionnaire de mots de passe, et pendant un certain temps, il était inégalé.

Mais les choses changent et ces dernières années, je me suis retrouvé incapable de défendre LastPass. Je ne me souviens pas s'il y a eu une paille particulière qui a fait déborder le vase, mais je sais que j'ai cessé de le recommander en 2017 et que j'ai totalement effectué la migration en 2019. Vous trouverez ci-dessous une liste non ordonnée des raisons pour lesquelles j'ai perdu toute foi dans Last Pass :

• L'affirmation de LastPass de "zéro connaissance" est un mensonge éhonté. Ils ont à peu près autant de connaissances qu'un gestionnaire de mots de passe pourrait avoir. Chaque fois que vous vous connectez à un site, un événement est généré et envoyé à LastPass dans le seul but de suivre les sites auxquels vous vous connectez. Vous pouvez désactiver la télémétrie, sauf que la désactiver ne fait rien - l'application enverra toujours des données à LastPass chaque fois que vous vous authentifiez quelque part. De plus, presque tout dans votre coffre-fort LastPass n'est pas chiffré. Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de données chiffrée où l'intégralité du fichier est protégé, mais non - avec LastPass, votre coffre-fort est un fichier en texte brut et seuls quelques champs sélectionnés sont chiffrés.
• LastPass a l'habitude d'ignorer les chercheurs en sécurité et les rapports de vulnérabilités, et ne participe pas à la communauté infosec ni à la communauté de hacking de mots de passe. Les signalements de vulnérabilité restent non reconnus et non résolus pendant des mois, voire des années, voire jamais. Pendant un certain temps, ils avaient même un mauvais contact répertorié pour leur équipe de sécurité. Bugcrowd signale les vulnérabilités pour eux maintenant, et la plupart sinon tous les rapports de vulnérabilités sont gérés directement par Bugcrowd et non par LastPass. Si vous essayez de signaler une vulnérabilité au support LastPass, ils prétendront qu'ils ne comprennent pas et ne transmettront pas votre ticket à l'équipe de sécurité. Maintenant, Tavis Ormandy a félicité LastPass pour sa réponse rapide aux rapports de vulnérabilité, mais j'ai l'impression que c'est simplement parce que c'est Tavis / Project Zero qui les signale car ce n'est pas l'expérience que la plupart des chercheurs ont eue.

Vous savez, je ne recommande pas simplement aux utilisateurs de rejeter LastPass à cause de cette dernière violation. Je vous recommande de courir aussi loin que possible de LastPass en raison de sa longue histoire d'incompétence, d'apathie et de négligence. Il est tout à fait clair qu'ils ne se soucient pas de leur propre sécurité, et encore moins de votre sécurité.

L'analyste Steven J. Vaughan-Nichols vote pour Bitwarden

Je trouve un peu étrange que LastPass ne donne à personne plus de détails sur ce qui s'est passé avec le vol. Bitwarden, en revanche, est transparent avec ses audits et ses certifications en plus de sa base de code ouverte. La différence est claire. LastPass vous recommande de changer votre mot de passe principal et tous vos autres mots de passe. Je vous recommande de dire au revoir à LastPass et de passer à un autre gestionnaire de mots de passe.

Il existe de nombreux bons gestionnaires de mots de passe. Ils incluent 1Password, DashLane et NordPass. Mais côté offre payante ou gratuite, vous ne verrez pas mieux que Bitwarden.

Bitwarden est une sorte de programme open source. Plus précisément, il utilise une licence disponible à la source. La société admet que la licence Bitwarden n'est pas considérée comme open source selon la définition de l'Open Source Initiative (OSI), mais elle « pense que la licence équilibre avec succès les principes d'ouverture et de communauté avec nos objectifs commerciaux ».

Laissant de côté le problème de licence, le côté pratique de Bitwarden est qu'il est libre d'être utilisé à la fois sur un serveur ou un client. Par exemple, en tant que client, vous pouvez l'exécuter sur Linux, Windows, macOS, Android, iPhone et iPad. Avec ses extensions de navigateur, vous pouvez également l'utiliser sur Brave, Chrome, Edge, Firefox, Safari, Opera, Vivaldi et Tor. Le coût? Vous pouvez l'exécuter gratuitement sur tous les appareils et navigateurs dont vous disposez.

Gratuitement, vous obtenez également un magasin basé sur le cloud pour tous vos mots de passe, Bitwarden Web Vault ; un générateur de mot de passe aléatoire*; authentification à deux facteurs (2FA); et la sécurité supplémentaire de la fonction de violation de base de données de Bitwarden. Cette dernière fonctionnalité vérifie si l'un de vos mots de passe a déjà été exposé.

Spoiler Alerte : il y a de fortes chances que vos mots de passe soient déjà disponibles. Vous ne me croyez pas ? Vérifiez votre adresse e-mail ou votre numéro de téléphone sur HaveIbeenPwned et préparez-vous à une mauvaise surprise.

Supposons, cependant, que vous ne confiez à personne vos identifiants et mots de passe*? Dans ce cas, vous pouvez faire ce que je fais et exécuter votre propre serveur Bitwarden. Si le faire à partir de zéro est trop intimidant pour vous, vous pouvez configurer Bitwarden assez facilement sur votre propre machine à l'aide de conteneurs Docker. Vous n'avez pas de serveur à vous ? Vous pouvez même installer et exécuter Bitwarden à partir d'un Raspberry Pi.

Disons que vous n'êtes pas un administrateur système Linux, et pas aussi paranoïaque que moi. Dans ce cas, vous voudrez peut-être investir dans l'un des niveaux commerciaux de Bitwarden.

Pour 10 $ par an, vous obtenez un rapport sur la force du mot de passe ; un gigaoctet de stockage pour les pièces jointes chiffrées*; et prise en charge de la connexion sécurisée matérielle 2FA pour YubiKey et/ou Duo. Je suis un grand partisan des clés physiques 2FA. Il est tout simplement trop facile de casser les textos/SMS 2FA. Les applications d'authentification les plus populaires, telles que Google et Microsoft, sont étroitement liées aux grandes entreprises.

Si vous avez une famille ou un petit groupe, il existe un plan de 40 $ par an pour six utilisateurs. Vous pouvez également partager des mots de passe avec ce plan. Ne faites pas, je le répète, ne faites pas cela. Peut-être que vous faites confiance à votre frère. Quant à moi, pas tant que ça.

Enfin, il existe deux plans entreprises Bitwarden. Le premier, Teams, pour les petites organisations, coûte 3 $ par mois et par utilisateur. Le plan Enterprise plus grand et plus complet vous coûtera 5 $ par utilisateur par mois.

Et vous ?

Utilisez-vous un gestionnaire de passe ? Si oui lequel ? Sur mobile, desktop, les deux ?
Vous en servez-vous pour générer vos mots de passe ?
Que pensez-vous des gestionnaires de mots de passe en général ?
Le(s)quel(s) recommanderiez-vous ?
Que pensez-vous des arguments utilisés par ces experts pour expliquer au public pourquoi il devrait s'éloigner de LastPass ?
Partagez-vous leur point de vue ? Dans quelle mesure ?

Voir aussi :

KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe
La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport
Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur
Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?
Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité

[user056478426]

Pour ma part, rien de tel qu'un fichier keepass stocké sur un cloud chiffré (protondrive, mega, ...) puis synchronisé sur mes différents appareils.

[smarties]

Pour BitWarden, il existe une implémentation RUST du serveur nommée VaultWarden.

[floyer]

J’utilise aussi KeePass, mais trouve le principe de synchronisation WebDAV plus simple à mettre en œuvre (difficultés avec des accès cloud sur iOS). La sécurité tient exclusivement sur le chiffrement KeePass.

[Anselme45]

Ce qu'il faut abandonner, ce n'est pas LastPass mais la totalité des solutions d'archivage de mots-de-passe sur le Cloud!!!

Que la plateforme se nomme LastPass, MmeMichuPassword ou PasswordPourLesNuls, le problème sera toujours le même: des milliers de mots-de-pas réunis sur une même plateforme accessible sur le web...

Cela attire les hackers comme le miel les abeilles et, tôt ou tard, un petit malin trouvera la faille!

[QBasic]

J'utilise le gestionnaire hardware Hoplite Key Manager depuis plusieurs années, comme ça aucune de mes données ne se trouve dans le cloud !

[sergio_is_back]

Ce qu'il faut abandonner, ce n'est pas LastPass mais la totalité des solutions d'archivage de mots-de-passe sur le Cloud!!!

Que la plateforme se nomme LastPass, MmeMichuPassword ou PasswordPourLesNuls, le problème sera toujours le même: des milliers de mots-de-pas réunis sur une même plateforme accessible sur le web...

Cela attire les hackers comme le miel les abeilles et, tôt ou tard, un petit malin trouvera la faille!

+10

Oui quand on ne veut pas se faire voler ses données, le mieux est encore de ne pas les exposer dans le cloud !!!
Et ce quelque soit le chiffrage, les diverses mesures de sécurité, etc...

[floyer]

KeePass pour PC et Strongbox (une implémentation iOS), font de la synchronisation WebDAV, donc pas de problème de synchronisation. Le serveur est sauvegardé tous les jours, et mon PC fait une sauvegarde de la base à chaque enregistrement.

Reste que monter un serveur WebDAV n’est pas trivial pour tout le monde.

[daerlnaxe]

J'ai déjà fait mon choix, ça fait deux ans je crois, j'ai développé ma propre app bien sûr rien en clair et diverses sécurités. J'avais eu un petit hack de mon compte FB que j'ai dégagé très rapidement, et je refaisais tout un plan pour ne pas avoir deux fois le même mot de passe et forcément sécuriser ça quelque part, au début LastPass m'a intéressé et au bout de qqs heures je me suis dit qu'au final je ne savais rien de la sécurité derrière et ça m'a inquiété quand j'ai voulu mettre les comptes de boutiques... Et finalement content d'avoir renoncé à l'utiliser. Je voulais la mettre à disposition de tout le monde mais j'ai confié l'aspect juridique à quelqu'un d'autre, n'y comprenant pas grand chose, trop de temps pour avoir un retour, une vie à remettre en route... donc on est une petite poignée à l'utiliser du coup. Truc très con je voulais simplement mettre des dons mais comme j'utiliser VS en version gratuite, je me demandais quelles étaient mes possibilités. On m'a répondu depuis mais j'ai simplement pas le temps de m'en occuper vu que je cherche un job et que j'ai du gérer ma reconversion.

En fait à ce moment je me suis dit que si j'arrivais à tirer un smic par mois de diverses solutions via des dons j'allais pouvoir à la fois m'éclater sur ce que j'aime faire et rendre service. J'ai déjà fait quelques apps, certaines sont à disposition sous d'autres pseudos mais je ne demande jamais un rond et mine de rien il y a énormément d'heures de boulot derrière... et vu qu'il y en a un petit nombre, gérer ça pour les bugs, évolutions, suivre aussi .net ça prend du temps. Ce n'était pas pour m'enrichir mais plutôt pour pouvoir m'y consacrer.

Et si vous vous demandez pourquoi je n'utilise pas KeePass et bien c'est parce que j'ai fait le tour des solutions et que ça ne couvrait pas certains de mes besoins, tout simplement. Là j'ai quelque chose qui est bien plus souple pour gérer et qui s'adapte mieux.

Maintenant le réel problème mérite que l'on creuse un peu...

Si je fais confiance à un application tierce elle doit me donner une garantie, mais si elle me donne une garantie comme me laissait accéder au code source ça peut aussi compromettre la sécurité. Derrière il y a des implémentations basiques qui sont en elles mêmes des garanties, des bonnes pratiques que normalement on devrait voir partout mais hélas on s'aperçoit que trop souvent c'est laissé de côté. Mais après il y a à gérer le confort de l'utilisateur, ses erreurs aussi... Et puis être rentable. Mon programme est conçu en mode paranoïa pure, c'est probable que ça gonflerait les gens de l'utiliser au début. Et après tout souvenez vous de toutes les personnes qui disaient de virer l'UAC comme d'autres sécurité... pour moi le seul problème qui se pose c'est la communication, tant que l'utilisateur a une idée claire de ce qu'il utilise... Car c'est à lui de faire ses choix.

En passant d'ailleurs rien n'empêcherait non plus de se retrouver avec une application qui balancerait les mots de passe, tout le monde ne va pas traquer en permanence le comportement des applis installées... et là ça peut réserver des surprises. Je me souviens d'un banal client nommé Inc...mail, avec de jolis émotes, mais qui était une vraie saleté en réalité.

[marsupial]

La seule solution que j'ai envisagée est le stockage dans le navigateur. Je ne l'ai jamais fait vu le peu de sites où j'utilise un mot de passe. Ma mémoire travaille un peu mais je suis sensible aux keylogers.
Toujours est-il que j'ai testé la sauvegarde des passes via Chrome/chromium il y a 6 mois et un jour où je ne voulais pas me connecter mais taper mes mots de passe, quelle ne fut pas ma surprise en découvrant qu'en cliquant sur annuler j'étais quand même connecté !

J'ai signalé la faille et elle a été corrigée mais si quelqu'un peut dire si sous edge c'est ok ça m'intéresse vu qu'il est basé sur chromium aussi. Et je n'ai que des postes sous linux.

[daerlnaxe]

@Marsupial

J'ai eu une surprise du même genre sous Brave, durant ma formation et sur le PC prêté qui avait un mot de passe lambda, heureusement que je contrôle en permanence. Il fallait utiliser son compte MS, je crois que c'était pour les labs Azure, normalement j'étais en privé d'ailleurs car j'ai eu plein de problèmes avec Azure à cause de ça. Je fais un check et là je m'aperçois qu'on peut toujours se connecter au compte alors que j'ai fait une déco sans mémoriser le mot de passe. Et c'est le même moteur qu'Edge normalement.