Discussion :

[Patrick Ruiz]

Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source
Et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

Le code source de LastPass et des informations techniques propriétaires de l’entreprise ont été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes – vient d'annoncer que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Le tableau relance le débat sur la comparaison entre les gestionnaires de mots de passe.

« A tous les clients de LastPass,

Je souhaite vous informer d'un développement que nous estimons important de partager avec la communauté des entreprises et des consommateurs de LastPass.

Il y a deux semaines, nous avons détecté une activité inhabituelle dans certaines parties de l'environnement de développement de LastPass. Après avoir lancé une enquête immédiate, nous n'avons vu aucune preuve que cet incident impliquait un accès à des données clients ou à des coffres de mots de passe cryptés.

Nous avons déterminé qu'une partie non autorisée a eu accès à certaines parties de l'environnement de développement de LastPass par le biais d'un seul compte de développeur compromis et a pris des parties du code source et certaines informations techniques exclusives de LastPass. Nos produits et services fonctionnent normalement.

En réponse à l'incident, nous avons déployé des mesures de confinement et d'atténuation, et fait appel à une société de cybersécurité et d'expertise judiciaire de premier plan. Bien que notre enquête soit en cours, nous avons atteint un état de confinement, mis en œuvre des mesures de sécurité renforcées supplémentaires, et ne voyons aucune autre preuve d'activité non autorisée.

Sur la base de ce que nous avons appris et mis en œuvre, nous évaluons d'autres techniques d'atténuation pour renforcer notre environnement. Nous avons inclus ci-dessous une brève FAQ de ce que nous pensons être les questions et préoccupations initiales les plus pressantes de votre part. Nous continuerons à vous informer avec la transparence que vous méritez.

Nous vous remercions de votre patience, de votre compréhension et de votre soutien », a précisé le CEO de LastPass dans l’essentiel de la communication relative à la gestion de l’incident.

Ainsi donc LastPass ne fournit pas de détails supplémentaires concernant l'attaque, la manière dont les acteurs de la menace ont compromis le compte du développeur et le code source qui a été volé.

Que LastPass soit victime de piratage n’est pas une nouveauté. En 2015, l’éditeur a annoncé une compromission de son réseau : « Nous souhaitons informer notre communauté que notre équipe a détecté et bloqué immédiatement une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données chiffrées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage, et le hachage d’authentification ont été compromis. » L’annonce n’avait pas manqué de relancer le débat sur la comparaison entre les gestionnaires de mots de passe.

Sur la base des examens de tiers et les avis d'experts en sécurité, il est possible d’établir la plus large sélection possible de gestionnaires de mots de passe établis. Ainsi, la liste comporte des gestionnaires de mots de passe commerciaux offrant des versions gratuites, généralement avec quelques limitations et une option de mise à niveau vers un abonnement payant pour des fonctionnalités supplémentaires. Elle comporte aussi des produits commerciaux qui offrent des essais gratuits, mais qui nécessitent ensuite un abonnement payant, dont certains sont spécifiquement conçus pour être utilisés par des équipes. Pour finir, certaines, mais pas toutes, offrent des options familiales.

Les options gratuites avec des mises à jour payantes

LastPass

LastPass est un gestionnaire de mots de passe populaire qui fait partie de la famille LogMeIn depuis 2015. LogMeIn est une entreprise américaine de services informatiques créée en 2003. Last offre une version gratuite et une version payante. La version gratuite offre un ensemble de fonctionnalités robustes et prend en charge un nombre illimité d'appareils par utilisateur. Les produits personnels et professionnels de la société fonctionnent sur toutes les principales plateformes et tous les navigateurs de bureau et mobiles. Le service est uniquement basé sur le cloud.

De cette manière, les fichiers sont stockés sur les serveurs de l'entreprise et synchronisés avec les appareils locaux. La version Premium, qui est à 36*$ par an, donne droit à quelques fonctionnalités supplémentaires, telles que des options avancées d'authentification multifactorielle, un stockage de fichiers chiffrés de 1 Go et la possibilité de désigner un contact de confiance pour un accès d'urgence. Le plan familial, qui couvre jusqu'à six utilisateurs, coûte 48 dollars par an et comprend un tableau de bord. Les plans d'entreprise commencent à 48 dollars par utilisateur et par an.

RoboForm Free/RoboForm Everywhere

RoboForm est un gestionnaire de mots de passe lancé en 2000. La version gratuite prend en charge un nombre illimité de connexions et dispose de clients pour Windows, MacOS, Android et iOS, et pour tous les principaux navigateurs. Elle stocke en local sa base de données d'identification, ce qui signifie que vous êtes responsable de la sauvegarde de ces données et de leur synchronisation manuelle entre les appareils. RoboForm Everywhere quant à lui est un service d'abonnement à 24 dollars par an qui ajoute des fonctionnalités, telles que la sauvegarde dans le nuage, la synchronisation et l’authentification à deux facteurs.

Il dispose d’une option Famille à 48 dollars par an. Elle couvre jusqu'à cinq utilisateurs, et les plans d'entreprise coûtent 35 dollars par utilisateur et par an. Des réductions sont disponibles pour les achats pluriannuels.

Dashlane

Dashlane n'a pas la longévité de ses principaux rivaux, mais il existe depuis assez longtemps pour gagner une réputation de facilité d'utilisation. Les applications sont disponibles pour PC, Mac, Android, iOS et Windows. Si votre base de données de mots de passe comprend moins de 50 entrées et que vous ne devez utiliser le logiciel que sur un seul appareil, vous pouvez vous en sortir avec la version gratuite, qui prend également en charge l'authentification à deux facteurs. Dashlane ne propose pas d’option pour famille, mais il permet le partage des mots de passe entre les comptes.

La version Premium est à 60 dollars par an. Elle supprime les limites sur le nombre de mots de passe enregistrés et d'appareils synchronisés et inclut une option VPN. En outre, l'offre Premium Plus à 120 dollars par an ajoute une assurance contre le vol d'identité et une surveillance du crédit. Enfin, les versions d'entreprise comprennent les mêmes fonctionnalités que la version Premium, à 48 dollars par utilisateur et par an, avec des options de provisionnement et de déploiement ainsi que la possibilité de séparer les informations d'identification professionnelles et personnelles.

Les gestionnaires fournissant des services payants

1Password

Bien que ce produit ait gagné sa réputation sur les appareils Mac et iOS d'Apple, il a aussi été adopté par Windows, Android, Linux et Chrome OS. Il a une extension de navigateur, 1Password X, qui remplit les informations d'identification, suggère des mots de passe et fournit une authentification à deux facteurs dans Chrome, Firefox et Microsoft Edge. Après un premier essai gratuit de 30 jours, vous êtes invité à souscrire à un abonnement qui coûte 36 dollars par an. En outre, il propose un abonnement familial de cinq utilisateurs qui coûte 60 dollars par an.

1Password fonctionne mieux si ses fichiers de données sont synchronisés à partir des serveurs de 1Password, mais vous avez également la possibilité d'enregistrer les mots de passe localement et de synchroniser le fichier de données avec votre propre réseau ou un compte Dropbox ou iCloud. Les comptes professionnels 1Password ajoutent un contrôle d'accès avancé et des journaux d'activité et des politiques de sécurité gérées de manière centralisée. Ils coûtent 96*$ par utilisateur et par an, avec un stockage de 5 pour les fichiers et un compte familial gratuit lié pour chaque utilisateur.

Keeper

Keeper est arrivé sur le marché en 2011. Il propose grand assortiment de produits, avec des offres distinctes pour l'usage personnel et familial, les entreprises, les clients professionnels et les fournisseurs de services gérés. Les forfaits personnels commencent à 30 dollars par an pour Keeper Unlimited, qui permet de stocker un nombre illimité de mots de passe et de les synchroniser sur un nombre illimité d'appareils. Un forfait de 60*$ par an ajoute la fonction de messagerie cryptée KeeperChat, le stockage sécurisé de fichiers et un service de surveillance des brèches.

Ce dernier analyse les mots de passe enregistrés pour trouver ceux qui sont connus pour être compromis. La version familiale de chaque forfait double le coût et prend en charge jusqu'à cinq utilisateurs. Keeper stocke les fichiers de données synchronisées sur le cloud Amazon Web Services. Les forfaits étudiants sont à moitié prix.

Hypervault

Hypervault est arrivé sur le marché fin 2018, et été conçu à l'origine pour un usage interne par ses développeurs. La version 2, lancée en avril 2019, tient certaines des promesses de la société pour un gestionnaire de mots de passe axé sur les besoins des équipes. La version 2 s’accompagne d’une interface utilisateur remaniée ainsi que des autorisations de groupe et une structure basée sur les droits pour les membres de l'équipe. L’abonnement commence à 2,50 dollars par utilisateur et par mois, avec des réductions à partir des seuils de 10 et 50 utilisateurs et des réductions supplémentaires pour les achats annuels.

La société dispose d'un journal des modifications et d'une feuille de route bien documentés, et une version autohébergée est “à venir”.

Les gestionnaires de mots de passe open source

KeePass Password Safe

Si vous avez la phobie du cloud ou si vous insistez sur les logiciels à source ouverte, c'est votre choix. KeePass fonctionne sur toutes les plateformes de bureau et mobiles, y compris la plupart des distributions Linux, et il est gratuit. Les fichiers sont stockés localement, et vous voudrez maîtriser ses arcanes de raccourcis clavier pour remplir automatiquement les mots de passe. L'intégration au navigateur est possible grâce à des plugins tiers. En outre, KeePass Password Safe offre également la possibilité de l’utiliser sur un grand nombre d’appareils.

Dans ce cas, le moteur de synchronisation intégré du programme met à jour automatiquement la base de données des mots de passe, quel que soit l'emplacement de stockage en nuage que vous indiquez.

Bitwarden

Le code source de Bitwarden est hébergé sur GitHub, avec des dépôts séparés pour les projets de bureau, de serveur, de Web, de navigateur, de mobile et de ligne de commande. Il dispose de toutes les fonctionnalités des listes de contrôle des gestionnaires de mots de passe personnels commerciaux, y compris la synchronisation sécurisée dans le nuage. Si vous n'êtes pas à l'aise avec le stockage de vos mots de passe dans le nuage Bitwarden, vous pouvez héberger l'infrastructure sur votre propre serveur, en utilisant Docker.

Passbolt

Les développeurs de Passbolt l’ont conçu pour les équipes et DevOps, en utilisant des normes de sécurité modernes à source ouverte et des outils familiers, dont le lanceur d’applications conteneurisées Docker. La version communautaire autohébergée fonctionne sur votre propre serveur et est spécifiquement destinée aux équipes agiles qui s'éloignent de solutions comme KeePass et LastPass. Il a une version commerciale payante avec la prise en charge de l'authentification multifactorielle.

L’abonnement commence à 10 euros par mois pour cinq utilisateurs, avec des réductions pour un paiement annuel.

Password Safe

Password Safe a été conçu par l’expert en sécurité Bruce Schneier. Sur le bureau, il s'agit d'un produit exclusivement Windows, bien que des clones soient disponibles pour les appareils macOS, Android et iOS. Les bases de données sont sauvegardées localement et les fonctions de synchronisation ne sont pas intégrées. Bien que Password Safe ait une base de fans fidèles, il ne plaira probablement pas à ceux qui veulent les capacités de polissage et de synchronisation d'une application plus moderne.

Et vous ?

Utilisez-vous un gestionnaire de mots de passe ? Comment le comparez vous à l'offre concurrente ? Quels sont les critères qui vous ont amené à opter pour ce dernier plutôt que sur ceux d'autres éditeurs ?
Partagez vous l'avis selon lequel les développements en cours sont l'illustration de ce que l'ère des mots de passe est dépassée ?

Voir aussi :

KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe

La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport

Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur

Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?

Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité

[JPLAROCHE]

j'ai longtemps testé… et pour le meilleur KeePassXC , il est sur votre pc et très simple d'utilisation.

[Aiekick]

le mieux est de ce faire le sien, un que des pirates ne pourront pas retrouner dans tous les sens car ils ne l'auront pas

[Anselme45]

Qui est étonné par cette news?

Quand on veut éviter le piratage, il y 2 règles simples:

1. Ne pas utiliser un service "online" qui stocke vos données (fussent-elles cryptées) dans le cloud à la disposition de tous les hackers du monde

2. Ne pas utiliser un produits ou services utilisés par des millions d'utilisateurs: Un hacker ne va pas se fatiguer à violer un système utilisé par seulement une centaine de guignols!


Dans notre entreprise, nous avons résolu très simplement le problème: Tous nos échanges sont cryptées à l'aide d'un logiciel fait "maison" et notre "LastPass" provient de la même origine...

[dragonofmercy]

C'est dommage, il manque enpass dans la liste, qui ne demande pas de compte en ligne et qui stocke son contenu uniquement en local

[QBasic]

Le top est un gestionnaire hardware où les données sont stockées chez soi, pas en ligne !
Je ne jure plus que par Hoplite Key Manager depuis que je l'utilise.

[Bruno]

LastPass, le gestionnaire de mots de passe, affirme que les pirates ont eu un accès interne à son système,
pendant quatre jours

Le 22 août, nous avons révélé que le code source de LastPass, le gestionnaire de mots de passe, et des informations techniques propriétaires de l’entreprise avaient été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes avait annoncé que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Aujoued'hui, LastPass affirme que les pirates ont eu un accès interne à son système pendant quatre jours. « Le 25 août 2022, nous vous avons informé d'un incident de sécurité limité à l'environnement de développement de LastPass, au cours duquel certains de nos codes sources et informations techniques ont été dérobés. Je tenais à vous informer de la conclusion de notre enquête afin d'assurer la transparence et la tranquillité d'esprit de nos communautés de consommateurs et d'entreprises », déclare Karim Toubba, CEO de LastPass.

LastPass est un gestionnaire de mots de passe freemium qui stocke des mots de passe chiffrés en ligne. La version standard de LastPass est fournie avec une interface web, mais comprend également des plugins pour divers navigateurs web et des applications pour de nombreux smartphones. Elle prend également en charge les bookmarklets LogMeIn.

Le contenu d'un utilisateur dans LastPass, y compris les mots de passe et les notes sécurisées, est protégé par un seul mot de passe principal. Le contenu est synchronisé avec tout appareil sur lequel l'utilisateur utilise le logiciel LastPass ou des extensions d'applications. Les informations sont chiffrées avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilité d'augmenter la valeur des itérations du mot de passe. Le chiffrement et le déchiffrement ont lieu au niveau de l'appareil.

LastPass dispose d'un remplisseur de formulaires qui automatise la saisie de mots de passe et le remplissage de formulaires, et prend en charge la génération de mots de passe, le partage et la journalisation de sites, ainsi que l'authentification à deux facteurs. LastPass prend en charge l'authentification à deux facteurs via diverses méthodes, notamment l'application LastPass Authenticator pour les téléphones mobiles, ainsi que d'autres méthodes comme YubiKey.

LastPass est disponible sous forme d'extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont également disponibles pour les smartphones fonctionnant sous les systèmes d'exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalité hors ligne. Notez que LastPass désactive le paramètre du navigateur Google Chrome permettant à l'utilisateur d'enregistrer automatiquement ses mots de passe dans le navigateur.

« Nous avons terminé l'enquête et le processus d’incvestigation en partenariat avec Mandiant. Notre enquête a révélé que l'activité de l'acteur de la menace s'est limitée à une période de quatre jours en août 2022. Pendant cette période, l'équipe de sécurité de LastPass a détecté l'activité des cybercriminels et a ensuite contenu l'incident », déclare l’entreprise.

Il n'y aurait aucune preuve d'une quelconque activité de l'acteur de la menace au-delà de la période établie. « Nous pouvons également confirmer qu'il n'y a aucune preuve que cet incident ait impliqué un accès aux données des clients ou aux coffres de mots de passe chiffrés. »   

L’enquête de LastPassa déterminé que les cybercriminels ont accédé à l'environnement de développement en utilisant le terminal compromis d'un développeur. Bien que la méthode utilisée pour la compromission initiale du point de terminaison ne soit pas concluante, les cybercriminels ont utilisé son accès persistant pour se faire passer pour le développeur après que celui-ci se soit authentifié avec succès à l'aide de l'authentification multifactorielle.

Bien que les cybercriminels ont aient pu accéder à l'environnement de développement, la conception et les contrôles de notre système ont empêché l'acteur menaçant d'accéder aux données des clients ou aux coffres-forts de mots de passe chiffrés.

Tout d'abord, l'environnement de développement de LastPass est physiquement séparé de notre environnement de production et n'a aucune connectivité directe avec celui-ci. Deuxièmement, l'environnement de développement ne contient aucune donnée client ou coffre-fort chiffré. Troisièmement, LastPass n'a pas accès aux mots de passe principaux des coffres-forts de ses clients - sans le mot de passe principal, il n'est pas possible pour quiconque autre que le propriétaire d'un coffre-fort de déchiffer les données du coffre-fort dans le cadre de notre modèle de sécurité « Zero Knowledge ». 

Afin de valider l'intégrité du code, LastPass dit avoir effectué une analyse de son code source et de ses constructions de production et confirme qu’elle ne voit aucune preuve de tentatives de compromission du code ou d'injection de code malveillant. Les développeurs n'ont pas la possibilité de pousser le code source de l'environnement de développement vers la production. Cette capacité est limitée à une équipe séparée de Build Release et ne peut se produire qu'après l'achèvement de processus rigoureux de révision, de test et de validation du code.

Dans le cadre de son programme de gestion des risques, elle a également établi un partenariat avec une société de cybersécurité de premier plan afin d'améliorer ses pratiques existantes en matière de sécurité du code source, qui comprennent des processus de cycle de vie de développement de logiciels sécurisés, la modélisation des menaces, la gestion des vulnérabilités et des programmes de primes aux bogues.

Source : LastPass

Et vous ?

Selon vous, LastPass vaut-il le coup ? Protège-t-il vraiment vos mots de passe ?

Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?

Voir aussi :

Des versions trojanisées de l'utilitaire PuTTY sont utilisées pour propager des backdoors, par des cybercriminels ayant des liens avec des pirates soutenus par le gouvernement nord-coréen

Les lacunes en matière de sécurité du cloud exposent les actifs critiques de l'entreprise en seulement trois coups, selon un rapport d'Orca Security

Uber : un cadre accusé d'avoir déguisé une extorsion de données en « prime de bug », en signant des accords de non-divulgation pour recevoir 100 000 dollars en bitcoins

Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

[Anselme45]

Utiliser un service en ligne pour y stocker ses mots-de-passe est par définition une idiotie...


C'est comme si un banquier regroupait toutes les clés des coffres-forts que sa banque met à disposition de sa clientèle fortuné au milieu d'une place publique dans une jolie cassette munie d'un cadenas avec une pancarte "Ici sont réunies l'ensemble des clés des coffres-forts de la banque Cresus&co. Prière de ne pas toucher"

[QBasic]

Utiliser un service en ligne pour y stocker ses mots-de-passe est par définition une idiotie...

C'est clair, s'il y a bien un type de données à ne confier à personne, c'est les mots de passe !

[onilink_]

Moi qui pensais que les gestionnaires de password c'était forcement chiffré et en local...
Comme quoi on en apprend tous les jours

[Invité]

Bonsoir

LastPass, le gestionnaire de mots de passe, affirme que les pirates ont eu un accès interne à son système, pendant quatre jours

Selon vous, LastPass vaut-il le coup ?

Non pas du tout !

Protège-t-il vraiment vos mots de passe ?

Absoluement pas ! D'ailleurs en chinant dans les archives du forum , LastPass est le gestionnaire de mot de pass qui a eu droit à 2 piratages 2015 et 2018 de mémoires. Donc services à proscrire !

Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?

Contre .

[daerlnaxe]

Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé. Ce jour là j'ai développé en c# ma propre appli, je comptais d'ailleurs la mettre à dispo gratuitement, simplement je voulais savoir avant sur les licences si j'avais droit (pour une fois) à proposer de me faire des dons (pas des gros trucs mais histoire de pouvoir moins m'inquiéter de mon activité "pro", vu qu'une maladie me clouait dans un fauteuil).

[Steinvikel]

Selon vous, LastPass vaut-il le coup ? Protège-t-il vraiment vos mots de passe ?
Non il n'en vaut pas le coup :
1) c'est une solution propriétaire, c'est donc accorder une confiance inutile à certains maillons de la chaîne de sécurité pour seule raison de profiter au business de l'entreprise qui l'emploi
2) Il les protège, oui, mais pas suffisemment, surtout en regard d'autres solution déjà existante sur le marché (ex : Bitwarden, ou mieuxBitwarden hébergé dans un docker local, ou encore mieux Keepass Password Safe (aka Keepass) hébergé en local et synchronisé)


Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?
Je suis contre "la non utilisation d'un gestionnaire de mot de passe de manière générique".
Pour gérer ET protéger ses mots de passe, un gestionnaire est nécessaire. Mais cela n'implique pas de tous les placer au même endroit.
>> à chaque problématique sa solution adaptée.

Certains secrets on une nécessité absolue de secret, il ne doivent alors n'exister que dans la tête. D'autres ont un besoin fort de verrouiller son accès, suivant où se situent les risques, ils doivent être stockés soit sur papier, soit sur un machine locale, soit sur une machine distante. Et pour couronner le tout, chaque mot de passe est plus sensible à tel ou tel stockage, puisque exposant un contexte d'utilisation différent (le digicode de l'alarme, le compte bancaire en ligne, ou le compte du forum, présentent tous des emplois différents ...et donc des risque différents sur un même stockage).

La problématique va au-delà de simplement "dois-je utiliser un gestionnaire".
Il faudrait analyser les points suivants :
- un gestionnaire se doit-il d'être fiable (limiter les erreurs) ou pratique ...ou les 2 à la fois ?
- quelles fonctionnalités sont nécessaires pour la gestion des mots de passe, de manière fiable et/ou pratique ?
- solution propriétaire ou 100% sous licence libre ? ...quelle licence ?
- solution locale ou en ligne ? (licence adapté ? > ex: AGPL et non GPL pour un service en ligne délivré par un tiers)
- service via prestataire ou auto-hébergé ?
- tous les accès centralisés sur une seule solution ou répartis en fonction de la surface d'attaque et du contexte d'usage de l'accès ?

Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé.

C'est une problématique qui existe sur tout support de stockage, que ce soit sur papier ou numérique, et hypothétiquement dans ton cerveau également.

Ce jour là j'ai développé en c# ma propre appli, je comptais d'ailleurs la mettre à dispo gratuitement (...)

Tu n'as pas cherché à forker un projet sous licence libre ? est-ce une démarche pour prototyper, ou bien une réelle envie d'offrir à d'autre un outil que tu ne trouves nulle part ?

(...) je voulais savoir avant sur les licences si j'avais droit (pour une fois) à proposer de me faire des dons (pas des gros trucs mais histoire de pouvoir moins m'inquiéter de mon activité "pro", vu qu'une maladie me clouait dans un fauteuil).

A ma connaissance presque toutes les licences libres acceptent le don (je ne connais aucune exception), ce qui est moins général, c'est l'autorisation de pouvoir restreindre la diffusion du produit contre transaction financière.

[daerlnaxe]

Je t'ai liké car je partage pas mal de tes points de vue. Déjà pour ma part le côté online m'a amené rapidement à me poser des questions, absence de contrôle sur ce que je stockais... en terme de probabilités les vulnérabilités étaient plus importantes qu'en local même si on peut se dire que des gens plus compétents etc... plus de monde, plus de moyens. C'est un peu comme un cursus en fait à régler pour définir au final car à mon sens c'est du 50/50 en réalité. Je vais donner le pire cas possible, duchmol a sous son bureau son mot de passe (chez lui j'entends) les probabilités déjà que quelqu'un s'intéresse à son ordinateur sont minces. Ca serait uniquement dans le cadre familial et à ce compte là niveau confiance on peut aller loin, c'est sûr qu'on en a vu de belles mais quand même. Donc là dès qu'on a l'aspect online il faut du code, une infra ,et même des employés aussi, qui soient fiables et robustes (moins pour les employés, quoique la torture...).

"C'est une problématique qui existe sur tout support de stockage" Totalement d'accord, maintenant l'avantage c'est qu'ayant développé en mode parano en fait tu ne sais même pas où ni comment je stocke du coup, je suis sûr qu'en plus de ça c'est crypté. Tu peux très bien planquer du code dans une vulgaire image, et là noyé dans des milliers de fichiers .. par dessus en prime si tu cryptes etc etc... pareil pour la mémoire aussi bien faire attention de pas se prendre un exploit dans la tronche. Mais ceci dit quand même il fallait donc que quelqu'un s'intéresse à mon propre pc, alors que là avec lastpass en cas d'attaque on va prendre un pack de comptes et c'est freestyle derrière. En fait ça a débuté avec FB, mon compte s'est fait chopper, à l'époque j'avais un mot de passe fort mais qui était répliqué sur plusieurs sites, j'ai eu de la chance de rapidement réagir et rien ne s'est passé. De là forcément un site = un compte et là ça devient un peu compliqué de mémoriser... D'ailleurs on a eu une discussion intéressante il y a peu sur les MFA et les méthodes à venir avec un formateur, dont un article sur site qui expliquait les projets de MS,Apple etc pour que les mdp disparaissent.

"est ce une démarche..." c'est vraiment que je ne trouvais pas mon bonheur ailleurs en effet, j'ai vu des points que je voulais gérer autrement ou améliorer. C'est vrai que j'aurais pu proposer ça mais je n'avais pas envie de me casser la tête à devoir parler avec des humains, j'ai développé alors que j'étais cloué à cause d'une maladie, je ne savais pas comment certains allaient entendre ce que j'avais à dire, les égos etc etc... Pour moi c'était plus simple à mettre en oeuvre que de me lancer dans des discussions (que j'imaginais) interminables.

"acceptent le don", c'est ce qu'un autre formateur m'a bien expliqué il y a peu, il a d'ailleurs bossé sur le kernel de Mandriva, un passionné de licence libre (j'ai eu beaucoup de chance de le rencontrer). J'ai du mal à comprendre les licences, c'est des pavés à lire, c'est pour ça que j'ai voulu que quelqu'un spécialisé en droit (mais pas de ce droit là ) regarde pour moi. A l'occasion il va falloir que je m'occupe du coup de faire le nécessaire, je sais par contre que je vais vouloir améliorer l'interface avant le lancement donc je veux avoir du temps. C'est déjà très moderne, mais y'a toujours un truc que je veux rajouter ^^. Et là j'ai ma 104 Azure à passer, peut être une AWS, trouver un job, changer totalement mon infra réseaux à la maison, acheter un nouveau pc, acheter de vieilles machines pour du rétrogaming, faire un package avec un retroarch lançant qemu[lançant directement windows 98] (et si possible gestion de la 3dfx, faut que je vois si ça a bougé cet été j'étais sur un proof of work). C'est pour ça que je me requalifie d'ailleurs car au moins je vais pouvoir rester dans l'environnement, en mettant de côté l'électrotechnique ça va me permettre de dégager plus de temps pour le reste.

Merci de ta réponse !

[TotoParis]

LastPass ==> FirstFail

[Kulvar]

LastPass n'utilise pas de clés de chiffrement qui nécessite le mot de passe pour fonctionner ?

[jbrosset]

Je vais réagir à l'inverse de la quasi totalité des commentaires :
Je veux bien entendre que l'utilisation d'un gestionnaire de mots de passe en ligne est une idiotie, mais personnellement je n'ai pas trouvé mieux pour gérer une bonne centaine de mots de passe et les partager avec une épouse non technophile qui n'accepte que des trucs hyper simples.
Note monde aujourd'hui est fou avec des dizaines et des dizaines de mots de passe à définir, forts (et donc difficiles à mémoriser), qu'il faut changer souvent.
Bref, moi je vous le dis honnêtement : ma vie ne se déroule pas exclusivement derrière un ordinateur, loin s'en faut, et je ne sais pas comment faire, sans migraine ni crise de nerfs.
J'ose le dire, parmi ce concert de critiques à propos de LastPass, parce que je suis convaincu que ce que je raconte c'est ce que vivent beaucoup, beaucoup de personnes individuelles, et de familles (avec partage des données sensibles).
Alors, si vous avez des idées constructives et réalistes (c'est-à-dire très simples à mettre en œuvre, sinon je sais déjà que ça ne marchera pas) eh bien n'hésitez pas à nous les partager...

[Steinvikel]

Utiliser un gestionnaire en ligne, est une idiotie dans quelques cas de figure uniquement. Pour exemple récent dans les récentes actualité, être un administrateur d'entreprise du CAC40 et centraliser les accès les plus sensibles sur des solutions propriétaires en ligne. ^^'

Le plus important n'est pas que le gestionnaire soit accessible par internet ou non, c'est de confier tes mots de passe à un tiers ou non.
Et c'est sur ce dernier point que l'idiotie est la plus grosse.

La simplicité telle que le propose Bitwarden permet de l'utiliser facilement avec peu de fonctionnalités à appréhender (en version gratuite en ligne, géré par le fournisseur de service).
Mais la simplicité présente également des inconvénients notoires : impossible de trier ses dossiers sur une arborescence à niveaux, tout est regroupé sur la racine. ^^'

Keepass, lui, est un peu plus complexe, mais à l'usage on peu ce limiter au minimum, il présente alors une légère surcharge de boutons. mais le classement de ses mots de passe est bien plus naturel. En plus il est possible de personnaliser les icônes représentant les dossiers pour y distinguer des informations en survolant l'arborescence.

Le concert de critiques pour LastPass à lieu par ce qu'il présente de nombreux défauts, pour certains très importants ...surtout en regard à d'autres produits sur le marché.

[jbrosset]

Merci @steinvikel pour ta réponse très constructive.
J'ai regardé avec attention les deux logiciels que tu cites, et je ne suis pas sûr de bien comprendre les conséquences de l'adoption de l'un d'eux :

> Je n'avais jamais entendu parler de Bitwarden, et un point très intéressant à mon sens est qu'il dit explicitement qu'on peut partager ses infos sur deux comptes (mon épouse et moi par exemple).
En revanche, je ne vois aucune interface en français, ce qui ne manquera pas de rebuter Madame, très francophile...

> Pour Keepass, j'en avais entendu parler, ça a l'air pas mal du tout SAUF... que j'ai toujours compris que les données de sécurité étaient cryptées sur l'ordi et que donc :
- si l'ordi crashe, il se passe quoi ? (ce n'est pas de la théorie, ça m'est arrivé il y a 2 mois et Lastpass m'a bien sauvé la mise pour les mots de passe)
- comment partager automatiquement nos données sensibles, Madame et moi ? (ne comptez pas sur Madame pour faire quoi que ce soit, elle est presque technophobe). Je ne vois rien qui laisse entendre que c'est possible. Et ça c'est bloquant pour moi et sûrement pour beaucoup de couples qui partagent leurs données.

JBR

[Steinvikel]

je ne suis pas sûr de bien comprendre les conséquences de l'adoption de l'un d'eux

--> Le plus important n'est pas que le gestionnaire soit accessible par internet ou non, c'est de confier tes mots de passe à un tiers ou non.
Et c'est sur ce dernier point que l'idiotie est la plus grosse.

avec Keepass, tu installes le logiciel sur ton PC, et tu stock tout sur ton PC. avec Bitwarden, à moins d'héberger ta propre instance Bitwarden sur ton propre serveur (ex : sur un NAS compatible Docker), tu demande à un tiers de confiance de les stocker et de les sécuriser pour toi (et de ne pas y accéder sans ton accord).
C'est là la principale différence, et de là que découle le qualificatif de "idiotie" quand à la sécurisation d'information relevant du secret des affaires, industriel, ou à leurs accès respectifs. ^^'

Pour la version anglais / français, il me semble que le service web est en français, avec quelques reliques du style "new folder", pour ce qui est de l'applicatif, tous les champs sont en anglais. ^^'
Mais il est possible d'y remédier en se rapprochant du projet pour y contribuer, et y faire émerger une traduction ! =D

Je n'est pas testé ce cas de figure car je réplique mes disques.

La théorie voudrais que c'est chiffré via ton mot de passe maître uniquement (d'où l'intérêt d'avoir plutôt une "phrase" passe qu'un "mot" de passe), et que donc, si tu copie ta base de données sur une nouvelle installation de keepass (sauf erreur de ma part, même théorie pour Bitwarden quand tu l'auto-héberges), puisque ta BDD s'appuie sur exactement la même méthode de chiffrement, elle sera accessible en renseignant le mot de passe comme d'habitude.

Le hic ça va être sur le fonctionnement périphérique hypothétique sur lequel je ne me suis pas renseigné.
Parfois, en info', on a des surprises, il faut créer une nouvelle BDD pour créer les liens sur tout l'environnement, puis ensuite simplement écraser la BDD avec l’ancienne.
Parfois faut également renommer l'ancienne par le nom de la nouvelle, etc.
Tout ça n'est que spéculatif, je pense que le cas de figure est déjà renseigné dans la communauté de KeePass (en fonction de la version choisie).

Je te recommande le KeePass classique, il suffit simplement de bien choisir la branche 1.xxx ou 2.xxx qui influe sur les fonctions disponibles >> https://keepass.info/compare.html
NB : pouvoir classer par arborescence est important, gérer les historiques de version est un plus non négligeable. Dans le cas contraire tu dois renseigner toutes tes modifications en commentaire horodaté ...c'est lourd à l'usage.
PS : au boulot je le fais sur Bitwarden, bien que disposant d'un versioning, pour une question de visibilité des modifications et de facilité d'accès à la lecture.

En alternative, je t'invite à te renseigner sur KeepassXC qui facilite la synchronisation de sa BDD ...mais si la synchro devient nécessaire, vise plutôt Bitwarden dont c'est l'axe principal.

PS : si d'autres membres ont des suggestions ils sont les bienvenus.