IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

LastPass, le gestionnaire de mots de passe, confirme que les pirates ont eu un accès interne à son système


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    février 2017
    Messages
    1 484
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 1 484
    Points : 43 719
    Points
    43 719
    Par défaut LastPass, le gestionnaire de mots de passe, confirme que les pirates ont eu un accès interne à son système
    Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source
    Et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

    Le code source de LastPass et des informations techniques propriétaires de l’entreprise ont été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes – vient d'annoncer que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Le tableau relance le débat sur la comparaison entre les gestionnaires de mots de passe.

    « A tous les clients de LastPass,

    Je souhaite vous informer d'un développement que nous estimons important de partager avec la communauté des entreprises et des consommateurs de LastPass.

    Il y a deux semaines, nous avons détecté une activité inhabituelle dans certaines parties de l'environnement de développement de LastPass. Après avoir lancé une enquête immédiate, nous n'avons vu aucune preuve que cet incident impliquait un accès à des données clients ou à des coffres de mots de passe cryptés.

    Nous avons déterminé qu'une partie non autorisée a eu accès à certaines parties de l'environnement de développement de LastPass par le biais d'un seul compte de développeur compromis et a pris des parties du code source et certaines informations techniques exclusives de LastPass. Nos produits et services fonctionnent normalement.

    En réponse à l'incident, nous avons déployé des mesures de confinement et d'atténuation, et fait appel à une société de cybersécurité et d'expertise judiciaire de premier plan. Bien que notre enquête soit en cours, nous avons atteint un état de confinement, mis en œuvre des mesures de sécurité renforcées supplémentaires, et ne voyons aucune autre preuve d'activité non autorisée.

    Sur la base de ce que nous avons appris et mis en œuvre, nous évaluons d'autres techniques d'atténuation pour renforcer notre environnement. Nous avons inclus ci-dessous une brève FAQ de ce que nous pensons être les questions et préoccupations initiales les plus pressantes de votre part. Nous continuerons à vous informer avec la transparence que vous méritez.

    Nous vous remercions de votre patience, de votre compréhension et de votre soutien », a précisé le CEO de LastPass dans l’essentiel de la communication relative à la gestion de l’incident.

    Ainsi donc LastPass ne fournit pas de détails supplémentaires concernant l'attaque, la manière dont les acteurs de la menace ont compromis le compte du développeur et le code source qui a été volé.

    Nom : 1.png
Affichages : 4310
Taille : 143,5 Ko

    Que LastPass soit victime de piratage n’est pas une nouveauté. En 2015, l’éditeur a annoncé une compromission de son réseau : « Nous souhaitons informer notre communauté que notre équipe a détecté et bloqué immédiatement une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données chiffrées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage, et le hachage d’authentification ont été compromis. » L’annonce n’avait pas manqué de relancer le débat sur la comparaison entre les gestionnaires de mots de passe.

    Sur la base des examens de tiers et les avis d'experts en sécurité, il est possible d’établir la plus large sélection possible de gestionnaires de mots de passe établis. Ainsi, la liste comporte des gestionnaires de mots de passe commerciaux offrant des versions gratuites, généralement avec quelques limitations et une option de mise à niveau vers un abonnement payant pour des fonctionnalités supplémentaires. Elle comporte aussi des produits commerciaux qui offrent des essais gratuits, mais qui nécessitent ensuite un abonnement payant, dont certains sont spécifiquement conçus pour être utilisés par des équipes. Pour finir, certaines, mais pas toutes, offrent des options familiales.

    Les options gratuites avec des mises à jour payantes

    LastPass

    LastPass est un gestionnaire de mots de passe populaire qui fait partie de la famille LogMeIn depuis 2015. LogMeIn est une entreprise américaine de services informatiques créée en 2003. Last offre une version gratuite et une version payante. La version gratuite offre un ensemble de fonctionnalités robustes et prend en charge un nombre illimité d'appareils par utilisateur. Les produits personnels et professionnels de la société fonctionnent sur toutes les principales plateformes et tous les navigateurs de bureau et mobiles. Le service est uniquement basé sur le cloud.

    De cette manière, les fichiers sont stockés sur les serveurs de l'entreprise et synchronisés avec les appareils locaux. La version Premium, qui est à 36*$ par an, donne droit à quelques fonctionnalités supplémentaires, telles que des options avancées d'authentification multifactorielle, un stockage de fichiers chiffrés de 1 Go et la possibilité de désigner un contact de confiance pour un accès d'urgence. Le plan familial, qui couvre jusqu'à six utilisateurs, coûte 48 dollars par an et comprend un tableau de bord. Les plans d'entreprise commencent à 48 dollars par utilisateur et par an.

    RoboForm Free/RoboForm Everywhere

    RoboForm est un gestionnaire de mots de passe lancé en 2000. La version gratuite prend en charge un nombre illimité de connexions et dispose de clients pour Windows, MacOS, Android et iOS, et pour tous les principaux navigateurs. Elle stocke en local sa base de données d'identification, ce qui signifie que vous êtes responsable de la sauvegarde de ces données et de leur synchronisation manuelle entre les appareils. RoboForm Everywhere quant à lui est un service d'abonnement à 24 dollars par an qui ajoute des fonctionnalités, telles que la sauvegarde dans le nuage, la synchronisation et l’authentification à deux facteurs.

    Il dispose d’une option Famille à 48 dollars par an. Elle couvre jusqu'à cinq utilisateurs, et les plans d'entreprise coûtent 35 dollars par utilisateur et par an. Des réductions sont disponibles pour les achats pluriannuels.

    Dashlane

    Dashlane n'a pas la longévité de ses principaux rivaux, mais il existe depuis assez longtemps pour gagner une réputation de facilité d'utilisation. Les applications sont disponibles pour PC, Mac, Android, iOS et Windows. Si votre base de données de mots de passe comprend moins de 50 entrées et que vous ne devez utiliser le logiciel que sur un seul appareil, vous pouvez vous en sortir avec la version gratuite, qui prend également en charge l'authentification à deux facteurs. Dashlane ne propose pas d’option pour famille, mais il permet le partage des mots de passe entre les comptes.

    La version Premium est à 60 dollars par an. Elle supprime les limites sur le nombre de mots de passe enregistrés et d'appareils synchronisés et inclut une option VPN. En outre, l'offre Premium Plus à 120 dollars par an ajoute une assurance contre le vol d'identité et une surveillance du crédit. Enfin, les versions d'entreprise comprennent les mêmes fonctionnalités que la version Premium, à 48 dollars par utilisateur et par an, avec des options de provisionnement et de déploiement ainsi que la possibilité de séparer les informations d'identification professionnelles et personnelles.

    Les gestionnaires fournissant des services payants

    1Password

    Bien que ce produit ait gagné sa réputation sur les appareils Mac et iOS d'Apple, il a aussi été adopté par Windows, Android, Linux et Chrome OS. Il a une extension de navigateur, 1Password X, qui remplit les informations d'identification, suggère des mots de passe et fournit une authentification à deux facteurs dans Chrome, Firefox et Microsoft Edge. Après un premier essai gratuit de 30 jours, vous êtes invité à souscrire à un abonnement qui coûte 36 dollars par an. En outre, il propose un abonnement familial de cinq utilisateurs qui coûte 60 dollars par an.

    1Password fonctionne mieux si ses fichiers de données sont synchronisés à partir des serveurs de 1Password, mais vous avez également la possibilité d'enregistrer les mots de passe localement et de synchroniser le fichier de données avec votre propre réseau ou un compte Dropbox ou iCloud. Les comptes professionnels 1Password ajoutent un contrôle d'accès avancé et des journaux d'activité et des politiques de sécurité gérées de manière centralisée. Ils coûtent 96*$ par utilisateur et par an, avec un stockage de 5 pour les fichiers et un compte familial gratuit lié pour chaque utilisateur.

    Keeper

    Keeper est arrivé sur le marché en 2011. Il propose grand assortiment de produits, avec des offres distinctes pour l'usage personnel et familial, les entreprises, les clients professionnels et les fournisseurs de services gérés. Les forfaits personnels commencent à 30 dollars par an pour Keeper Unlimited, qui permet de stocker un nombre illimité de mots de passe et de les synchroniser sur un nombre illimité d'appareils. Un forfait de 60*$ par an ajoute la fonction de messagerie cryptée KeeperChat, le stockage sécurisé de fichiers et un service de surveillance des brèches.

    Ce dernier analyse les mots de passe enregistrés pour trouver ceux qui sont connus pour être compromis. La version familiale de chaque forfait double le coût et prend en charge jusqu'à cinq utilisateurs. Keeper stocke les fichiers de données synchronisées sur le cloud Amazon Web Services. Les forfaits étudiants sont à moitié prix.

    Hypervault

    Hypervault est arrivé sur le marché fin 2018, et été conçu à l'origine pour un usage interne par ses développeurs. La version 2, lancée en avril 2019, tient certaines des promesses de la société pour un gestionnaire de mots de passe axé sur les besoins des équipes. La version 2 s’accompagne d’une interface utilisateur remaniée ainsi que des autorisations de groupe et une structure basée sur les droits pour les membres de l'équipe. L’abonnement commence à 2,50 dollars par utilisateur et par mois, avec des réductions à partir des seuils de 10 et 50 utilisateurs et des réductions supplémentaires pour les achats annuels.

    La société dispose d'un journal des modifications et d'une feuille de route bien documentés, et une version autohébergée est “à venir”.

    Les gestionnaires de mots de passe open source

    KeePass Password Safe

    Si vous avez la phobie du cloud ou si vous insistez sur les logiciels à source ouverte, c'est votre choix. KeePass fonctionne sur toutes les plateformes de bureau et mobiles, y compris la plupart des distributions Linux, et il est gratuit. Les fichiers sont stockés localement, et vous voudrez maîtriser ses arcanes de raccourcis clavier pour remplir automatiquement les mots de passe. L'intégration au navigateur est possible grâce à des plugins tiers. En outre, KeePass Password Safe offre également la possibilité de l’utiliser sur un grand nombre d’appareils.

    Dans ce cas, le moteur de synchronisation intégré du programme met à jour automatiquement la base de données des mots de passe, quel que soit l'emplacement de stockage en nuage que vous indiquez.

    Bitwarden

    Le code source de Bitwarden est hébergé sur GitHub, avec des dépôts séparés pour les projets de bureau, de serveur, de Web, de navigateur, de mobile et de ligne de commande. Il dispose de toutes les fonctionnalités des listes de contrôle des gestionnaires de mots de passe personnels commerciaux, y compris la synchronisation sécurisée dans le nuage. Si vous n'êtes pas à l'aise avec le stockage de vos mots de passe dans le nuage Bitwarden, vous pouvez héberger l'infrastructure sur votre propre serveur, en utilisant Docker.

    Passbolt

    Les développeurs de Passbolt l’ont conçu pour les équipes et DevOps, en utilisant des normes de sécurité modernes à source ouverte et des outils familiers, dont le lanceur d’applications conteneurisées Docker. La version communautaire autohébergée fonctionne sur votre propre serveur et est spécifiquement destinée aux équipes agiles qui s'éloignent de solutions comme KeePass et LastPass. Il a une version commerciale payante avec la prise en charge de l'authentification multifactorielle.

    L’abonnement commence à 10 euros par mois pour cinq utilisateurs, avec des réductions pour un paiement annuel.

    Password Safe

    Password Safe a été conçu par l’expert en sécurité Bruce Schneier. Sur le bureau, il s'agit d'un produit exclusivement Windows, bien que des clones soient disponibles pour les appareils macOS, Android et iOS. Les bases de données sont sauvegardées localement et les fonctions de synchronisation ne sont pas intégrées. Bien que Password Safe ait une base de fans fidèles, il ne plaira probablement pas à ceux qui veulent les capacités de polissage et de synchronisation d'une application plus moderne.

    Et vous ?

    Utilisez-vous un gestionnaire de mots de passe ? Comment le comparez vous à l'offre concurrente ? Quels sont les critères qui vous ont amené à opter pour ce dernier plutôt que sur ceux d'autres éditeurs ?
    Partagez vous l'avis selon lequel les développements en cours sont l'illustration de ce que l'ère des mots de passe est dépassée ?

    Voir aussi :

    KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe

    La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport

    Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur

    Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?

    Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé

    Homme Profil pro
    Retraite
    Inscrit en
    octobre 2005
    Messages
    443
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 70
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Retraite
    Secteur : Industrie

    Informations forums :
    Inscription : octobre 2005
    Messages : 443
    Points : 1 144
    Points
    1 144
    Billets dans le blog
    1
    Par défaut
    j'ai longtemps testé… et pour le meilleur KeePassXC , il est sur votre pc et très simple d'utilisation.

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    mars 2006
    Messages
    1 377
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2006
    Messages : 1 377
    Points : 3 316
    Points
    3 316
    Par défaut
    le mieux est de ce faire le sien, un que des pirates ne pourront pas retrouner dans tous les sens car ils ne l'auront pas

  4. #4
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2017
    Messages
    1 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2017
    Messages : 1 261
    Points : 4 494
    Points
    4 494
    Par défaut
    Qui est étonné par cette news?

    Quand on veut éviter le piratage, il y 2 règles simples:

    1. Ne pas utiliser un service "online" qui stocke vos données (fussent-elles cryptées) dans le cloud à la disposition de tous les hackers du monde

    2. Ne pas utiliser un produits ou services utilisés par des millions d'utilisateurs: Un hacker ne va pas se fatiguer à violer un système utilisé par seulement une centaine de guignols!


    Dans notre entreprise, nous avons résolu très simplement le problème: Tous nos échanges sont cryptées à l'aide d'un logiciel fait "maison" et notre "LastPass" provient de la même origine...

  5. #5
    Membre régulier Avatar de dragonofmercy
    Homme Profil pro
    Développeur Web
    Inscrit en
    mars 2019
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : mars 2019
    Messages : 15
    Points : 82
    Points
    82
    Par défaut
    C'est dommage, il manque enpass dans la liste, qui ne demande pas de compte en ligne et qui stocke son contenu uniquement en local

  6. #6
    Membre à l'essai
    Inscrit en
    juillet 2009
    Messages
    7
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 7
    Points : 17
    Points
    17
    Par défaut
    Le top est un gestionnaire hardware où les données sont stockées chez soi, pas en ligne !
    Je ne jure plus que par Hoplite Key Manager depuis que je l'utilise.

  7. #7
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2019
    Messages
    1 021
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : mai 2019
    Messages : 1 021
    Points : 20 708
    Points
    20 708
    Par défaut LastPass, le gestionnaire de mots de passe, affirme que les pirates ont eu un accès interne à son système
    LastPass, le gestionnaire de mots de passe, affirme que les pirates ont eu un accès interne à son système,
    pendant quatre jours

    Le 22 août, nous avons révélé que le code source de LastPass, le gestionnaire de mots de passe, et des informations techniques propriétaires de l’entreprise avaient été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes avait annoncé que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Aujoued'hui, LastPass affirme que les pirates ont eu un accès interne à son système pendant quatre jours. « Le 25 août 2022, nous vous avons informé d'un incident de sécurité limité à l'environnement de développement de LastPass, au cours duquel certains de nos codes sources et informations techniques ont été dérobés. Je tenais à vous informer de la conclusion de notre enquête afin d'assurer la transparence et la tranquillité d'esprit de nos communautés de consommateurs et d'entreprises », déclare Karim Toubba, CEO de LastPass.[/B]

    LastPass est un gestionnaire de mots de passe freemium qui stocke des mots de passe chiffrés en ligne. La version standard de LastPass est fournie avec une interface web, mais comprend également des plugins pour divers navigateurs web et des applications pour de nombreux smartphones. Elle prend également en charge les bookmarklets LogMeIn.

    Nom : LastPassB.png
Affichages : 20052
Taille : 218,8 Ko

    Le contenu d'un utilisateur dans LastPass, y compris les mots de passe et les notes sécurisées, est protégé par un seul mot de passe principal. Le contenu est synchronisé avec tout appareil sur lequel l'utilisateur utilise le logiciel LastPass ou des extensions d'applications. Les informations sont chiffrées avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilité d'augmenter la valeur des itérations du mot de passe. Le chiffrement et le déchiffrement ont lieu au niveau de l'appareil.

    LastPass dispose d'un remplisseur de formulaires qui automatise la saisie de mots de passe et le remplissage de formulaires, et prend en charge la génération de mots de passe, le partage et la journalisation de sites, ainsi que l'authentification à deux facteurs. LastPass prend en charge l'authentification à deux facteurs via diverses méthodes, notamment l'application LastPass Authenticator pour les téléphones mobiles, ainsi que d'autres méthodes comme YubiKey.

    LastPass est disponible sous forme d'extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont également disponibles pour les smartphones fonctionnant sous les systèmes d'exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalité hors ligne. Notez que LastPass désactive le paramètre du navigateur Google Chrome permettant à l'utilisateur d'enregistrer automatiquement ses mots de passe dans le navigateur.

    « Nous avons terminé l'enquête et le processus d’incvestigation en partenariat avec Mandiant. Notre enquête a révélé que l'activité de l'acteur de la menace s'est limitée à une période de quatre jours en août 2022. Pendant cette période, l'équipe de sécurité de LastPass a détecté l'activité des cybercriminels et a ensuite contenu l'incident », déclare l’entreprise.

    Il n'y aurait aucune preuve d'une quelconque activité de l'acteur de la menace au-delà de la période établie. « Nous pouvons également confirmer qu'il n'y a aucune preuve que cet incident ait impliqué un accès aux données des clients ou aux coffres de mots de passe chiffrés. »   

    L’enquête de LastPassa déterminé que les cybercriminels ont accédé à l'environnement de développement en utilisant le terminal compromis d'un développeur. Bien que la méthode utilisée pour la compromission initiale du point de terminaison ne soit pas concluante, les cybercriminels ont utilisé son accès persistant pour se faire passer pour le développeur après que celui-ci se soit authentifié avec succès à l'aide de l'authentification multifactorielle.

    Bien que les cybercriminels ont aient pu accéder à l'environnement de développement, la conception et les contrôles de notre système ont empêché l'acteur menaçant d'accéder aux données des clients ou aux coffres-forts de mots de passe chiffrés.

    Tout d'abord, l'environnement de développement de LastPass est physiquement séparé de notre environnement de production et n'a aucune connectivité directe avec celui-ci. Deuxièmement, l'environnement de développement ne contient aucune donnée client ou coffre-fort chiffré. Troisièmement, LastPass n'a pas accès aux mots de passe principaux des coffres-forts de ses clients - sans le mot de passe principal, il n'est pas possible pour quiconque autre que le propriétaire d'un coffre-fort de déchiffer les données du coffre-fort dans le cadre de notre modèle de sécurité « Zero Knowledge ». 

    Afin de valider l'intégrité du code, LastPass dit avoir effectué une analyse de son code source et de ses constructions de production et confirme qu’elle ne voit aucune preuve de tentatives de compromission du code ou d'injection de code malveillant. Les développeurs n'ont pas la possibilité de pousser le code source de l'environnement de développement vers la production. Cette capacité est limitée à une équipe séparée de Build Release et ne peut se produire qu'après l'achèvement de processus rigoureux de révision, de test et de validation du code.

    Dans le cadre de son programme de gestion des risques, elle a également établi un partenariat avec une société de cybersécurité de premier plan afin d'améliorer ses pratiques existantes en matière de sécurité du code source, qui comprennent des processus de cycle de vie de développement de logiciels sécurisés, la modélisation des menaces, la gestion des vulnérabilités et des programmes de primes aux bogues.

    Source : LastPass

    Et vous ?

    Selon vous, LastPass vaut-il le coup ? Protège-t-il vraiment vos mots de passe ?

    Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?

    Voir aussi :

    Des versions trojanisées de l'utilitaire PuTTY sont utilisées pour propager des backdoors, par des cybercriminels ayant des liens avec des pirates soutenus par le gouvernement nord-coréen

    Les lacunes en matière de sécurité du cloud exposent les actifs critiques de l'entreprise en seulement trois coups, selon un rapport d'Orca Security

    Uber : un cadre accusé d'avoir déguisé une extorsion de données en « prime de bug », en signant des accords de non-divulgation pour recevoir 100 000 dollars en bitcoins

    Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source et relancent le débat sur la comparaison entre les gestionnaires de mots de passe
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  8. #8
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2017
    Messages
    1 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2017
    Messages : 1 261
    Points : 4 494
    Points
    4 494
    Par défaut
    Utiliser un service en ligne pour y stocker ses mots-de-passe est par définition une idiotie...


    C'est comme si un banquier regroupait toutes les clés des coffres-forts que sa banque met à disposition de sa clientèle fortuné au milieu d'une place publique dans une jolie cassette munie d'un cadenas avec une pancarte "Ici sont réunies l'ensemble des clés des coffres-forts de la banque Cresus&co. Prière de ne pas toucher"

  9. #9
    Membre à l'essai
    Inscrit en
    juillet 2009
    Messages
    7
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 7
    Points : 17
    Points
    17
    Par défaut
    Utiliser un service en ligne pour y stocker ses mots-de-passe est par définition une idiotie...
    C'est clair, s'il y a bien un type de données à ne confier à personne, c'est les mots de passe !

  10. #10
    Membre chevronné Avatar de onilink_
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    523
    Détails du profil
    Informations personnelles :
    Âge : 30
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 523
    Points : 2 161
    Points
    2 161
    Par défaut
    Moi qui pensais que les gestionnaires de password c'était forcement chiffré et en local...
    Comme quoi on en apprend tous les jours
    Circuits intégrés mis à nu: https://twitter.com/TICS_Game

  11. #11
    Membre éclairé
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    décembre 2021
    Messages
    448
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Consultant en Business Intelligence

    Informations forums :
    Inscription : décembre 2021
    Messages : 448
    Points : 737
    Points
    737
    Par défaut
    Bonsoir

    LastPass, le gestionnaire de mots de passe, affirme que les pirates ont eu un accès interne à son système, pendant quatre jours

    Selon vous, LastPass vaut-il le coup ?
    Non pas du tout !

    Protège-t-il vraiment vos mots de passe ?
    Absoluement pas ! D'ailleurs en chinant dans les archives du forum , LastPass est le gestionnaire de mot de pass qui a eu droit à 2 piratages 2015 et 2018 de mémoires. Donc services à proscrire !

    Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?
    Contre .

  12. #12
    Membre éclairé
    Homme Profil pro
    CAO/DAO/Ingénierie Electrotechnique/Administrateur Système et Cloud
    Inscrit en
    décembre 2014
    Messages
    373
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : CAO/DAO/Ingénierie Electrotechnique/Administrateur Système et Cloud

    Informations forums :
    Inscription : décembre 2014
    Messages : 373
    Points : 817
    Points
    817
    Par défaut
    Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé. Ce jour là j'ai développé en c# ma propre appli, je comptais d'ailleurs la mettre à dispo gratuitement, simplement je voulais savoir avant sur les licences si j'avais droit (pour une fois) à proposer de me faire des dons (pas des gros trucs mais histoire de pouvoir moins m'inquiéter de mon activité "pro", vu qu'une maladie me clouait dans un fauteuil).

  13. #13
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    janvier 2014
    Messages
    1 238
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 238
    Points : 3 305
    Points
    3 305
    Par défaut
    Selon vous, LastPass vaut-il le coup ? Protège-t-il vraiment vos mots de passe ?
    Non il n'en vaut pas le coup :
    1) c'est une solution propriétaire, c'est donc accorder une confiance inutile à certains maillons de la chaîne de sécurité pour seule raison de profiter au business de l'entreprise qui l'emploi
    2) Il les protège, oui, mais pas suffisemment, surtout en regard d'autres solution déjà existante sur le marché (ex : Bitwarden, ou mieuxBitwarden hébergé dans un docker local, ou encore mieux Keepass Password Safe (aka Keepass) hébergé en local et synchronisé)


    Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?
    Je suis contre "la non utilisation d'un gestionnaire de mot de passe de manière générique".
    Pour gérer ET protéger ses mots de passe, un gestionnaire est nécessaire. Mais cela n'implique pas de tous les placer au même endroit.
    >> à chaque problématique sa solution adaptée.

    Certains secrets on une nécessité absolue de secret, il ne doivent alors n'exister que dans la tête. D'autres ont un besoin fort de verrouiller son accès, suivant où se situent les risques, ils doivent être stockés soit sur papier, soit sur un machine locale, soit sur une machine distante. Et pour couronner le tout, chaque mot de passe est plus sensible à tel ou tel stockage, puisque exposant un contexte d'utilisation différent (le digicode de l'alarme, le compte bancaire en ligne, ou le compte du forum, présentent tous des emplois différents ...et donc des risque différents sur un même stockage).

    La problématique va au-delà de simplement "dois-je utiliser un gestionnaire".
    Il faudrait analyser les points suivants :
    - un gestionnaire se doit-il d'être fiable (limiter les erreurs) ou pratique ...ou les 2 à la fois ?
    - quelles fonctionnalités sont nécessaires pour la gestion des mots de passe, de manière fiable et/ou pratique ?
    - solution propriétaire ou 100% sous licence libre ? ...quelle licence ?
    - solution locale ou en ligne ? (licence adapté ? > ex: AGPL et non GPL pour un service en ligne délivré par un tiers)
    - service via prestataire ou auto-hébergé ?
    - tous les accès centralisés sur une seule solution ou répartis en fonction de la surface d'attaque et du contexte d'usage de l'accès ?

    Citation Envoyé par daerlnaxe Voir le message
    Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé.
    C'est une problématique qui existe sur tout support de stockage, que ce soit sur papier ou numérique, et hypothétiquement dans ton cerveau également.
    Citation Envoyé par daerlnaxe Voir le message
    Ce jour là j'ai développé en c# ma propre appli, je comptais d'ailleurs la mettre à dispo gratuitement (...)
    Tu n'as pas cherché à forker un projet sous licence libre ? est-ce une démarche pour prototyper, ou bien une réelle envie d'offrir à d'autre un outil que tu ne trouves nulle part ?
    Citation Envoyé par daerlnaxe Voir le message
    (...) je voulais savoir avant sur les licences si j'avais droit (pour une fois) à proposer de me faire des dons (pas des gros trucs mais histoire de pouvoir moins m'inquiéter de mon activité "pro", vu qu'une maladie me clouait dans un fauteuil).
    A ma connaissance presque toutes les licences libres acceptent le don (je ne connais aucune exception), ce qui est moins général, c'est l'autorisation de pouvoir restreindre la diffusion du produit contre transaction financière.
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  14. #14
    Membre éclairé
    Homme Profil pro
    CAO/DAO/Ingénierie Electrotechnique/Administrateur Système et Cloud
    Inscrit en
    décembre 2014
    Messages
    373
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : CAO/DAO/Ingénierie Electrotechnique/Administrateur Système et Cloud

    Informations forums :
    Inscription : décembre 2014
    Messages : 373
    Points : 817
    Points
    817
    Par défaut
    Je t'ai liké car je partage pas mal de tes points de vue. Déjà pour ma part le côté online m'a amené rapidement à me poser des questions, absence de contrôle sur ce que je stockais... en terme de probabilités les vulnérabilités étaient plus importantes qu'en local même si on peut se dire que des gens plus compétents etc... plus de monde, plus de moyens. C'est un peu comme un cursus en fait à régler pour définir au final car à mon sens c'est du 50/50 en réalité. Je vais donner le pire cas possible, duchmol a sous son bureau son mot de passe (chez lui j'entends) les probabilités déjà que quelqu'un s'intéresse à son ordinateur sont minces. Ca serait uniquement dans le cadre familial et à ce compte là niveau confiance on peut aller loin, c'est sûr qu'on en a vu de belles mais quand même. Donc là dès qu'on a l'aspect online il faut du code, une infra ,et même des employés aussi, qui soient fiables et robustes (moins pour les employés, quoique la torture...).

    "C'est une problématique qui existe sur tout support de stockage" Totalement d'accord, maintenant l'avantage c'est qu'ayant développé en mode parano en fait tu ne sais même pas où ni comment je stocke du coup, je suis sûr qu'en plus de ça c'est crypté. Tu peux très bien planquer du code dans une vulgaire image, et là noyé dans des milliers de fichiers .. par dessus en prime si tu cryptes etc etc... pareil pour la mémoire aussi bien faire attention de pas se prendre un exploit dans la tronche. Mais ceci dit quand même il fallait donc que quelqu'un s'intéresse à mon propre pc, alors que là avec lastpass en cas d'attaque on va prendre un pack de comptes et c'est freestyle derrière. En fait ça a débuté avec FB, mon compte s'est fait chopper, à l'époque j'avais un mot de passe fort mais qui était répliqué sur plusieurs sites, j'ai eu de la chance de rapidement réagir et rien ne s'est passé. De là forcément un site = un compte et là ça devient un peu compliqué de mémoriser... D'ailleurs on a eu une discussion intéressante il y a peu sur les MFA et les méthodes à venir avec un formateur, dont un article sur site qui expliquait les projets de MS,Apple etc pour que les mdp disparaissent.

    "est ce une démarche..." c'est vraiment que je ne trouvais pas mon bonheur ailleurs en effet, j'ai vu des points que je voulais gérer autrement ou améliorer. C'est vrai que j'aurais pu proposer ça mais je n'avais pas envie de me casser la tête à devoir parler avec des humains, j'ai développé alors que j'étais cloué à cause d'une maladie, je ne savais pas comment certains allaient entendre ce que j'avais à dire, les égos etc etc... Pour moi c'était plus simple à mettre en oeuvre que de me lancer dans des discussions (que j'imaginais) interminables.

    "acceptent le don", c'est ce qu'un autre formateur m'a bien expliqué il y a peu, il a d'ailleurs bossé sur le kernel de Mandriva, un passionné de licence libre (j'ai eu beaucoup de chance de le rencontrer). J'ai du mal à comprendre les licences, c'est des pavés à lire, c'est pour ça que j'ai voulu que quelqu'un spécialisé en droit (mais pas de ce droit là ) regarde pour moi. A l'occasion il va falloir que je m'occupe du coup de faire le nécessaire, je sais par contre que je vais vouloir améliorer l'interface avant le lancement donc je veux avoir du temps. C'est déjà très moderne, mais y'a toujours un truc que je veux rajouter ^^. Et là j'ai ma 104 Azure à passer, peut être une AWS, trouver un job, changer totalement mon infra réseaux à la maison, acheter un nouveau pc, acheter de vieilles machines pour du rétrogaming, faire un package avec un retroarch lançant qemu[lançant directement windows 98] (et si possible gestion de la 3dfx, faut que je vois si ça a bougé cet été j'étais sur un proof of work). C'est pour ça que je me requalifie d'ailleurs car au moins je vais pouvoir rester dans l'environnement, en mettant de côté l'électrotechnique ça va me permettre de dégager plus de temps pour le reste.

    Merci de ta réponse !

  15. #15
    Membre éprouvé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    493
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 493
    Points : 1 226
    Points
    1 226
    Par défaut
    LastPass ==> FirstFail

  16. #16
    Membre éclairé
    Homme Profil pro
    Développeur Web
    Inscrit en
    janvier 2016
    Messages
    164
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : janvier 2016
    Messages : 164
    Points : 666
    Points
    666
    Par défaut
    LastPass n'utilise pas de clés de chiffrement qui nécessite le mot de passe pour fonctionner ?

  17. #17
    Membre du Club
    Homme Profil pro
    Ergonome
    Inscrit en
    novembre 2019
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Ergonome

    Informations forums :
    Inscription : novembre 2019
    Messages : 15
    Points : 50
    Points
    50
    Par défaut Utiliser LastPass est peut-être idiot, mais moi je ne sais pas quoi faire d'autre sans migraine
    Je vais réagir à l'inverse de la quasi totalité des commentaires :
    Je veux bien entendre que l'utilisation d'un gestionnaire de mots de passe en ligne est une idiotie, mais personnellement je n'ai pas trouvé mieux pour gérer une bonne centaine de mots de passe et les partager avec une épouse non technophile qui n'accepte que des trucs hyper simples.
    Note monde aujourd'hui est fou avec des dizaines et des dizaines de mots de passe à définir, forts (et donc difficiles à mémoriser), qu'il faut changer souvent.
    Bref, moi je vous le dis honnêtement : ma vie ne se déroule pas exclusivement derrière un ordinateur, loin s'en faut, et je ne sais pas comment faire, sans migraine ni crise de nerfs.
    J'ose le dire, parmi ce concert de critiques à propos de LastPass, parce que je suis convaincu que ce que je raconte c'est ce que vivent beaucoup, beaucoup de personnes individuelles, et de familles (avec partage des données sensibles).
    Alors, si vous avez des idées constructives et réalistes (c'est-à-dire très simples à mettre en œuvre, sinon je sais déjà que ça ne marchera pas) eh bien n'hésitez pas à nous les partager...

  18. #18
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    janvier 2014
    Messages
    1 238
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 238
    Points : 3 305
    Points
    3 305
    Par défaut
    Utiliser un gestionnaire en ligne, est une idiotie dans quelques cas de figure uniquement. Pour exemple récent dans les récentes actualité, être un administrateur d'entreprise du CAC40 et centraliser les accès les plus sensibles sur des solutions propriétaires en ligne. ^^'

    Le plus important n'est pas que le gestionnaire soit accessible par internet ou non, c'est de confier tes mots de passe à un tiers ou non.
    Et c'est sur ce dernier point que l'idiotie est la plus grosse.

    La simplicité telle que le propose Bitwarden permet de l'utiliser facilement avec peu de fonctionnalités à appréhender (en version gratuite en ligne, géré par le fournisseur de service).
    Mais la simplicité présente également des inconvénients notoires : impossible de trier ses dossiers sur une arborescence à niveaux, tout est regroupé sur la racine. ^^'

    Keepass, lui, est un peu plus complexe, mais à l'usage on peu ce limiter au minimum, il présente alors une légère surcharge de boutons. mais le classement de ses mots de passe est bien plus naturel. En plus il est possible de personnaliser les icônes représentant les dossiers pour y distinguer des informations en survolant l'arborescence.

    Le concert de critiques pour LastPass à lieu par ce qu'il présente de nombreux défauts, pour certains très importants ...surtout en regard à d'autres produits sur le marché.
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  19. #19
    Membre du Club
    Homme Profil pro
    Ergonome
    Inscrit en
    novembre 2019
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Ergonome

    Informations forums :
    Inscription : novembre 2019
    Messages : 15
    Points : 50
    Points
    50
    Par défaut Bitwarden et Keepass : partage des données ?
    Merci @steinvikel pour ta réponse très constructive.
    J'ai regardé avec attention les deux logiciels que tu cites, et je ne suis pas sûr de bien comprendre les conséquences de l'adoption de l'un d'eux :

    > Je n'avais jamais entendu parler de Bitwarden, et un point très intéressant à mon sens est qu'il dit explicitement qu'on peut partager ses infos sur deux comptes (mon épouse et moi par exemple).
    En revanche, je ne vois aucune interface en français, ce qui ne manquera pas de rebuter Madame, très francophile...

    > Pour Keepass, j'en avais entendu parler, ça a l'air pas mal du tout SAUF... que j'ai toujours compris que les données de sécurité étaient cryptées sur l'ordi et que donc :
    - si l'ordi crashe, il se passe quoi ? (ce n'est pas de la théorie, ça m'est arrivé il y a 2 mois et Lastpass m'a bien sauvé la mise pour les mots de passe)
    - comment partager automatiquement nos données sensibles, Madame et moi ? (ne comptez pas sur Madame pour faire quoi que ce soit, elle est presque technophobe). Je ne vois rien qui laisse entendre que c'est possible. Et ça c'est bloquant pour moi et sûrement pour beaucoup de couples qui partagent leurs données.

    JBR

Discussions similaires

  1. Peut-on "voler" le code source des sites web (html/css, javascript, etc)
    Par WaterBottle dans le forum Général Conception Web
    Réponses: 6
    Dernier message: 21/11/2021, 21h45
  2. Réponses: 11
    Dernier message: 25/09/2017, 23h07
  3. [MeeGo] L'OS mobile open-source MeeGo ouvre son code source aux développeurs
    Par Gordon Fowler dans le forum Applications mobiles
    Réponses: 24
    Dernier message: 19/04/2011, 19h40
  4. Réponses: 5
    Dernier message: 15/04/2011, 11h14
  5. Réponses: 0
    Dernier message: 14/04/2011, 11h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo