Les mots de passe sont l'une des protections principales pour nos comptes sur le web. Si l'on a encore tendance à négliger les bonnes recommandations lors de leur création, il est pourtant essentiel d'utiliser des sésames forts et uniques pour protéger nos informations personnelles. Utiliser un gestionnaire de mots de passe peut s'avérer très utile : il nous aide à créer, gérer et remplir automatiquement tous nos mots de passe, et nous permet ainsi de respecter les recommandations en matière de sécurité en ligne.
Il existe de nombreux gestionnaires qui ont fait leurs preuves durant des années. Mais, malheureusement, certains ont connu un destin plus funeste, avec une sécurité discutable qui a mis les informations de leurs clients en danger. Si Bitwarden est dans la première catégorie, le gestionnaire étant considéré comme l'un des meilleurs actuellement, LastPass est plutôt dans la seconde, après des attaques en ligne répétées en 2022 qui ont fait souffrir l'image de l'entreprise. En 2023, pendant que Bitwarden s'occupait d'améliorer la prise en charge des clés d'accès pour ses utilisateurs mais également pour les développeurs avec son acquisition de Passwordless.dev, LastPass continuait à communiquer sur les conséquences de l'incident de sécurité dont il avait été victime.
Bitwarden VS LastPass : des services bien différents
Présentation de Bitwarden
Créé en 2016 comme une alternative open source aux gestionnaires de mots de passe payants et propriétaires, Bitwarden s'est rapidement imposé comme l'un des meilleurs logiciels pour la gestion d'identifiants. Disponible sur l'ensemble des plateformes populaires, aujourd'hui, le gestionnaire se démarque par sa transparence, par sa version gratuite très généreuse, mais également par la possibilité d'héberger soi-même la solution, sans avoir à utiliser le cloud proposé par Bitwarden.
Présentation de LastPass
Longtemps considéré comme l'un des meilleurs gestionnaires de mots de passe, LastPass est désormais tombé de son piédestal. La faute à des attaques informatiques à répétition, dont la plus récente en 2022 a permis aux pirates de récupérer des informations en clair, ainsi que des coffres-forts de mots de passe chiffrés. LastPass a également souffert d'un changement de son offre gratuite en 2021, qui empêche les utilisateurs d'utiliser le gestionnaire sur plus d'un type d'appareil à la fois (ordinateur ou smartphone). Il est désormais difficile de recommander d'utiliser ce service tant la confiance des utilisateurs dans le gestionnaire a été érodée.
Bitwarden VS LastPass : des fonctionnalités de sécurité
Bitwarden vs LastPass : Chiffrement des données
Bitwarden : un chiffrement AES 256 bits
Comme tous les gestionnaires de mots de passe, Bitwarden est zero-knowledge. Cela signifie que les données sont chiffrées sur votre appareil avant d'être envoyées sur les serveurs de l'entreprise, empêchant qui que ce soit de pouvoir y accéder, même les employés qui ont accès aux serveurs. Pour son chiffrement, le service a opté pour AES-256, un choix classique que l'on retrouve très souvent chez les gestionnaires de mots de passe, mais également les autres services sécurisés. Bitwarden considère que toute information contenue dans un coffre est sensible et chiffre donc l'ensemble des données qui s'y trouvent.
LastPass : un chiffrement AES 256 bits
Là aussi, nous retrouvons une architecture zero-knowledge et un chiffrement AES-256, avec un mot de passe maître connu uniquement par l'utilisateur. Cependant, LastPass a fait deux erreurs qui ont pu conduire au déchiffrement des coffres des utilisateurs concernés par la brèche de sécurité dont il a été victime en 2022 : le minimum de 12 caractères pour le mot de passe maître n'était pas appliqué pour les comptes existants et le nombre d'itérations n'avait pas été actualisé pour tous les utilisateurs, conduisant certains comptes à avoir un nombre d'itérations très faible, mettant ainsi leurs données à risque.
Bitwarden vs LastPass : Localisation des données
Où sont stockées les données de Bitwarden ?
Bitwarden utilise Microsoft Azure pour son cloud, avec des serveurs basés aux États-Unis ou en Europe, selon ce que l'on choisit. Il est également possible de choisir d'héberger soi-même la solution.
Où sont stockées les données de LastPass ?
Par défaut, LastPass stocke les données des utilisateurs dans des centres de données situés aux États-Unis. Les utilisateurs des versions Business peuvent choisir d'autres localisations, comme le Canada, l'Europe, le Royaume-Uni, l'Australie, Singapour ou encore l'Inde à la place des États-Unis.
Bitwarden vs LastPass : Authentification à deux facteurs
Utiliser la double authentification sur Bitwarden
Bitwarden propose plusieurs méthodes de double authentification. Les comptes gratuits peuvent choisir d'utiliser leur adresse mail, une application d'authentification ou encore des identifiants FIDO2 WebAuthn. De plus, les utilisateurs qui paient un abonnement ont le choix entre Duo Security et YubiKey.
Utiliser la double authentification sur LastPass
LastPass supporte plusieurs méthodes de double authentification : applications d'authentification (dont celle de l'entreprise, LastPass Authenticator), Duo Security, Grid pour ceux qui veulent se passer de mobile... Les utilisateurs Premium ont également accès à l'authentification à deux facteurs via YubiKey ou en utilisant des données biométriques.
- mood Version gratuite limitée
- database Stockage illimité
- browse_activity Notification de fuite
- lock Chiffrement AES-256
Bitwarden est facile à utiliser, compatible avec Android et iOS et ses tarifs sont vraiment abordables. C’est aussi l’un des gestionnaires de mots de passe les plus sûrs, car son code source est accessible à tout le monde. Sa version gratuite offre les fonctionnalités de base dont vous avez besoin, y compris la possibilité de synchroniser autant de mots de passe que vous le souhaitez entre tous vos appareils, la prise en charge de l’authentification multiple (via une application ou une clé physique de type « Universal 2 Factor », YubiKey, Duo) et le partage. Dommage que sa version Premium n’intègre pas l’option « personne de confiance ».
- Politique de sécurité exemplaire
- Hébergement sur un NAS
- Offre Premium bon marché
- Synchronisation multiple
- Application de bureau basique
- Pas de chat en direct
- Pas de documentation en français
LastPass, une sécurité remise en question
Un système et une partie du code source piratés
En août 2022, LastPass a indiqué avoir été victime d'un incident de sécurité. Selon le CEO de l'entreprise, les pirates avaient réussi à "accéder à des parties de l'environnement de développement de LastPass par le biais d'un seul compte de développeur compromis". Mais à l'époque, l'entreprise assurait qu'il n'y avait pas matière à s'inquiéter : ses environnements de développement sont séparés des environnements de production et les attaquants n'avaient pas eu accès aux informations des clients ou à leurs coffres-forts chiffrés. LastPass utilisant un modèle zero-knowledge, les mots de passe maîtres des utilisateurs ne sont de toute façon pas stockés sur leurs serveurs.
Mais, en novembre 2022, l'entreprise a de nouveau alerté sur une brèche de sécurité. Cette fois, une activité suspecte dans un service de stockage cloud tiers utilisé par LastPass, mais également les autres services de la maison mère GoTo, avait été détectée. Pire, il s'est avéré que les attaquants avaient utilisé des données récupérées lors de l'incident d'août pour pouvoir réaliser cette nouvelle attaque. Cette fois, LastPass a indiqué que les pirates avaient pu accéder à certains éléments d'informations de ses clients, tout en confirmant que les mots de passe stockés étaient en sécurité grâce à l'architecture zero-knowledge de l'entreprise.
Des données utilisateurs volées
En décembre 2022, l'entreprise a apporté des précisions supplémentaires. Les attaquants ont visé un ingénieur de l'entreprise, l'un des quatre à avoir accès aux clés de déchiffrement nécessaires pour accéder aux sauvegardes de l'entreprise stockées sur le service cloud. Ainsi, les pirates ont pu récupérer de nombreuses informations, dont des données clients : les noms des entreprises, des utilisateurs, adresses mail, numéro de téléphone et adresses IP. Ils ont également obtenu une copie de la sauvegarde des données de coffres-forts des clients, qui contiennent à la fois des données chiffrées, comme les identifiants, mots de passe et notes, et non chiffrées, comme les URL des sites associés aux identifiants stockés.
Comme le mot de passe maître n'est pas stocké par LastPass, il ne leur était pas possible de récupérer l'ensemble des informations nécessaires pour déchiffrer ces coffres. Cependant, ils avaient désormais la possibilité de tenter de les ouvrir en utilisant des mots de passe révélés lors de brèches précédentes ou à l'aide d'attaques brute force. Mais, en plus de ça, en ayant accès aux URL des sites utilisés par les clients de LastPass, ils avaient également tout le nécessaire pour tenter du credential stuffing ou du phishing pour les piéger.
Des millions de dollars de crypto-monnaies déplacées
En 2023, la saga ne s'est pas arrêtée là. Les vols de crypto-monnaies se multipliaient et, contrairement à d'autres attaques du genre, il ne semblait pas y avoir d'indication que le compte mail ou le numéro de téléphone des victimes aient été compromis auparavant. Les victimes elles-mêmes étaient des personnes assez au fait des bonnes pratiques de sécurité.
À force d'enquêter sur ce phénomène étrange, les chercheurs ont bien fini par découvrir un point commun entre (quasiment) l'ensemble des victimes : à un moment, elles avaient stocké les données liées à leurs portefeuilles de crypto-monnaies sur LastPass. À partir de là, il n'était pas compliqué d'arriver à la conclusion que l'attaque sur LastPass et le vol des coffres-forts des clients avaient permis ces attaques, et que les pirates avaient réussi à casser le chiffrement de certains coffres, notamment ceux des comptes les plus anciens, qui n'ont pas forcément profité des mesures de sécurité renforcées introduites par LastPass au fil des années.
- mood Version gratuite limitée
- database Stockage illimité
- browse_activity Notification de fuite
- lock Chiffrement AES-256
- Web
LastPass est très facile à maîtriser. Tout est intuitif et bien organisé, que ce soit avec la version à installer sur ordinateur ou les applications mobiles. Comme d’autres gestionnaires en ligne, la version desktop offre plus de possibilités de réglages. Disponible gratuitement ou en version Premium (et Famille), LastPass répondra à tous vos besoins. Cependant, avec une année 2022 marquée par les problèmes de sécurité rencontrés par l'entreprise, la réputation de LastPass est désormais ternie, et il sera nécessaire pour le gestionnaire de redoubler d'efforts pour regagner la confiance des utilisateurs.
- Stockage illimité des mots de passe
- Surveillance du dark web (Premium)
- Interface
- Gestion des mots de passe des logiciels Windows
- Pas de double authentification quand on se connecte
- Pas de VPN
- Petits soucis de connexion à la version en ligne
NordPass, une alternative à Bitwarden et LastPass
Le marché des gestionnaires de mots de passe s'est bien agrandi ces dernières années. Et les alternatives à LastPass, qui a perdu son statut de service fiable, ne manquent désormais pas. Si Bitwarden est un très bon choix pour quiconque veut pouvoir protéger ses mots de passe gratuitement, son interface austère et sa prise en main peuvent en rebuter plus d'un. Pour un gestionnaire tout aussi complet, mais avec la simplicité d'utilisation en plus, NordPass est une très bonne option. Malgré sa jeunesse, le service a su s'imposer parmi les meilleurs gestionnaires de mots de passe, et possède quelques avantages sur Bitwarden…
- mood Version gratuite limitée
- database Stockage illimité
- browse_activity Notification de fuite
- lock Chiffrement XChaCha20
- Web
NordPass est un très bon gestionnaire de mots de passe sans fioritures. Il assure le service qu’on lui demande : gérer ses mots de passe et quelques données sensibles. Ce service est simple, efficace et il bénéficie d’une politique de cybersécurité plus que correcte. Cependant, il manque peut-être d’ambition en ne proposant pas de fonctionnalités innovantes pour se démarquer de la concurrence. Par exemple, LastPass permet de gérer les codes d’accès et mot de passe de vos applications installées sur Windows tandis que la version Premium de Dashlane intègre un VPN.
- Interface claire et efficace
- Niveaux de sécurité
- Authentification biométrique
- Importation des données
- Version Premium un peu chiche
- Pas de fonctionnalités qui sortent du lot
Découvrez tous nos autres avis versus sur les gestionnaires de mots de passe :
- Dashlane VS 1Password : qui choisir pour gérer vos mots de passe ?
- Dashlane VS Bitwarden : quel est le meilleur gestionnaire sécurisé ?
- Bitwarden vs KeePass : choisir le bon gestionnaire de mots de passe
- Bitwarden VS 1Password : y’a t-il un meilleur gestionnaire de mots de passe ?
- NordPass vs Dashlane : quel est le meilleur en termes de sécurité ?
- Norton vs Kaspersky : que valent leurs gestionnaires de mots de passe ?
- Bitwarden VS NordPass : Quel gestionnaire de mots de passe faut-il choisir ?
Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.
Lire d'autres articlesLire la charte de confiance
