Piratage de LastPass : quand les gestionnaires de mots de passe se tirent dans les pattes

Alexandre Boero
Chargé de l'actualité de Clubic
30 décembre 2022 à 13h15
40
© Saxarinka / Shutterstock
© Saxarinka / Shutterstock

Les récents piratages subis par LastPass provoquent la colère de chercheurs en sécurité, et même d'un concurrent majeur du gestionnaire de mots de passe.

Certains diront que LastPass a tendu le bâton pour se faire battre, et ce ne serait pas complètement faux. Le gestionnaire de mots de passe a été victime d'une première brèche cet été, puis d'une seconde au début du mois de décembre. Il a tenu à faire acte de transparence quant au nombre de données récupérées par les hackers, en précisant que ces derniers ont pu se procurer une sauvegarde des coffres-forts des utilisateurs, même s'ils restent chiffrés. Sauf que, comme le dit un célèbre philosophe des temps modernes, Jeff de son prénom : « Tu peux te faire pirater une fois dans l'année, tu peux pas être piraté deux fois dans l'année. » Et les récents déboires de LastPasss ont suscité les franches critiques du monde de la cybersécurité.

Des experts qui dénoncent les imprécisions de LastPass dans sa communication

Si LastPass maintient que les informations de connexion de ses utilisateurs sont toujours sécurisées, les experts cyber ne l'entendent pas de cette oreille. L'un d'eux, Wladimir Palant, connu pour avoir contribué au développement d'AdBlock Pro, accuse dans un post l'entreprise LastPass de ne pas avoir réussi à contenir la violation de données du mois d'août. Il précise même que les adresses IP récupérées par les pirates (à partir desquelles les utilisateurs accédaient au service) pourraient permettre aux hackers de « créer un profil de mouvement complet » des clients.

Sur Mastodon, c'est un autre spécialiste en cybersécurité, Jeremi Gosney, qui fonce dans le tas en recommandant carrément aux clients de LastPass de se tourner vers un autre gestionnaire de mots de passe. L'expert remet en cause l'architecture dite « zéro connaissance » de LastPass, censée offrir une meilleure protection au coffre-fort des utilisateurs, avec une entreprise qui n'a pas accès au mot de passe maître, que les cybercriminels n'ont d'ailleurs pas pu récupérer.

Gosney critique la communication de LastPass, orientée vers la protection du mot de passe principal. « Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de données chiffrée où l'intégralité du fichier est protégé, mais non : avec LastPass, votre coffre-fort est un fichier en texte brut, et seuls quelques champs sélectionnés sont chiffrés », explique-t-il.

Le mot de passe maître ne suffit pas

LastPass, qui impose l'utilisation du mot de passe maître depuis 2018, a précisé dans sa dernière communication qu'« il faudrait des millions d'années pour trouver votre mot de passe à l'aide des technologies de cassage généralement utilisées ». Une déclaration qui a fait bondir de sa chaise Jeffrey Goldberg, architecte principal de la sécurité de 1Password, un concurrent de LastPass.

Pour lui, ce que dit LastPass est « très trompeur », car la statistique avancée par le gestionnaire suppose un mot de passe de 12 caractères généré aléatoirement. Or, « les mots de passe créés par les humains sont loin de répondre à cette exigence », écrit Goldberg. Il rappelle que certains groupes cybercriminels sont capables de prioriser certaines suppositions humaines, et donc de gagner du temps.

Les experts Gosney et Palant s'accordent à dire, confirmant au passage les craintes de 1Password, que les systèmes de crack de mot de passe performants pourraient réduire à quelques dizaines de minutes seulement le temps nécessaire pour pénétrer dans un coffre-fort. Ils précisent aussi que d'autres gestionnaires offrent aujourd'hui un niveau de sécurité bien supérieur.

Meilleur gestionnaire de mots de passe, le comparatif en février 2024

Il n'est jamais trop tard pour adopter les bons réflexes en ligne, n'est-ce pas ? La première étape consiste à télécharger un gestionnaire de mots de passe. Pour vous guider vers le meilleur choix, nous avons comparé ici les meilleurs d'entre eux en février 2024.
Lire la suite

Sources : 1Password, Palant.info, Mastodon, LastPass

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (40)

yabadabado
il faut etre inconscient pour stocker ses MDP dans un cloud …
phoenix2
J’ai pensé la meme chose !!
Loposo
Pourquoi, il y a largement plus de chance de tomber sur un pishing (certains sont super bien fait maintenant) ou keyllogger, que d’avoir son coffre-fort craké en brutforce.<br /> Les stocker dans firefox ou chrome? quand on voit la facilité pour un autre browser de les importer il y a des doutes à se poser.<br /> Bref lastpass a été bien merdique en com, mais de la à tout remettre en question. Ce qui intéresse est surtout l’adresse mail et les noms qui eux n’étaient pas crypté, ensuite, on envoie un mail de pishing et hop, on récupère les mots de passe des gens qui se font avoir.<br /> Bien plus rentable que du brutforce.<br /> Le brut force sera lui réservé au pire à un mail bien identifié qui peu rapporter gros, mais ca ne va pas casser les milliers de coffres voler.<br /> et c’est un concurrent des lastpass qui critique, bref il va se faire aussi voler un jour et il la fermera
Bondamanmanw
L’inconscience c’est surtout d’y mettre des mots de passe importants pour le reste bof en cas de fuites de données y’a qu’a modifier ceux-ci.<br /> J’utilise pour ma part Roboform depuis des années, jamais je n’ stockerai le mot de passe de ma banque, certains mots de passe doivent rester uniquement dans le nuage cervelle.
titou57190
Tous le monde stock leurs mot de passe dans Google Chrome, produit qui est dans le … cloud !
norwy
Le stockage de mot de passe est une hérésie, sur le cloud ou ailleurs.<br /> Un mot de passe n’est protégé à 100 pourcent que quand il n’est connu que d’une seule personne et inaccessible en dehors de celle-ci. Une fois enregistré dans un site, le risque de brèche existe.<br /> Tous ceux qui se vantent de confier ses mot de passes à un service tiers, quel qu’il soit, s’exposent à un risque supplémentaire par rapport ceux qui ne le font pas, tout simplement.
Keorl
« les mots de passe créés par les humains sont loin de répondre à cette exigence »<br /> Le gars qui utilise un gestionnaire de mots de passe mais qui a choisi son mot de passe avec son petit cerveau (ou avec des méthodes franchement douteuses comme celle popularisée par xkcd et reprise par trop de communicants) plutôt qu’en le générant aléatoirement est un crétin fini.<br /> Tout l’intérêt d’un tel outil est d’avoir des mots de passe uniques et correctement générés sur les sites et services qu’on utilise, afin que la moindre fuite (même hashée) de l’un ne puisse pas affecter les autres. Si c’est pour avoir un mot de passe maître qui n’est pas à la hauteur, ça casse tout le principe … la moindre fuite sur un site (en l’occurrence celui du gestionnaire de mots de passe, quel qu’il soit) ou même une attaque ciblée, et tout y passe.<br /> Mon propre mot de passe maître a été généré aléatoirement sur une device sans capacité réseau, et contient plus de 12 caractères.
Blap
Non.<br /> Tout depend comment c’est fait. C’est comme tout.
phoenix2
Non.<br /> On ne donne pas ses bijoux de famille à n’importe qui.
Biggs
Personne ne l’a encore dit ? Allez je m’y colle : Keepass et pis c’est tout !
Blap
Wow, alors la je suis seché !
phoenix2
Tes mots de passes tu les gardes bien dans un ptit coin de ton cerveau, y’a pas mieux.
yvan91
Conclusion: en terminer avec les mdp et se tourner vers la biométrie
cracktonslip
Jeffrey Goldberg dit que LastPass c’est caca et que 1Password c’est mieux … rien d’étonnant.<br /> Les hackers vont-ils s’amuser à faire du force brute pour chopper le mot de passe maître de Mme Michu (qui au passage utilise le même mot de passe « kiki2017 » sur tous les sites) ?<br /> Mme Michu à déjà ses mots de passe enregistrés dans ses navigateurs et même sa carte bleu chez damart.fr
Aegis
A ceux qui disent que les gestionnaires de mots de passe sont dangereux, quelles solution proposeriez vous à mon cas : 500+ mots de passe, utilisation de PCs, iOS, Android, consoles et divers objets connectés.<br /> Retenir les mois de passe par cœur est infaisable. Utiliser des variantes est trop risqué : deux sites compromîs permettent de trouver l’algol et de tout casser.<br /> L’utilisation d’un outil comme keepass est sécurisé pour un device. Pour du multi devices, il faut utiliser un service de réplication (OneDrive ? Google drive ? Autre cloud ?) et des clients iOS / android développés par des inconnus, à haut risque.<br /> La combinaison lastpass (ou autre) + mot de passe maître robuste + mfa (avec une application, pas avec des sms) me semble le meilleur compromis entre la sécurité et la simplicité d’usage. Si vous avez mieux, je suis preneur.
Aegis
D’accord avec toi à part pour la partie « cretin fini ».<br /> Un bon expert cybersecurity enseigne, il ne se moque pas.<br /> Je suis curieux : pourquoi générer le mot de passe mais sur un service sans capacité réseau ? Tu n’as pas confiance dans le générateur de mot de passe, tu veux t’assurer que le device n’est pas compromis ou c’est autre chose ?
FortyTwo
Bitwarden en auto hébergé sur son propre serveur sécurisé et chiffré, et KeepassXC en local
Alan1
Perso mes mots de passe ce sont deux carnets papiers alphabétiques a onglet un chez moi un chez mes parents a 500km. Quand je rajoute un mot de passe je téléphone a mes parents pour qu’ils le rajoutent dans mon carnet chez eux. Bien sur cela protège de l’incendie mais ni du cambriolage ni de la bombe atomique mais en aurais je encore besoin ?
ar-s
« Un mot de passe n’est protégé à 100 pourcent que quand il n’est connu que d’une seule personne et inaccessible » Exactement l’inverse de la réalité du bruteforcing qui consiste à tester tous les caractères existants…
FortyTwo
Ils ne ressemblent pas tous à LastPass, tu as notamment Bitwarden qui a fait ses preuves et dont le code source est public, c’est quand même rassurant, non ?<br /> Il y a très longtemps j’utilisais Dashlane, ils m’ont même offert une licence à vie ayant été dans les premiers users et je suis passé à Bitwarden que j’héberge sur mon propre serveur.
norwy
je parlait de l’origine d’un mot de passe :<br /> dans sa tête/mémoire : protégé<br /> enregistré sur un site : risque sur le site<br /> enregistré dans un wallet : risque sur le wallet<br />
juju251
Aegis:<br /> A ceux qui disent que les gestionnaires de mots de passe sont dangereux, quelles solution proposeriez vous à mon cas : 500+ mots de passe, utilisation de PCs, iOS, Android, consoles et divers objets connectés.<br /> Personnellement, c’est Keepass + réplication manuelle.<br /> Oui, c’est contraignant, mais si on veut garder un bon niveau de sécurité, pas le choix.<br /> Je commence a étudier la possibilité de passer par un Nextcloud (hébergé en local accessible uniquement via mon réseau local) pour le partage entre périphériques.
hellraisercom
Et utiliser le même mot de passe sur deux sites est aussi une hérésie.<br /> Je me demande bien comment tu retiens les plus de 100 mdp a au moins 20 caractères qui doivent avoir aucune logique, avec des maj/caractères spéciaux et chiffres sans doublons.<br /> Si tu ne suis pas cette procédure de mdp, tu n’as aucune légitimité a donnée des leçons a qui que ce soit.
Blap
Je n’ai pas ton éminente intelligence eidétique permettant de retenir des centaines de combinaisons de 16+ caractères aléatoires
mdes
Mon de passe mais pour bitwarden est (long et facile à retenir) :<br /> J’HabiteUneVilleDontLeNºDansLaRuePrincipale=3,1415926.Découvrez-LeDonc,Mon1erMotDePasse*<br /> On peut faire moins long mais aussi facile à retenir.
norwy
Entre le même mot de passe partout et 100 mots de passes différents de 20 caractères, je crois qu’il y a largement de quoi faire.<br /> Avec toi, la sécurité c’est 0 ou 100.000<br /> Bravo !
phoenix2
En meme temps avoir des centaines de mots de passe, c’est quand meme bizarre, sinon, tu peut les mettre sur un fichier et les chiffrer toi meme au pire des cas.
bmustang
bitwarden dockerisé sur un serveur nas isolé fait très bien l’affaire et pour pas un rond
MattS32
À l’heure du tout en ligne, il n’y a rien d’exceptionnel à avoir des centaines de mots de passe…<br /> Mail (souvent plusieurs), banques (là aussi, pas rare d’en avoir plusieurs, et même plusieurs mots de passe pour une même banque), sécu, mutuelle (parfois plusieurs), complémentaire retraite (parfois plusieurs), assurance (idem), eau, gaz, électricité, agence immobilière (parfois plusieurs), opérateur télécom (souvent plusieurs), impôts, CAF, services publiques locaux (à divers niveaux, j’ai par exemple un compte au niveau commune, un autre à la communauté de Communes, d’autres pour certains services locaux non centralisés avec le reste)… Rien que ces « indispensables », ça peut déjà faire 20-30 comptes, encore plus en couple…<br /> Rajoute un peu de loisirs numériques (abonnements VOD, abonnements musique, boutiques de jeux (+ parfois des comptes chez les éditeurs des jeux pratiqués), d’applications, d’ebooks, de presse…) ou mixtes (abonnement cinéma, abonnements magazines avec accès numérique…) et tu approches de la centaine…<br /> Pour peu qu’en plus tu fasses des achats en ligne, tes courses en ligne (ou même en boutique physique, mais avec un compte fidélité…) et que tu ais une participation active sur des espaces communautaires, et la centaine peut être largement dépassé…
Keorl
Je ne suis pas expert en sécurité mais tu as raison (jusqu’à un certain point : je m’attends quand même à ce qu’un personne qui fait la démarche d’utiliser un gestionnaire de mots de passe ait déjà quelques bases).<br /> J’ai effectivement généré le mdp maître de manière à être sûr qu’il ne pourrait pas être compromis, et à éviter les algo de génération usuels (le pseudo-aléatoire n’étant pas parfait), mais c’est overkill je te l’accorde : si mon PC est compromis par keylogger (bien plus de chances que ça arrive qu’une capture du mdp généré par un logiciel ou une attaque sur le rng), le mot de passe sera compromis à ma prochaine connexion …
_DARKWOLF_1_1
Mots de passe mémorisés en tête, avec une petite astuce. Les gens font trop confiance à la technologie et oublient que leur cerveau est capable de mémoriser un nombre incalculable de données, mais aujourd’hui on préfère sortir son smartphone avec sa calculette pour faire une addition, et plus personne n’arrive à mémoriser un numéro de téléphone. Confier ses mots de passe à un service tiers, c’est comme prêter ses clés de voiture/maison à un inconnu…Faut vraiment avoir confiance. Au pire, faire comme mon beau-frère, ils stocke tous ses mot de passe sur un petit carnet jalousement gardé.
DuxBellorum
Soyons clair: ne pas utiliser de gestionnaire de mots de passe en 2023 est une aberration si on ne s’appelle pas Fabien Olicard. Le « nuage cerveau » est incapable de retenir les centaines de mots de passe distincts dont on a besoin aujourd’hui. À moins d’utiliser une « astuce » pour qu’ils ne soient pas si distincts que ça, auquel cas la compromission de l’un d’entre eux remet en cause la sécurité de tous les autres. Et si vous utilisez le même à plusieurs endroits, là faudra pas s’étonner quand vous vous ferez pirater…<br /> Bref, à mon sens le meilleur compromis à l’heure actuelle c’est KeePass + Syncthing. Gestionnaire de mots de passes en local, sécurisé, via un soft multi-plateforme, open source, et certifié par l’ANSSI, associé à un outil open source de synchro de fichiers décentralisée donc le fichier n’est stocké nulle part ailleurs que sur vos appareils.
dredd
Le mot de masse maître ne suffit pas<br /> Le pot de masse paître ne suffit mas ?<br /> Le pot de masse maigre ne suffit pas (ça c’est pour ceux qui sont en phase bulk).<br /> Sinon perso j’utilise pas de gestionnaire. Je change mon password tous les jous. Je met la date du jour. Malin hein.
Blackalf
_DARKWOLF_1_1:<br /> Les gens font trop confiance à la technologie et oublient que leur cerveau est capable de mémoriser un nombre incalculable de données<br /> Ce n’est pas aussi simple, parce que tout le monde n’a pas la même capacité mémorielle. Ce n’est pas différent de l’intelligence, du talent, de la créativité, de l’imagination ou autres. On ne peut améliorer que dans une certaine mesure ce que l’on possède au départ.
BernardB
Simple ;<br /> Tous mes mots de passe sont sur une clé USB et carte Mem.<br /> &amp; que j’ insert après avoir allumé l’Ordi.<br /> Après, Je nettoie l’Ordi avant de l’éteindre.<br /> Il faut être innocent pour confier ses mots de passe important à qui que se soit ou un Cloud !<br /> Je fais ceci malgré le gestionnaire de mots de passe de Kaspersky.<br /> Un secret n’est plus un secret si deux personnes le possèdent !<br /> Une double sécurité envoyé sur mon Tel, c’est l’empreinte digitale ou un code.<br /> &amp; pis sé tout !
MattS32
BernardB:<br /> Un secret n’est plus un secret si deux personnes le possèdent !<br /> Quand le gestionnaire de mots de passe utilise un chiffrement zero-knowledge, il n’a pas connaissance du secret.
Stroque
Je rejoins les commentaires de MattS32… J’enregistre mes userid et mots de passe dans un tableur.<br /> Je viens de les compter : 380 userid pour 380 comptes différents (pour les mêmes raisons que MattS32), et bien que je réutilise qq mdp, il m’en reste 255 différents !!!<br /> A ceux qui prétendent qu’il suffit de faire un effort de mémoire pour les retenir, je leur tire mon chapeau ???
mrassol
Stroque:<br /> ’enregistre mes userid et mots de passe dans un tableur.<br /> Autant tout mettre sur un bout de papier non ? c’est une des pire chose a faire a mon sens.
MattS32
Ça dépend, si c’est un fichier tableur protègé par mot de passe, avec un chiffrement correct, c’est pas beaucoup moins sur qu’un KeePass. Moins pratique, car pas spécialisée, mais pas forcément moins sûr.
chasis_fan
Mon 1password affiche 587 identifiants enregistrés, ça va vite quand on évite d’utiliser trop souvent les authentifications via compte Google ou autres fournisseurs d’identité (et encore que depuis peu 1password stocke cela également). Impossible de ne pas utiliser un gestionnaire de mdp avec ce genre de volume. En plus c’est pratique pour repérer les mots de passe réutilisés ou encore ayant fruité publiquement via le service haveibeenpwned
Aegis
Et quels client utilises-tu sur IOS et Android?<br /> Leur code est-il ouvert et audite?<br /> Je met ma main a couper que la reponse est non. N’importe quel pirate peut publier un client Keepass sur telephone et recuperer toutes les infos.
BernardB
MattS32:<br /> knowledge<br /> knowledge ???<br /> &amp; en FRANÇAIS s’est comment ???
MattS32
Le serveur n’a aucune connaissance des données en claire ou de la clé de chiffrement. Ce qui fait que même en cas d’intrusion sur le serveur, la seule solution pour accéder aux données en clair reste la force brute.<br /> PS : tu utilises toi aussi des termes et acronymes en anglais dans certains de tes messages, alors évite d’être aussi agressif face aux anglicisme des autres…<br /> Par exemple, juste au-dessus :<br /> BernardB:<br /> Il faut être innocent pour confier ses mots de passe important à qui que se soit ou un Cloud !<br />
BernardB
Tu as raisons, parfois j’utilise du Rosbiff pour rigoler.<br /> Mais je déteste se charabia nommé langue Anglaise ou il faut interprété le sens de la phrase ou le mot.<br /> La sémantique de la langue Française ne te permet pas d’interpréter !<br /> Tous veulent êtres à la mode de chez eux et emplois des termes et mots de ce charabia, Pouaaa.<br /> Désoler je suis né comme cela !
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Oups ! Vous utilisez LastPass ? Des hackers ont sans doute des informations vous concernant... Oups ! Vous utilisez LastPass ? Des hackers ont sans doute des informations vous concernant...
LastPass attaqué, que s'est-il passé ? LastPass attaqué, que s'est-il passé ?
Même dans les grandes entreprises du Fortune 500, le mot de passe le plus utilisé est Même dans les grandes entreprises du Fortune 500, le mot de passe le plus utilisé est "password"
Lastpass : le gestionnaire de mots de passe piraté durant 4 jours mais rien n'aurait fuité... selon le P.-D.G. Lastpass : le gestionnaire de mots de passe piraté durant 4 jours mais rien n'aurait fuité... selon le P.-D.G.
LastPass piratée pour la 2e fois cette année, vos mots de passe toujours en sécurité ? LastPass piratée pour la 2e fois cette année, vos mots de passe toujours en sécurité ?