Piratage de LastPass : quand les gestionnaires de mots de passe se tirent dans les pattes

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 30 décembre 2022 à 13h15

Les récents piratages subis par LastPass provoquent la colère de chercheurs en sécurité, et même d'un concurrent majeur du gestionnaire de mots de passe.

Certains diront que LastPass a tendu le bâton pour se faire battre, et ce ne serait pas complètement faux. Le gestionnaire de mots de passe a été victime d'une première brèche cet été, puis d'une seconde au début du mois de décembre. Il a tenu à faire acte de transparence quant au nombre de données récupérées par les hackers, en précisant que ces derniers ont pu se procurer une sauvegarde des coffres-forts des utilisateurs, même s'ils restent chiffrés. Sauf que, comme le dit un célèbre philosophe des temps modernes, Jeff de son prénom : « Tu peux te faire pirater une fois dans l'année, tu peux pas être piraté deux fois dans l'année. » Et les récents déboires de LastPasss ont suscité les franches critiques du monde de la cybersécurité.

Des experts qui dénoncent les imprécisions de LastPass dans sa communication

Si LastPass maintient que les informations de connexion de ses utilisateurs sont toujours sécurisées, les experts cyber ne l'entendent pas de cette oreille. L'un d'eux, Wladimir Palant, connu pour avoir contribué au développement d'AdBlock Pro, accuse dans un post l'entreprise LastPass de ne pas avoir réussi à contenir la violation de données du mois d'août. Il précise même que les adresses IP récupérées par les pirates (à partir desquelles les utilisateurs accédaient au service) pourraient permettre aux hackers de « créer un profil de mouvement complet » des clients.

Sur Mastodon, c'est un autre spécialiste en cybersécurité, Jeremi Gosney, qui fonce dans le tas en recommandant carrément aux clients de LastPass de se tourner vers un autre gestionnaire de mots de passe. L'expert remet en cause l'architecture dite « zéro connaissance » de LastPass, censée offrir une meilleure protection au coffre-fort des utilisateurs, avec une entreprise qui n'a pas accès au mot de passe maître, que les cybercriminels n'ont d'ailleurs pas pu récupérer.

Gosney critique la communication de LastPass, orientée vers la protection du mot de passe principal. « Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de données chiffrée où l'intégralité du fichier est protégé, mais non : avec LastPass, votre coffre-fort est un fichier en texte brut, et seuls quelques champs sélectionnés sont chiffrés », explique-t-il.

Le mot de passe maître ne suffit pas

LastPass, qui impose l'utilisation du mot de passe maître depuis 2018, a précisé dans sa dernière communication qu'« il faudrait des millions d'années pour trouver votre mot de passe à l'aide des technologies de cassage généralement utilisées ». Une déclaration qui a fait bondir de sa chaise Jeffrey Goldberg, architecte principal de la sécurité de 1Password, un concurrent de LastPass.

Pour lui, ce que dit LastPass est « très trompeur », car la statistique avancée par le gestionnaire suppose un mot de passe de 12 caractères généré aléatoirement. Or, « les mots de passe créés par les humains sont loin de répondre à cette exigence », écrit Goldberg. Il rappelle que certains groupes cybercriminels sont capables de prioriser certaines suppositions humaines, et donc de gagner du temps.

Les experts Gosney et Palant s'accordent à dire, confirmant au passage les craintes de 1Password, que les systèmes de crack de mot de passe performants pourraient réduire à quelques dizaines de minutes seulement le temps nécessaire pour pénétrer dans un coffre-fort. Ils précisent aussi que d'autres gestionnaires offrent aujourd'hui un niveau de sécurité bien supérieur.

Meilleur gestionnaire de mots de passe, le comparatif en 2024

Protéger ses informations personnelles et ses données en ligne est devenu crucial, ce qui rend les gestionnaires de mots de passe indispensables. Alors, en mai 2024, quels sont les meilleurs d'entre eux ?

Sources : 1Password, Palant.info, Mastodon, LastPass

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Piratage / Cybercriminalité

Gestionnaire de mot de passe

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

yabadabado

il faut etre inconscient pour stocker ses MDP dans un cloud …

phoenix2

J’ai pensé la meme chose !!

Loposo

Pourquoi, il y a largement plus de chance de tomber sur un pishing (certains sont super bien fait maintenant) ou keyllogger, que d’avoir son coffre-fort craké en brutforce.
Les stocker dans firefox ou chrome? quand on voit la facilité pour un autre browser de les importer il y a des doutes à se poser.

Bref lastpass a été bien merdique en com, mais de la à tout remettre en question. Ce qui intéresse est surtout l’adresse mail et les noms qui eux n’étaient pas crypté, ensuite, on envoie un mail de pishing et hop, on récupère les mots de passe des gens qui se font avoir.
Bien plus rentable que du brutforce.
Le brut force sera lui réservé au pire à un mail bien identifié qui peu rapporter gros, mais ca ne va pas casser les milliers de coffres voler.

et c’est un concurrent des lastpass qui critique, bref il va se faire aussi voler un jour et il la fermera

Bondamanmanw

L’inconscience c’est surtout d’y mettre des mots de passe importants pour le reste bof en cas de fuites de données y’a qu’a modifier ceux-ci.
J’utilise pour ma part Roboform depuis des années, jamais je n’ stockerai le mot de passe de ma banque, certains mots de passe doivent rester uniquement dans le nuage cervelle.

titou57190

Tous le monde stock leurs mot de passe dans Google Chrome, produit qui est dans le … cloud !

norwy

Le stockage de mot de passe est une hérésie, sur le cloud ou ailleurs.

Un mot de passe n’est protégé à 100 pourcent que quand il n’est connu que d’une seule personne et inaccessible en dehors de celle-ci. Une fois enregistré dans un site, le risque de brèche existe.

Tous ceux qui se vantent de confier ses mot de passes à un service tiers, quel qu’il soit, s’exposent à un risque supplémentaire par rapport ceux qui ne le font pas, tout simplement.

Keorl

« les mots de passe créés par les humains sont loin de répondre à cette exigence »
Le gars qui utilise un gestionnaire de mots de passe mais qui a choisi son mot de passe avec son petit cerveau (ou avec des méthodes franchement douteuses comme celle popularisée par xkcd et reprise par trop de communicants) plutôt qu’en le générant aléatoirement est un crétin fini.
Tout l’intérêt d’un tel outil est d’avoir des mots de passe uniques et correctement générés sur les sites et services qu’on utilise, afin que la moindre fuite (même hashée) de l’un ne puisse pas affecter les autres. Si c’est pour avoir un mot de passe maître qui n’est pas à la hauteur, ça casse tout le principe … la moindre fuite sur un site (en l’occurrence celui du gestionnaire de mots de passe, quel qu’il soit) ou même une attaque ciblée, et tout y passe.
Mon propre mot de passe maître a été généré aléatoirement sur une device sans capacité réseau, et contient plus de 12 caractères.

Blap

Non.
Tout depend comment c’est fait. C’est comme tout.

phoenix2

Non.
On ne donne pas ses bijoux de famille à n’importe qui.

Biggs

Personne ne l’a encore dit ? Allez je m’y colle : Keepass et pis c’est tout !