Avis LastPass (2024) : saura-t-il faire oublier son année noire ?

L'une des choses les plus importantes pour un gestionnaire de mots de passe est d'avoir la confiance de ses utilisateurs. Après tout, ces logiciels sont chargés de conserver leurs données les plus précieuses, qui leur permettent de se connecter à des comptes qui contiennent des informations personnelles et importantes. Et LastPass, qui a un temps été l'un des gestionnaires de mots de passe les plus populaires, a perdu une partie de cette confiance avec les deux incidents de sécurité dont il a été victime en 2022. Tout le but en 2024 pour l'entreprise sera donc de la retrouver. Et peut-être de se refaire une bonne place sur le podium des meilleurs gestionnaires de mots de passe ?

LastPass a décidé de jouer la transparence concernant les deux incidents de sécurité dont elle a été victime durant l'année 2022. Pour rappel, en août 2022, l'entreprise annonçait que des pirates avaient réussi à accéder à l'environnement de développement du logiciel. À l'époque, elle se voulait rassurante : les données des utilisateurs n'avaient pas été compromises et il n'avait pas été possible pour les acteurs malveillants d'injecter du code. En décembre 2022, l'histoire s'est répétée, à cause notamment des informations obtenues lors de l'attaque d'août. Cette fois, les attaquants ont obtenu beaucoup plus de données, dont les informations personnelles des utilisateurs et leurs coffres-forts, heureusement chiffrés, bien que certaines informations non critiques étaient stockées en clair.

Plus tard, la maison mère de LastPass, GoTo, a dévoilé que le gestionnaire n'avait pas été le seul service visé dans l'attaque de novembre 2022. Dans le cas de ces autres logiciels, encore plus de données avaient pu être récupérées par les pirates. Avec un de ses derniers posts de blog, signé par son PDG Karim Toubba, LastPass joue la transparence et détaille ce qu'il s'est passé et les mesures prises par l'entreprise pour éviter ces situations à l'avenir.

L'entreprise tient en premier lieu à rassurer : la sécurité de son produit n'est pas remise en cause, car les attaques n'ont pas eu lieu à cause d'une faille quelconque dans son logiciel. Par deux fois, des employés de LastPass ont vu leur appareil être compromis par des attaquants qui ont exploité une faille d'un logiciel tiers et obtenu ainsi des accès. LastPass indique avoir mis en place de nouvelles règles et technologies pour sécuriser l'accès aux données qu'elle stocke. En plus de ces explications, une liste des données potentiellement compromises et des actions à entreprendre, aussi bien pour les particuliers que pour les business, sont disponibles sur le site. Une communication tardive, mais attendue, qui permet enfin à chacun de se faire une idée sur la question.

L’offre

LastPass propose une version gratuite qui est très attractive, car elle permet le stockage illimité de vos mots de passe, mais sur un seul appareil. Pour moins de 3 euros par mois, vous bénéficiez de la version Premium qui permet le partage de mots de passe (ou d’informations privées) avec plusieurs personnes, l’accès d’urgence, 1 Go de stockage chiffré pour y sauvegarder des documents sensibles (avis d’imposition, passeports, cartes d’identité) et enfin différentes options d’authentification multifacteurs.

Cette version Premium permet également d’accéder à un « Tableau de sécurité » qui vous indique votre « Score de sécurité » (mots de passe à risque) et si des mots de passe se retrouvent sur le Dark web. Cette
fonction recherche en permanence vos adresses e-mail dans une base de données d’identifiants piratés, et vous prévient immédiatement si elles ont fuité.

Comme Dashlane, LastPass propose un forfait conçu pour les familles. Ce compte familial coûte moins de 4 euros par mois et il est fourni avec six licences Premium. 

Interface et ergonomie

LastPass existe en plusieurs versions : une extension pour navigateur web (Firefox, Chrome, Edge, Opera, Safari) et une application pour mobile, sur Android et iOS.

La configuration est très simple. Pour ajouter vos mots de passe dans LastPass, il suffit de se connecter au site dont vous voulez sauvegarder le mot de passe, puis de saisir vos identifiants sur la page de connexion et de vous connecter.

Lorsque la connexion est réussie, une boîte de dialogue s’affiche et vous invite à enregistrer le mot de passe dans LastPass. Rien de révolutionnaire puisque cette fonction est proposée par de nombreux gestionnaires de mots de passe, mais elle a le mérite d’être très claire : il suffit de cliquer sur le bouton « Ajouter » pour enregistrer le mot de passe. L’ajout de documents dans votre coffre-fort est également très facile. Accessible intégralement avec la version Premium, le « Tableau de sécurité » affiche aussi des informations et des recommandations très claires. Enfin, les applications pour iPhone et Android sont des modèles d’intuitivité.

La sécurité

Pour assurer son business et ne plus ternir sa réputation, LastPass prend la sécurité au sérieux en utilisant le chiffrement AES 256 bits avec SHA-256 PBKDF2 et le hachage. Des mesures indispensables, car en 2015 l’éditeur avait été victime d’une intrusion informatique dans ses systèmes. Mais les mots de passe des utilisateurs n’auraient pas été compromis. En 2019, une vulnérabilité signalée en privé, et pouvant potentiellement compromettre les mots de passe, avait été rapidement corrigée. D’ailleurs, LastPass dispose de son programme de bug bounty. Notons cependant une seconde tentative de piratage en décembre 2022. La société expliquait : « Les mots de passe de nos clients restent chiffrés et sécurisés grâce à l’architecture Zero Knowledge ».

Le service propose une option de récupération de votre mot de passe maître. Mais étant donné que ce gestionnaire applique le « Zero Knowledge » (l’éditeur n’a pas accès à vos données), il est nécessaire de passer pas des étapes préliminaires d’identification avec authentification par empreinte digitale ou par reconnaissance faciale. Lorsque vous aurez de nouveau accès à votre compte, vous pourrez réinitialiser votre mot de passe maître.

LastPass vous permet aussi de vérifier le niveau de confidentialité de vos comptes en vous indiquant si des mots de passe ont été compromis, s’ils sont « faibles » ou réutilisés. Très pratique (surtout avec la version Families pour contrôler l’usage d’Internet de ses enfants…), cette solution permet de blacklister certaines adresses URL ou des applications. Enfin, pour chacun de vos mots de passe vous pouvez choisir « la connexion automatique » ou de « demander le mot de passe maitre ».

Fonctionnalités additionnelles

LastPass ne vous surprendra pas avec des fonctionnalités plus ou moins fantaisistes. Il propose quelques options intéressantes destinées à renforcer la confidentialité de vos documents et de votre identité numérique. Vous pouvez ajouter un contact d’urgence ayant accès à votre compte (très pratique si vous oubliez votre mot de passe principal). Encore faut-il s’assurer que le contact en question a bien mis en place différentes procédures pour assurer sa sécurité informatique…
Enfin, LastPass permet de gérer les codes d’accès et mot de passe de vos
applications installées sur Windows.