Piratage de LastPass : quand les gestionnaires de mots de passe se tirent dans les pattes

Les rĂ©cents piratages subis par LastPass provoquent la colère de chercheurs en sĂ©curitĂ©, et mĂŞme d’un concurrent majeur du gestionnaire de mots de passe.

Certains diront que LastPass a tendu le bâton pour se faire battre, et ce ne serait pas complètement faux. Le gestionnaire de mots de passe a Ă©tĂ© victime d’une première brèche cet Ă©tĂ©, puis d’une seconde au dĂ©but du mois de dĂ©cembre. Il a tenu Ă  faire acte de transparence quant au nombre de donnĂ©es rĂ©cupĂ©rĂ©es par les hackers, en prĂ©cisant que ces derniers ont pu se procurer une sauvegarde des coffres-forts des utilisateurs, mĂŞme s’ils restent chiffrĂ©s. Sauf que, comme le dit un cĂ©lèbre philosophe des temps modernes, Jeff de son prĂ©nom : « Tu peux te faire pirater une fois dans l’annĂ©e, tu peux pas ĂŞtre piratĂ© deux fois dans l’annĂ©e. Â» Et les rĂ©cents dĂ©boires de LastPasss ont suscitĂ© les franches critiques du monde de la cybersĂ©curitĂ©.

Des experts qui dénoncent les imprécisions de LastPass dans sa communication

Si LastPass maintient que les informations de connexion de ses utilisateurs sont toujours sĂ©curisĂ©es, les experts cyber ne l’entendent pas de cette oreille. L’un d’eux, Wladimir Palant, connu pour avoir contribuĂ© au dĂ©veloppement d’AdBlock Pro, accuse dans un post l’entreprise LastPass de ne pas avoir rĂ©ussi Ă  contenir la violation de donnĂ©es du mois d’aoĂ»t. Il prĂ©cise mĂŞme que les adresses IP rĂ©cupĂ©rĂ©es par les pirates (Ă  partir desquelles les utilisateurs accĂ©daient au service) pourraient permettre aux hackers de « crĂ©er un profil de mouvement complet Â» des clients.

Sur Mastodon, c’est un autre spĂ©cialiste en cybersĂ©curitĂ©, Jeremi Gosney, qui fonce dans le tas en recommandant carrĂ©ment aux clients de LastPass de se tourner vers un autre gestionnaire de mots de passe. L’expert remet en cause l’architecture dite « zĂ©ro connaissance Â» de LastPass, censĂ©e offrir une meilleure protection au coffre-fort des utilisateurs, avec une entreprise qui n’a pas accès au mot de passe maĂ®tre, que les cybercriminels n’ont d’ailleurs pas pu rĂ©cupĂ©rer.

Gosney critique la communication de LastPass, orientĂ©e vers la protection du mot de passe principal. « Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de donnĂ©es chiffrĂ©e oĂą l’intĂ©gralitĂ© du fichier est protĂ©gĂ©, mais non : avec LastPass, votre coffre-fort est un fichier en texte brut, et seuls quelques champs sĂ©lectionnĂ©s sont chiffrĂ©s Â», explique-t-il.

Le mot de masse maître ne suffit pas

LastPass, qui impose l’utilisation du mot de passe maĂ®tre depuis 2018, a prĂ©cisĂ© dans sa dernière communication qu’« il faudrait des millions d’annĂ©es pour trouver votre mot de passe Ă  l’aide des technologies de cassage gĂ©nĂ©ralement utilisĂ©es Â». Une dĂ©claration qui a fait bondir de sa chaise Jeffrey Goldberg, architecte principal de la sĂ©curitĂ© de 1Password, un concurrent de LastPass.

Pour lui, ce que dit LastPass est « très trompeur Â», car la statistique avancĂ©e par le gestionnaire suppose un mot de passe de 12 caractères gĂ©nĂ©rĂ© alĂ©atoirement. Or, « les mots de passe créés par les humains sont loin de rĂ©pondre Ă  cette exigence Â», Ă©crit Goldberg. Il rappelle que certains groupes cybercriminels sont capables de prioriser certaines suppositions humaines, et donc de gagner du temps.

Les experts Gosney et Palant s’accordent Ă  dire, confirmant au passage les craintes de 1Password, que les systèmes de crack de mot de passe performants pourraient rĂ©duire Ă  quelques dizaines de minutes seulement le temps nĂ©cessaire pour pĂ©nĂ©trer dans un coffre-fort. Ils prĂ©cisent aussi que d’autres gestionnaires offrent aujourd’hui un niveau de sĂ©curitĂ© bien supĂ©rieur.

Source: Piratage de LastPass : quand les gestionnaires de mots de passe se tirent dans les pattes

Comments are Closed