Les récents piratages subis par LastPass provoquent la colère de chercheurs en sécurité, et même d’un concurrent majeur du gestionnaire de mots de passe.

Certains diront que LastPass a tendu le bâton pour se faire battre, et ce ne serait pas complètement faux. Le gestionnaire de mots de passe a été victime d’une première brèche cet été, puis d’une seconde au début du mois de décembre. Il a tenu à faire acte de transparence quant au nombre de données récupérées par les hackers, en précisant que ces derniers ont pu se procurer une sauvegarde des coffres-forts des utilisateurs, même s’ils restent chiffrés. Sauf que, comme le dit un célèbre philosophe des temps modernes, Jeff de son prénom : « Tu peux te faire pirater une fois dans l’année, tu peux pas être piraté deux fois dans l’année. » Et les récents déboires de LastPasss ont suscité les franches critiques du monde de la cybersécurité.

Des experts qui dénoncent les imprécisions de LastPass dans sa communication

Si LastPass maintient que les informations de connexion de ses utilisateurs sont toujours sécurisées, les experts cyber ne l’entendent pas de cette oreille. L’un d’eux, Wladimir Palant, connu pour avoir contribué au développement d’AdBlock Pro, accuse dans un post l’entreprise LastPass de ne pas avoir réussi à contenir la violation de données du mois d’août. Il précise même que les adresses IP récupérées par les pirates (à partir desquelles les utilisateurs accédaient au service) pourraient permettre aux hackers de « créer un profil de mouvement complet » des clients.

Sur Mastodon, c’est un autre spécialiste en cybersécurité, Jeremi Gosney, qui fonce dans le tas en recommandant carrément aux clients de LastPass de se tourner vers un autre gestionnaire de mots de passe. L’expert remet en cause l’architecture dite « zéro connaissance » de LastPass, censée offrir une meilleure protection au coffre-fort des utilisateurs, avec une entreprise qui n’a pas accès au mot de passe maître, que les cybercriminels n’ont d’ailleurs pas pu récupérer.

Gosney critique la communication de LastPass, orientée vers la protection du mot de passe principal. « Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de données chiffrée où l’intégralité du fichier est protégé, mais non : avec LastPass, votre coffre-fort est un fichier en texte brut, et seuls quelques champs sélectionnés sont chiffrés », explique-t-il.

Le mot de masse maître ne suffit pas

LastPass, qui impose l’utilisation du mot de passe maître depuis 2018, a précisé dans sa dernière communication qu’« il faudrait des millions d’années pour trouver votre mot de passe à l’aide des technologies de cassage généralement utilisées ». Une déclaration qui a fait bondir de sa chaise Jeffrey Goldberg, architecte principal de la sécurité de 1Password, un concurrent de LastPass.

Pour lui, ce que dit LastPass est « très trompeur », car la statistique avancée par le gestionnaire suppose un mot de passe de 12 caractères généré aléatoirement. Or, « les mots de passe créés par les humains sont loin de répondre à cette exigence », écrit Goldberg. Il rappelle que certains groupes cybercriminels sont capables de prioriser certaines suppositions humaines, et donc de gagner du temps.

Les experts Gosney et Palant s’accordent à dire, confirmant au passage les craintes de 1Password, que les systèmes de crack de mot de passe performants pourraient réduire à quelques dizaines de minutes seulement le temps nécessaire pour pénétrer dans un coffre-fort. Ils précisent aussi que d’autres gestionnaires offrent aujourd’hui un niveau de sécurité bien supérieur.