LastPass est-il sûr ? Voici ce que nous savons de son historique de sécurité

20 mai 2024 Hibou Gourou

Site Web LastPass sur un ordinateur portable. — Tendances numériques

LastPass a fait beaucoup parler d’elle au cours de la dernière décennie. Suite à certaines violations de données et incidents de sécurité, vous vous demandez peut-être s'il est désormais sûr d'utiliser le célèbre gestionnaire de mots de passe, que vous soyez un utilisateur précédent, actuel ou potentiel de LastPass.

Jetons un coup d'œil aux fonctionnalités et mesures de sécurité actuelles de LastPass ainsi qu'aux incidents précédents.

Qu’est-ce que LastPass ?

Page Web principale de LastPass. — Tendances numériques

LastPass est une application de gestion de mots de passe disponible sur le Web, sur ordinateur et mobile, ainsi qu'avec des extensions de navigateur. Il propose une authentification multifactorielle, une connexion biométrique, un remplissage automatique, un générateur de mots de passe et une surveillance du Dark Web pour accompagner ses fonctionnalités de base de gestion des mots de passe .

En ce qui concerne la sécurité, LastPass utilise le cryptage des données AES-256 , le hachage PBKDF2 avec salage SHA-256 et un modèle sans connaissance. LastPass détient également plusieurs certifications de sécurité, notamment ISO 27001, TRUSTe, SOC3 et autres.

Actuellement, LastPass compte plus de 33 millions d'utilisateurs et un chiffre d'affaires annuel estimé à 143,7 millions de dollars .

Tout cela a l’air génial, n’est-ce pas ? Donc quel est le problème?

Incidents de sécurité LastPass

Concept brisé par la cybersécurité. — Madartzgraphics / Pixabay

Il y a une raison pour laquelle les gens demandent si LastPass est sûr à utiliser. Les failles de sécurité, ainsi que le vol d’informations au fil des années, sont certainement préoccupants. Pour mieux comprendre ces incidents, examinons une brève chronologie de ce qui s'est produit.

2011 : notification de sécurité

LastPass a détecté une irrégularité dans son trafic réseau ainsi qu'une autre irrégularité dans l'une de ses bases de données. Même s'il n'a pas trouvé de faille spécifique, LastPass a demandé à ses utilisateurs de modifier leur mot de passe principal de peur que certaines de ses données n'aient été piratées.

2015 : Faille de sécurité

LastPass a informé sa communauté qu'il « avait découvert et bloqué des activités suspectes » sur son réseau. La notification indiquait que les adresses e-mail, les rappels de mot de passe, les sels de serveur par utilisateur et les hachages d'authentification étaient compromis. Cependant, il n'a trouvé aucune preuve que les données du coffre-fort des utilisateurs avaient été volées et a déclaré que les comptes d'utilisateurs n'étaient pas consultés.

2021 : trackers tiers et mots de passe principaux

Un utilisateur de LastPass a découvert plusieurs trackers tiers dans l'application mobile Android. Bien que des gestionnaires de mots de passe similaires contiennent également ce type de trackers, il a été souligné que LastPass en possédait le plus, 1Password, Bitwarden et Dashlane.

«Aucune donnée utilisateur sensible personnellement identifiable ou activité de coffre-fort n'a pu être transmise via ces trackers. Ces trackers collectent des données statistiques agrégées limitées sur la façon dont vous utilisez LastPass, qui sont utilisées pour nous aider à améliorer et optimiser le produit », indique la déclaration fournie à The Register par un représentant de LastPass.

Plus tard en 2021, il a été signalé que les utilisateurs de LastPass avaient été informés par e-mail que leurs mots de passe principaux étaient compromis et que les tentatives de connexion avec ces mots de passe étaient bloquées. Cependant, un représentant de LastPass a déclaré que la société avait enquêté sur ces rapports et « avait déterminé que l’activité était liée à une activité assez courante liée aux robots… »

2022 : Vol de données

L'incident de sécurité le plus mémorable s'est probablement produit lorsqu'un pirate informatique a volé une copie de la base de données clients LastPass, ainsi que des coffres-forts de mots de passe et des données, notamment les noms, les adresses e-mail et de facturation, les numéros partiels de carte de crédit et les URL. Il s'agissait d'un mélange de données cryptées et non cryptées.

Le rapport d’incident de sécurité LastPass commence par l’événement d’août 2022 ci-dessus. Il propose ensuite des mises à jour au cours des prochains mois, expliquant son enquête sur une activité inhabituelle dans un service de stockage cloud tiers partagé utilisé pour héberger des sauvegardes ainsi que d'autres données.

Plus tard en 2022, LastPass a déclaré que les données obtenues lors de l'incident initial d'août avaient été utilisées pour accéder aux informations des clients, mais que les mots de passe restaient cryptés.

La personne ou l'entité a pu obtenir du code source et des informations techniques pour cibler ultérieurement un employé de LastPass. Ils ont obtenu des informations d'identification et des clés afin d'accéder et de déchiffrer les volumes de stockage au sein de ce service cloud. Ils ont ensuite copié les informations d'une sauvegarde contenant les noms d'entreprise, les noms d'utilisateur, les adresses e-mail et de facturation, les numéros de téléphone et les adresses IP.

En septembre 2023, un lien a été trouvé entre l’incident de vol de données de 2022 et plus de 35 millions de dollars de crypto-monnaie volés à plus de 150 victimes depuis décembre dernier.

Mesures de sécurité supplémentaires LastPass

Comme mentionné précédemment, LastPass utilise la norme industrielle pour le cryptage, le hachage PBKDF2 avec salage et une méthode sans connaissance pour protéger vos données.

Il subit également des audits et des tests de routine de son service et de son infrastructure, et permet aux utilisateurs d'accéder à son équipe de sécurité pour signaler d'éventuelles faiblesses. LastPass utilise également ce qu'on appelle un programme Bug Bounty dans lequel les pirates informatiques peuvent soumettre les bogues qu'ils trouvent.

Devriez-vous utiliser LastPass ?

Cadenas verrouillés et déverrouillés. — Méthodeshop / Pixabay

Avec les mesures de sécurité actuelles, un bon ensemble de fonctionnalités et des millions d'utilisateurs, il semble raisonnable d' utiliser LastPass comme gestionnaire de mots de passe de référence, si vous pouvez regarder au-delà des incidents de sécurité qui s'étendent sur plus d'une décennie.

Mais c’est vraiment à cela que cela se résume. Pouvez -vous regarder au-delà des incidents ? Pensez -vous que vos données sont en sécurité ? Quelle confiance êtes -vous prêt à accorder à LastPass ?

Il existe de nombreuses entreprises proposant des produits de gestion de mots de passe qui n'ont pas fait la une des journaux ni connu d'incidents comme LastPass. Et il semble certainement que LastPass ait une cible permanente sur le dos des pirates et des voleurs. Espérons que l'entreprise prenne les mesures nécessaires pour résoudre les problèmes, mais pour le moment, vous devrez décider si le risque en vaut la peine.