Vous utilisez LastPass ? Vous devez changer de toute urgence, dit la société de sécurité
C'est une bonne idée d'utiliser l'un des meilleurs gestionnaires de mots de passe pour protéger vos connexions, mais maintenant une société de sécurité avertit que l'un des gestionnaires de mots de passe les plus populaires au monde n'est pas sûr à utiliser.
La revendication extraordinaire vient d'Intego, une entreprise spécialisée dans la sécurité Mac. Intego a fondé son affirmation sur une série de failles de sécurité que LastPass a subies ces derniers mois, sur la manière dont LastPass a répondu à ces incidents et sur la technologie sous-jacente que LastPass utilise pour protéger les comptes clients.
Dans son rapport, Intego a décrit la saga LastPass, depuis sa divulgation initiale d'une violation en août 2022 jusqu'à une enquête menée par le gestionnaire de mots de passe rival 1Password en décembre. Cette chronologie brosse le tableau d'un gestionnaire de mots de passe avec des pratiques et une technologie douteuses, déclare Intego.
En août 2022, LastPass a informé les utilisateurs qu'un tiers non autorisé avait accédé à son environnement de développement, mais qu'aucune donnée client n'avait été prélevée. Ensuite, LastPass a publié une nouvelle déclaration en novembre indiquant que les pirates avaient pris "certains éléments des informations des clients".
Enfin, en décembre, LastPass a admis que les données consultées par les pirates avaient été utilisées pour inciter un employé de l'entreprise à remettre les clés de certaines informations d'identification des clients, qui ont ensuite été utilisées pour accéder et décrypter les données des clients.
Pratiques douteuses
Cependant, Intego soutient que des analyses tierces de la violation suggèrent un scénario plus troublant. Selon le chercheur en sécurité Wladimir Palant , par exemple, les déclarations de LastPass étaient "pleines d'omissions, de demi-vérités et de mensonges éhontés". L'une des allégations de Palant est que la mise en œuvre par LastPass d'un algorithme de renforcement de mot de passe n'est pas considérée comme suffisamment solide sur la base des normes de l'industrie, ce qui rend les coffres-forts des utilisateurs beaucoup trop faciles à pirater.
Le gestionnaire de mots de passe rival 1Password a ajouté son opinion dans le mélange, affirmant qu'il en coûterait à un pirate informatique 100 $ ou moins pour déchiffrer les mots de passe principaux protégeant de nombreux coffres-forts LastPass, telle est la faiblesse des méthodes de hachage de LastPass.
Tout cela a conduit Intego à déclarer que, "compte tenu de ce que nous savons maintenant sur LastPass – à la fois sur le fonctionnement de l'entreprise et sur sa technologie – nous ne recommandons pas d'utiliser LastPass comme gestionnaire de mots de passe".
Comment protéger vos mots de passe
C'est une déclaration remarquable à faire compte tenu de la popularité de LastPass. LastPass lui-même affirme qu'il compte plus de 33 millions d'utilisateurs – si les affirmations concernant sa sécurité laxiste sont correctes, c'est un grand nombre de personnes dont les comptes, les mots de passe et les données de carte de crédit sont désormais tous potentiellement vulnérables.
À l'heure actuelle, Intego conseille aux utilisateurs de LastPass de commencer immédiatement à migrer leurs comptes vers un autre gestionnaire de mots de passe. Une fois cette opération terminée, la société recommande aux utilisateurs de mettre à jour tous les mots de passe stockés dans LastPass avec de nouveaux remplacements.
Cela montre que même les services les plus populaires ne sont pas à l'abri des attaques de piratage et des failles de sécurité. Que vous utilisiez ou non un gestionnaire de mots de passe, vous pouvez vous protéger en utilisant des mots de passe forts et uniques qui ne sont pas utilisés sur plusieurs sites. De cette façon, une violation n'entraînera pas la compromission de tous vos autres comptes.