LastPass : des mots de passe maître compromis
Des utilisateurs de LastPass subissent actuellement des tentatives d'effraction de leurs comptes. Des témoignages sur Twitter, Reddit et ailleurs s'alarment des courriels d'alerte reçus après qu'un pirate a tenté de se connecter avec les identifiants et mots de passe maître de leurs victimes. Fort heureusement, LastPass bloque la tentative car la localisation de la connexion n'est pas reconnue.

LogMeIn, le propriétaire de LastPass (avant que le gestionnaire de mots de passe ne gagne son indépendance), a expliqué à BleepingComputer qu'il s'agissait d'attaques provenant d'un bot. Ce dernier tente de pénétrer dans les comptes avec des informations obtenues par le biais de failles de sécurité dans des bases de données1.
Une solution est de modifier le mot de passe maître, si celui-ci est identique à d'autres comptes (ce qui arrive trop souvent). Mais l'affaire n'est pas terminée : des utilisateurs ont continué à recevoir l'e-mail d'alerte de LastPass après le changement du mot de passe. Nul doute que le service est sur les dents et qu'il communiquera rapidement sur le sujet.
-
Le service Have I Been Pwned saura vous dire si c'est le cas avec un de vos comptes. Sinon, les gestionnaires de mots de passe comme celui de Safari intègrent des dispositifs prévenant qu'un mot de passe a été compromis. ↩︎
Vive Bitwarden
@FreezeCorleone
Oh oui…. Bien d’accord!
@FreezeCorleone
Surtout auto hébergé. Faut trouver l’adresse où faire l’attaque et après il faut le mot de passe, ça commence à faire beaucoup de si. En plus, j’ai une double authentification d’activée. Bref, dormir tranquille est un choix ;-).
J’ai d’ailleurs arrêté Dashlane pour Bitwarden.
J'utilise aussi Bitwarden sur mon NAS avec double auth.
@willremi
Ça veut dire usage d’une app genre Google Authenticator?
Et comment ça se passe lorsque la saisie du password dans safari fait appel à l’app Bitwarden a travers l’extension?
@julien74
Evite Google Authenticator, Authy….
Il y a d’autres alternatives car c’est un standard ouvert.
Je conseille Raivo OTP dans l’eco-système Apple.
Chaque 2FA est basée sur une seed qui est générée lors de la mise en place du système. Chaque Seed rend le tout portable. Authy ne te donnera plus jamais accès à tes Seeds! C’est une grosse arnaque.
Google Authenticator, un, c’est Google, et deux, l’App n’est pas protégée par un passcode ou FaceID ou TouchID… Moyen.
@0MiguelAnge0
J’utilise Authy, quelle est la difficulté, svp ?
@0MiguelAnge0
Ouais m’enfin on se rend compte que pour un mot de passe sur un site:
Safari lance l’app bitwarden
Qui demande un master password
Puis un 2FA
On lance l’app dédiée
Qui demande à s’authentifier aussi
On se rend compte du délire ou pas?
@julien74
Euh…. Tu choisis comment l’extension fonctionne. Tu peux jamais te delogger si cela te chante, demander ton Master PWD uniquement quand Safari se lance et demander ou non le 2FA à chaque fois et mixer le tout avec la reconnaissance biométrique.
C’est affaire de CHOIX et c’est cela qui est bien.
@0MiguelAnge0
J’utilise Authy depuis de nbreuses années et je n’ai jamais eu de soucis. Je suis passé par plusieurs modèles d’iPhone et même brièvement sur un Android et j’ai chaque fois eu accès à mes seeds. Il y a sans doute d’autres apps aussi bonnes mais je suis resté sur Authy.
Quel est le soucis ?
Vous ne généralisez pas sur base d’une expérience malencontreuse?
@bouh
Authy n’est pas open source et n’est pas vraiment mis à jour
@bouh
Tu ne peux exporter que dans le cloud Authy.
As- tu essayé de migrer tes seeds sur une autre App? Essaye et tu verras le business model de ces concepteurs!
Avec RovTP que j’ai conseillé, tu peux exporter tes seeds de n’importe quel appareil dans un fichier CSV, zipper et protéger par ton Master PWD.
Le hic, c’est que cela reste dispo que dans le monde d’Apple. Mais ayant mon Phone tjrs sur moi, je trouve que c’est pas la fin du monde de recopier 6 chiffres au clavier, ce qu’Apple force à faire périodiquement.
Dans le même genre, Autheticator de MS qui permet la sauvegarde que dans leur cloud.
Je fuis toute app qui ne permet pas d’aller voir ailleurs et qui ne respecte pas mes choix, car c’est un choix déliberer de pourrir toute la transition.
Ensuite, Authy fait le job mais générer un 2FA en suivant le standard ce n’est pas non plus comme envoyé une fusée vers la Lune…
Alors oui Discord ne propose que le 2FA avec Authy et c’est là qu’on se rend compte quels services il faut éviter…
@FreezeCorleone
"Vive Bitwarden"
Le vrai danger c’est de se croire à l’abri.
Un argument supplémentaire pour ceux qui sont contre les gestionnaires de mots de passe. Et du coup ça va créer le doute sur tous les gestionnaires, dommage.
Si le problème en cours, c'est qu'un bot teste des mots de passe d'une base de données pirate, sur la page de connexion LastPass. Rien d'étrange ni de dangereux là-dedans, sauf pour les gens qui utilisent plusieurs fois le même mot de passe bien sûr. Si au contraire le problème est plus sérieux et que des mots de passe uniques pour déverrouiller un coffre LastPass ont fuités suite à une faille (ce ne serait pas la première fois), alors là ça craint en effet.
@Tetaroide Bleu
Lastpass n’a pas besoin du mot de passe principal donc si fuite c’est que les utilisateurs ont utilisé le même PWD master.
En l’occurence le bot tente avec des mail compromis de vérifier s’il peut accéder au coffre.
Cela n’impacte que ceux qui utilisent un PWD plus d’une fois. Mais ceux utilsants ces services sont en général moins prompts à faire cette heure.
Bref, ne pas oublier le 2FA en dernier rampart.
Trousseau est pour moi parfait, complètement intégré et gratuit…
@Yves SG
Pas multi-platforme…
@0MiguelAnge0
iMac, MacBook Pro, iPad et iPhone… Tout ce qu’il me faut 😜 !
@Yves SG
Idem 🥰
@Yves SG
iCloud est utilisé pour la copie entre iBidule mais le fichier est crypté.
Les PWD Manager aussi propose cette feature mais je déconseille de miser tout sur un service pour plus de sécurité.
@Yves SG
Pareil pour moi 😊. C’est aussi celui que j’utilise🥰
@Yves SG
J’utilise aussi trousseau d’accès par fainéantise.
Mais ce n’est pas une bonne solution.
Complètement intégré, oui, mais seulement sur du matériel Apple et sur Safari. Par ailleurs Apple complique la vie à l’intégration des autres solutions et n’offre pas de solution pour exporter nos mots de passes vers un format ouvert si l’on veut changer de solution. (On maintenant récupérer les morts de passes Web dans Safari dans un fichier CSV, mais pas ceux des applications, ni les notes sécurisées).
Gratuit, non, seulement compris dans le prix du matériel qui est vendu avec une marge record et piège l’utilisateur dans son écosystème.
Surtout, non open source, donc dangereux.
@madmak
Seulement pour du matériel Apple et Safari : encore une fois, ça me convient parfaitement.
« Gratuit, non, seulement compris dans le prix du matériel qui est vendu avec une marge record et piège l’utilisateur dans son écosystème. »
Pour information, ça s’appelle une croyance (et en aucun cas une analyse ou encore moins un fait)
On a tous nos croyances, et il n’y a pas de problème avec ça, juste qu’il est vain d’essayer de vouloir que tout le monde les partage.
« Surtout, non open source, donc dangereux. »
Là ce n’est même plus une croyance, c’est carrément un fantasme 😜
(On en tous aussi 😉)
@madmak
Je rejoins l’avis de Yves là dessus.😘
Oui c’est très (totalement) centré sur les produits apple… mais si on a que des produits apple justement … c’est une solution parfaite🥰. Au même titre que pour toi, ta solution est parfaite pour ton usage mais ne correspondra pas à une autre personne etc etc 😊.
Si il y avait une solution parfaite pour tout le monde, il n’y aurait pas d’autres produit dans le marché 😋🥰
@cecile_aelita
"Si il y avait une solution parfaite pour tout le monde, il n’y aurait pas d’autres produit dans le marché 😋🥰"
———
Ah si !
Il y aurait toutes les solutions imparfaites et bancales faites pour les pauvres qui n’ont pas les moyens de s’offrir la solution « parfaite ». 😬
@MarcMame
Oui c’est une façon de voir les choses, mais je suis sure que tu as très bien compris ce que j’ai voulu dire 😋🥰😘
Voilà pourquoi on aurait aimé que 1Password conserve la synchro locale des coffres locaux.
Si quelqu’un connaît un outil concurrent sérieux qui le gère…
@ineedsomebodyhelp
Secrets fait très bien le job je trouve
@ineedsomebodyhelp
keepass XC
@Tetaroide Bleu
Enfin quelqu’un de raisonnable !
@tupui
Mais il n'est clairement pas aussi accessible et clé en main que les solutions privées. Qui sont elles-mêmes peu accessibles pour une gargantuesque partie de la population connectée, et je pèse mes mots. Je persiste à penser qu'il vaut mieux un mot de passe unique et complexe proposé automatiquement par les "gestionnaires" intégrés aux systèmes ou aux navigateurs (qui se sont améliorés globalement il faut le reconnaître et suffisent à une majorité d'utilisateurs), plutôt que de réutiliser un mot de passe où le noter dans un carnet.
@ineedsomebodyhelp
Enpass le gère. Un très bon remplacent à 1Password, que j’utilise maintenant depuis des années
@ineedsomebodyhelp
Onesafe+
Je stocke mes mots de passe dans un dossier dans mon icloud, et peut partager entre mes matériels.
Avec un mot de passe qui protège ce fichier dans le dossier dédié
C’est ce que j’ai trouvé de mieux, mais peut-être qu’il y a des éléments de protection, ou des notions que je n’ai pas.
Vous êtes organisé comme quelqu'un qui se penserait protégé des cambriolages en ayant retiré la porte d'entrée de son logement.
L'insécurité de n'importe quelle cloud n'est plus à prouver et ses faits divers quotidiens le démontrent.
Y stocker des mots de passe dans un fichier non protégé par mot de passe est une forme de roulette russe excellente pour la tension artérielle.
La seule solution sérieuse, protégée et confortable est un gestionnaire de mots de passe dont le coffre est domicilié sur votre propre cloud, c'est à dire un NAS, avec double authentification.
@Castio
Merci
Bonjour je n’ai aucune prétention à être un donneur de leçon, mais Je suis ouvert aux suggestions.😌
Mon icloud a un mot de passe
Le fichier que j’y stocke est aussi protégé par un mot de passe.
Mon NAS a la double authentification, mais je n’ai pas encore testé bitwarden dessus.
@ineedsomebodyhelp
J'utilise 1Password 7 sur Mac, iPhone et iPad (le tout en licence perpétuelle) et j'ai toujours la synchro locale...
@Targorn
Mais la version 8 ne proposera plus cette option.
@Tetaroide Bleu
Certes, à moins qu'ils ne changent d'avis. 🤞
Personnellement, et plus que l'abonnement obligatoire, c'est la disparition de cette possibilité qui me pousse/poussera à abandonner 1Password, même si je n'ai pas encore trouvé de solution de remplacement pleinement satisfaisante (pour l'instant c'est le trousseau qui s'impose à défaut de mieux... ).
Rien de tel que 1Password qui en dehors du fait qu'il faut connaitre le nom de sous-domaine du compte 1Password de la personne qu'on vise (et il a plusieurs extensions possible: .com, .ca, .eu), il faut également la clé de sécurité et le mot de passe maître !
Avec ça peut de chance qu'une tentative de piratage arrive au bout. Où alors le problème ne vient pas de 1Password !
Ce n’est pas la première fois chez Last Pass ce genre de soucis…
@damien.thg
Il faudrait peut-être attendre de savoir d’où vient la fuite…
En lisant ça et là, il y a des indices qui mènent vers une app de phising téléchargée qui a attaqué l’extension LastPass pour Chrome, qui a eu pour effet s’exfiltrer le Master Password.
Est ce que la faille vient de Chrome, ou il y a eu le chargement d’une extension vérolée aussi en plus, c’est trop tôt pour le dire.
Mais en tout cas, Lastpass a sauvé la mise en analysant l’IP de connection et/ou le 2FA activé
Avoir un seul mot de passe maître pour gérer tous ces comptes et une erreur fondamentale de sécurité et revient pratiquement au même que d'utiliser le même mot de passe partout avec un seul cran de sécurité en plus puisqu'il est enregistré sur la machine plutôt que sur le net, mais les conséquences en cas de hack sont bien plus dévastatrices puisque le hacker (sur le net ou qui a accès la machine physique) à du coup accès à tous les mots de passe. Il est bien plus sûr d'avoir des mots de passe différents en utilisant une formule de mot de passe unique que seule l'utilisateur connait, facile à se rappeler, et qui créer un mot de passe unique pour chaque site ou service ou app. Je ne compte plus le nombre de fois où l'iPhone m'indique de sites compromis et recommande le changement de mot de passe. Dès lors, le mot de passe maître devient peu utile, puisqu'il faut de toute façon modifier le mot de passe sur le site hacké et que l'on ne s'en souvient généralement pas.
@Nord
C'est sur que si tu te fais hacker ton mot de passe maître, c'est la porte ouverte à TOUTE ta vie numérique : sites consultés avec accès aux comptes, banque, tout l'administratif, tout ce qui est intime, ... tout
Perso ma solution n'est pas la panacée, mais j'utilise un password manager en local, et non un service en ligne
Pour accéder à ma base, il faut que le hacker hack ma machine, puis trouve le fichier de base de données qui est crypté en SHA-256, et pour le décrypter il faut le mot de passe "maître", que je n'utilise nulle part en ligne, et aussi un fichier qui est déposé dans mon ordinateur à un endroit différent de la base de mots de passe
ça fait pas mal de taf, faut en vouloir, surtout que je suis loin d'être millionaire, je mise donc sur le ratio efforts/gain pour décourager les éventuels acharnés
Finalement, le mot de passe écrit sur un post-it collé sur le bord de l'écran reste la solution la moins susceptible de se faire hacker! 😎
(Sans compter que le post-it peut faire un très bon cache caméra...)
@r e m y
Excellent, c’est LE truc de fin d’année 2021 : piratage rigoureusement impossible et économie maximum !
Je crois que je vais essayer mais je recommande de coller le post-it à l’envers pour faire croire à du cyrillique…
@Mac Hiavel
Surtout si le post-it est sur l’écran du boulot et que tout le monde est en télétravail.
Sécurité maximale!
🤪
Et comme disait Coluche : "Compromis, chose due !"
J'utilise 1Password depuis sa création, et aujourd'hui en mode 2FA quand c'est possible.
L'avantage sur le Trousseau est double :
1. Il fonctionne aussi bien sur Mac, iPadOS, iOS que sur PC. Je m'en sers aussi sur PC avec Edge.
2. Chaque entrée comporte des champs permettant d'ajouter des copies écrans par ex. Pour mes logiciels, j'inscris mes numéros de licence, le lien de téléchargement, le lien vers l'assistance MDP/ID, la facture en PJ et une note manuscrite si nécessaire. C'est très pratique.
Par ailleurs, 1Password fait aussi office d'app d'authentification.
« des utilisateurs ont continué à recevoir l'e-mail d'alerte de LastPass après le changement du mot de passe »
Ouai, ça ça pue quand même sévèrement, non ? Ça annihile leur défense qui consiste à dire que c’est des mots de passes issus d’autres fuites qui sont testés.
Je comprends pas comment on peut être stupide au point d’utiliser son mots de passe maître ailleurs, et ne pas utiliser de second facteur. Franchement, ça me dépasse. Ça annule pas les chances de se faire pirater, mais ca les réduits quand même très fortement.
Pages