Le cas de LastPass s'aggrave : des mots de passe (chiffrés) sont entre les mains des pirates
C'est le scénario du pire qui se produit pour LastPass et ses clients. Le service a annoncé que des pirates avaient pu « copier une sauvegarde des coffres-forts de clients. » Autrement dit, les mots de passe (chiffrés) d'utilisateurs de LastPass sont entre les mains des malandrins. Il n'est pas clair si ce sont tous les utilisateurs du service qui sont concernés ou seulement une partie d'entre eux.
Cette fuite fait suite à une attaque subie par l'éditeur en août dernier. Grâce aux infos techniques et aux clés d'identification internes volées à ce moment-là, les pirates ont pu pénétrer dans certaines parties de l'infrastructure de LastPass, jusqu'aux données de clients. Si dans un premier temps l'entreprise a indiqué que les mots de passe ne faisaient pas partie des données compromises, il en est finalement autrement.
LastPass prévient donc que les coquillards ont pu copier une sauvegarde des coffres-forts d'utilisateurs, enregistrée dans un « format propriétaire », qui comprend des données non chiffrées, comme des URL de sites web, ainsi que des données chiffrées, dont les identifiants, les mots de passe et les notes.
Les données chiffrées le sont avec l'algorithme AES 256-bit, une méthode de chiffrement réputée forte, et peuvent être uniquement déchiffrées avec le mot de passe maître défini par les utilisateurs. Ce mot de passe maître n'étant ni connu ni stocké par LastPass, il ne fait donc pas partie de la fuite.
Néanmoins, cela ne veut pas dire que les mots de passe resteront illisibles à tout jamais pour les pirates. LastPass reconnait qu'ils risquent de vouloir deviner les mots de passe maîtres en utilisant la force brute, c'est-à-dire en testant d'innombrables combinaisons. Pour ses clients qui ont suivi ses recommandations, le service estime qu'il sera « extrêmement difficile » pour les brigands de deviner les clés des coffres-forts : « il faudrait des millions d'années pour trouver votre mot de passe à l'aide des technologies de cassage généralement utilisées. »
Ces recommandations, c'est l'utilisation d'un mot de passe maître d'au moins 12 caractères (c'est une obligation pour ceux créés depuis 2018) et la non réutilisation de ce mot de passe sur un autre site. LastPass juge que ces clients n'ont pas de mesure à prendre dans l'immédiat.
Pour les autres, ceux qui ont un mot de passe maître faible ou réutilisé, ça sent le roussi. Ils doivent changer tous leurs mots de passe par mesure de sécurité, car ils risquent d'être découverts un jour ou l'autre. Bon courage à ceux qui ont stocké des dizaines voire des centaines de mots de passe chez LastPass.
De manière générale, tous les clients de LastPass doivent redoubler d'attention, car rien qu'avec les données non chiffrées subtilisées (des URL de sites web et des données sur les clients), les pirates peuvent mettre en place des campagnes d'hameçonnage.
Les gestionnaires de Mdp sont une passoire numérique, autant les noter sur un calepin
@famousneko
Pas super pratique quand tu as en plus de 200… 😅
un tableur Excel et basta
@famousneko
si vous etes plusieurs dans le foyer sur des tas de devices différents ben non
ca marchera pas. d’autant qu’on doit changer ses pwd régulièrement le long de l’année
un tableur excel ... un truc en local non chiffré, ultra facile d'accès, mais quelle bonne idée
@pocketalex
Oui. J’utilise un tableur Numbers.
Verrouillé avec un mot de passe dans une session sous mot de passe également.
Apparement plus sécurisée que LastPass
@Powerdom
En effet vu comme ça.
Mais ce procédé a le défaut du matériel (panne disque ou pire) et surtout c’est bien lorsque vous n’avez qu’un profil à gérer (le vôtre).
Cela dit le mot de passe intégré aux logiciels n’est jamais bien robuste. Certes, la probabilité que quelqu’un vienne le chercher demeure anecdotique.
@Powerdom
Pour que quelqu’un vienne chercher le fichier il faut qu’il en ait envie et nous cible. A moins d’être une société ou une personne en vue il y a peu de risques. En prenant quelques précautions c’est beaucoup moins dangereux que de les mettre en ligne. C’est une hérésie car les gestionnaires sont les premières cibles avec un cran d’avance pour les hackers.
Je suis assez d’accord avec le commentaire suivant : un bon mot de passe et surtout pas partout le même. Un fichier pour les planquer en les modifiant selon un truc à nous, un code pour le fichier et l’ordi. Et voilà. Et surtout pas besoin de multiplier ce fichier sur plusieurs appareils car pour la plupart on peut les perdre et se le faire renvoyer en quelques minutes.
@pocketalex
Surtout Excel et ses piratages permanents 😂
@ pocketalex
Avec Office365, son fichier excel se retrouve même exploitable par Microsoft et probablement copié sur son Drive. Y'a pas à dire, c'est un choix sécurisant.
@bonnepoire
moi ma solution n'est surement pas la meilleure, mais elle fonctionne
j'en ai déja parlé maintes fois ici, il s'agit du logiciel Keepass, bien connu, rien de nouveau, totalement gratuit, sécurisé AES256 avec mot de passe + sélection d'un fichier spécifique au login, verrouillage du logiciel automatique au bout de xxx secondes, nettoyage du presse papier au bout de xxx sec
le tout en local, rien en ligne, donc déja pour vous piquer la base il faut un accès à votre ordinateur, ce qui limite fortement par rapport à un truc en ligne ou l'ensemble de la terre entière peut tenter le coup
Ajoutez à ça les services en ligne, maintenant inclus dans les navigateurs, de vérification de présence de vos identifiants/mot de passe sur les bases qui répertorient les sites craqués et les bases de mots de passe qui circulent, et on commence à être pas mal
@pocketalex
C’est une question de modele de risque. Dans beaucoup de scenarios, on peut justement préfèrer éviter ce genre de solutions, en considérant que l’on aura plus de mal a attaquer une solution centralisée bien défendue, qu’une session ou machine d’un utilisateur local.
@Sometime
en fait, je présente ma solution de manière très modeste et humble, et vous avez raison de souligner qu'elle n'est absolument pas universelle
par contre ... quand je vois les trous de sécurité de mon entourage, je me dis juste que ce serait déja bien que ces gens là utilisent ce gestionnaire de mot de passe (ou un autre). rien que ça, c'est pas grand chose, mais ça éviterait tellement de galères et déconvenues
@famousneko
Pas super pratique 😅
@ famousneko
Pourquoi pas effectivement Excel ... mais un simple gestionnaire de MDP dont le “coffre fort“ n'est que dans l'ordi est aussi sécuritaire, et peut-être, un peu plus pratique d'emploi ... !?!?
@Chris K
Répertoire téléphonique des années 90! On en trouve encore en grand format! 😅
@Khrys
Arf j’ai connu… dans la poche c’est pas top 😁
@famousneko
Sans arriver à de tels extrêmes iCloud ou Google sont de confiance. Personne n’est exclu d’un piratage mais ces entreprises ont les moyens autrement plus conséquents de protéger les mots de passe.
Et avec les passkeys les piratages devraient appartenir au passé pour la plupart
@cosmoboy34
"Et avec les passkeys les piratages devraient appartenir au passé pour la plupart"
Le problème des passkeys c’est qu’elle sont toujours accompagné d’un mot de passe pour les créer ou les récupérer en cas de perte de l’appareil qui contient vos clés privées.
Donc en fait il y a toujours un mot de passe à stocker.
@Brice21
C’est vrai mai des mots de passe autrement plus sécurisés que ceux créés par les utilisateurs
@cosmoboy34
Ca depends des services. Dans la plupart des cas, l’utilisateur choisit son password.
@famousneko
Moi j’héberge le mien: problème réglé.
on peut faire nous même un gestionnaire de mots de passe individuel avec FileMaker. qui fonctionne sur tous les appareils Apple en plus.
Après ça , LastPass devrait être mort.
@Giloup92
Il faut reconnaître qu’ils sont en échec constant depuis quelques temps.
C’est le système que j’utilisais il y a 15-20 ans. J’éviterais soigneusement désormais.
Règle numéro 1 : Ne jamais faire confiance à un tiers
« il faudrait des millions d'années pour trouver votre mot de passe à l'aide des technologies de cassage généralement utilisées. » année après année l’impossible devient possible. Mais le plus facile reste toujours le maillon faible
@Franck971
Heureusement que les ordinateurs quantiques ne sont pas à la portée des hackers… car ils sont capable de briser les clés basée sur l’asymétrie du factoring de nombres en nombres premiers, ce qui est derrière toutes nos technologies actuelles d’encryption.
@Brice21
Certaines sociétés commencent à proposer une solution à ce problème en découpant les fichiers déjà chiffrés et en les répartissant ailleurs
Du coup les attaques de type brute force ne marchent plus
Certaines sociétés commencent à proposer une solution à ce problème en découpant les fichiers déjà chiffrés et en les répartissant ailleurs
Du coup les attaques de type brute force ne marchent plus
A condition que la découpe soit bien faite, si c'est une découpe par paquets de mot de passe alors l'attaque fonctionne toujours. Il faut découper chaque mot de passe pour que ça marche (et encore)...
Icloud reste la meilleur plateforme pour les mots de passes !!
@mounize1
Merci pour cette merveilleuse pub! 😂
@mounize1
Forcément, il y a tellement aucun device compatible correctement avec cette solution que personne compte s’y attaquer. Si tu travailles avec un PC Windows au boulot, t’es juste voué à t’embêter à taper ton mot de passe à la main à chaque fois.
@Olivier_D
C’est faux, iCloud pour Windows permet d’utiliser les mots de passes stocké dans le Keychain d’Apple dans Edge et Chrome sous Windows!
C’est nettement plus simple à installer et configurer que LastPass et bien mieux sécurisé.
https://support.apple.com/fr-fr/guide/icloud-windows/icw2babf5e03/icloud
@Brice21
Oui bien sûr, sauf qu’aucun service IT compétent laissera qui que ce soit installer iCloud ou tout autre système de cloud sur un pc du boulot.
Ils sont transparents c’est un bon point… après ça a eu lieu il y a 6 mois et donc n’avoir les détails que maintenant c’est pas top.
J’essaie de mémoire pour ma part et si j’oublie rappel de mdp 🤨
@Insomnia
Je faisais ça avant, j’avais le même mot de passe pour tous les sites. C’était génial 🤪
Mais bon, c’était une autre époque, le siècle dernier… 👨🏻🦳👵🏻
@noooty
Ah ouai carrément 🙃 c’est risqué d’avoir le même mdp partout quand même
@Insomnia
Et plus qu’un peu risqué
☺️ ☺️
🤪 🤪
😅 😅
😂 😂
🤣
🤯
🤯🫥🤯
@noooty
Si tu mets un mdp vraiment aléatoire avec des caractères spéciaux devrait le faire 😱 ou pas 🫥
😂😂 j’adore!
Et après on nous retire les licences perpétuelles et on nous force à prendre un abonnement en nous expliquant que nos mots de passe sont plus sécurisé chez eux que chez nous…
#1password
@Stephane Moussie
Merci pour « Coquillards »
C’est de bon aloi .
🙋🏽♂️🙏🏽👍🏾
Pourquoi utiliser un gestionnaire de mots de passe quand le trousseau suffit ?
@switch
Je me pose également la question : L’application « Trousseau » sur mon Mac synchronisée avec mon iPhone et mon iPad via iCloud me semble suffisamment sécurisée.
Le seul défaut est que je n’ai pas accès à mes mots de passe sur mon PC professionnel sous Windows10 car mon service informatique refuse d’autoriser l’usage ee la synchronisation des mots de passe sur Edge via iCloud pour Windows.
@Karamazow
"mon service informatique refuse d’autoriser l’usage ee la synchronisation des mots de passe sur Edge via iCloud pour Windows"
Dans ce cas il refusera probablement d’installer LastPass et les autres gestionnaires de mots de passe.
Peut-être pour avoir accès à ses mots de passe également sur un smartphone ou une tablette Android (tout le monde n'est pas 100% Apple) ou sur d'autres navigateurs que Safari.
Moi ce qui m'incite à ne pas utiliser Trousseau c'est que les solutions proposées pour exporter ses mots de passe, le jour où j'aurais envie de changer de matériel et quitter Apple, ne sont pas satisfaisantes.
J'évite toutes les solutions propriétaires qui me rendent prisonnier d'un fournisseur.
Faire totale confiance à Apple, je m'en suis mordu les doigts quelques fois par le passé. Maintenant j'évite autant que possible.
@r e m y
Sur iCloud.com sur Android tu as accès. Bon c’est pas super pratique mais y’a un accès.
Une appli Apple serait bienvenu pour Android tant les mots de passes sont importants. ça dépasse les clivages de plateforme
L'accès via iCloud.com ne donne pas accès au contenu du trousseau, si?
Quand je me connecte à iCloud.com, je ne vois pas de "trousseau".
Et de toutes façons ce serait loin d'être satisfaisant comme solution, par rapport à un gestionnaire de mots de passe.
@r e m y
Ah oui je viens de regarder c’est pas possible.
Pourtant il me semblait avoir déjà consulté mes mots de passes sur iCloud y’a un moment quand j’avais cassé mon iPhone 🤔
Pages