Le cas de LastPass s'aggrave : des mots de passe (chiffrés) sont entre les mains des pirates
C'est le scénario du pire qui se produit pour LastPass et ses clients. Le service a annoncé que des pirates avaient pu « copier une sauvegarde des coffres-forts de clients. » Autrement dit, les mots de passe (chiffrés) d'utilisateurs de LastPass sont entre les mains des malandrins. Il n'est pas clair si ce sont tous les utilisateurs du service qui sont concernés ou seulement une partie d'entre eux.
Cette fuite fait suite à une attaque subie par l'éditeur en août dernier. Grâce aux infos techniques et aux clés d'identification internes volées à ce moment-là, les pirates ont pu pénétrer dans certaines parties de l'infrastructure de LastPass, jusqu'aux données de clients. Si dans un premier temps l'entreprise a indiqué que les mots de passe ne faisaient pas partie des données compromises, il en est finalement autrement.
LastPass prévient donc que les coquillards ont pu copier une sauvegarde des coffres-forts d'utilisateurs, enregistrée dans un « format propriétaire », qui comprend des données non chiffrées, comme des URL de sites web, ainsi que des données chiffrées, dont les identifiants, les mots de passe et les notes.
Les données chiffrées le sont avec l'algorithme AES 256-bit, une méthode de chiffrement réputée forte, et peuvent être uniquement déchiffrées avec le mot de passe maître défini par les utilisateurs. Ce mot de passe maître n'étant ni connu ni stocké par LastPass, il ne fait donc pas partie de la fuite.
Néanmoins, cela ne veut pas dire que les mots de passe resteront illisibles à tout jamais pour les pirates. LastPass reconnait qu'ils risquent de vouloir deviner les mots de passe maîtres en utilisant la force brute, c'est-à-dire en testant d'innombrables combinaisons. Pour ses clients qui ont suivi ses recommandations, le service estime qu'il sera « extrêmement difficile » pour les brigands de deviner les clés des coffres-forts : « il faudrait des millions d'années pour trouver votre mot de passe à l'aide des technologies de cassage généralement utilisées. »
Ces recommandations, c'est l'utilisation d'un mot de passe maître d'au moins 12 caractères (c'est une obligation pour ceux créés depuis 2018) et la non réutilisation de ce mot de passe sur un autre site. LastPass juge que ces clients n'ont pas de mesure à prendre dans l'immédiat.
Pour les autres, ceux qui ont un mot de passe maître faible ou réutilisé, ça sent le roussi. Ils doivent changer tous leurs mots de passe par mesure de sécurité, car ils risquent d'être découverts un jour ou l'autre. Bon courage à ceux qui ont stocké des dizaines voire des centaines de mots de passe chez LastPass.
De manière générale, tous les clients de LastPass doivent redoubler d'attention, car rien qu'avec les données non chiffrées subtilisées (des URL de sites web et des données sur les clients), les pirates peuvent mettre en place des campagnes d'hameçonnage.
@switch
De mettre un peu de piment dans sa vie 😅 que serait elle sans danger ahah
Le trousseau iCloud ne sort pas de l'écosystème Apple, donc c'est non pour moi qui souhaite également avoir accès à mes mots de passe sous Linux, Windows, et ne pas être limité à Safari sur Mac.
Et puis pourquoi confier cela à un tiers quand je peux héberger mon Bitwarden chez moi, en sécurité, et qui fonctionne sur absolument n'importe quel système.
@idhem59
Le trousseau iCloud est disponible sur windows, par contre pas avec tous les navigateurs
https://www.macg.co/logiciels/2021/08/windows-apres-chrome-le-trousseau-icloud-est-desormais-compatible-avec-edge-123437
Donc ça reste insuffisant pour moi, ça ne règle qu'une toute petite partie du problème. Surtout quand d'autres solutions parfaitement multiplateformes existent, tout en restant très bien intégrées à l'écosystème Apple.
@idhem59
"Et puis pourquoi confier cela à un tiers quand je peux héberger mon Bitwarden chez moi, en sécurité, et qui fonctionne sur absolument n'importe quel système."
Exactement. On premise au maximum.
@idhem59
Sous Windows tu y a accès : https://support.apple.com/fr-fr/guide/icloud-windows/icw2babf5e03/icloud
@idhem59
Dis le plus fort encore !!!
@switch
multi plateforme
Ce genre d’apps me fait penser au VPN.
On paie pour de la sécurité sans savoir ce qu’il en est “pour de vrai!”
Malheureusement la "faille" utilisée dans le cas de LastPass (ingénierie sociale pour soutirer les accès internes d'un salarié), est impossible à supprimer et toutes les entreprises (y compris Apple) sont susceptibles de se laisser piéger ainsi.
@mounize1
+1
Un secret ne reste secret qu'à la condition d'être partagé entre soi et soi
Une stratégie de sauvegarde pas trop con d'un fichier keepass et on en parle plus.
@Jamseth
Hello. j'avais utilisé Laspast il y environ 7/8 ans. Mais cela ne me satisfaisait pas, notamment parce que je n'avais pas la maîtrise du stockage de mon coffre-fort. Depuis, j'utilise Lastpass, un Nas non ouvert pour la sauvegarde, icloud et une Yubikey... (enfin 2...) pour la mobilité. Ce n'est peut-être pas parfait, mais je me sens plus rassuré.
@lasalette
J'ai fais une coquille : j’utilise actuellement keepass (sinon mon propos n'a pas de sens). j'fatigue mouâââ
@Jamseth
"Une stratégie de sauvegarde pas trop con d'un fichier keepass et on en parle plus."
Voilà, c'est ce que je fait et c'est accessible de partout peu importe l'appareil, et simple à faire (pour ma part j'utilise Strongbox et/ou KeePass)
L'accès au données, chiffrées ou pas, est le problème fondamental.
Donc, cela revient à la même problématique au sens que si quelqu'un a accès au fichier Keepass en question, on pourra toujours faire des tentatives d'intrusion en mode force brute au même titre que les fichiers récupérés chez Lastpass.
Avec un peu de travail et quelques GPU, il est possible de faire cela en testant des millions de combinaisons à la seconde. Le plus dur restant de créer la bonne combinaison entre nom d'utilisateur et mot de passe pour ensuite permettre au GPU de faire son boulot.
C'est sur le temps que cela prend de tester ces combinaisons en mode force brute que l'on s'appuie pour dire que la qualité d'un chiffrement est plus ou moins bonne.
Maintenant, même si on dit aux utilisateurs de créer des mots de passe maître de 12 caractères, ce qui se passe souvent étant qu'un mot de passe basique est répété 1 ou 2 fois pour atteindre les 12 ou plus caractères. La aussi, c'est la pertinence de la création des dictionnaires qui va déterminé la mesure de la protection des données, car il est plus simple de faire le bon choix pour tester l'hypothèse d'un mot de passe ou quelques variations, que de tester toutes les combinaisons possibles (exemple pour 26 lettres majuscules et minuscules, 10 chiffres et 33 symboles, soit 95¹²), ce qui devrait prendre des années.
Avec un peu de travail et quelques GPU, il est possible de faire cela en testant des millions de combinaisons à la seconde.
Oui enfin l'AES-256 c'est quand même 1,15e77 combinaisons, hein...
Maintenant, même si on dit aux utilisateurs de créer des mots de passe maître de 12 caractères, ce qui se passe souvent étant qu'un mot de passe basique est répété 1 ou 2 fois pour atteindre les 12 ou plus caractères.
Oui enfin ce n'est pas le mot de passe maître qui est utilisé comme clé, ça reviendrai à réduire la taille de la clé...
@bibi81
Le but étant justement de ne pas faire de la force brute mais de tester les combinaisons nécessaires lorsqu’on dispose d’un dictionnaire d’utilisateurs et de mots de passe et que l’on fait un peu de rapprochement avec d’autres données dans la nature car on sait bien que beaucoup de gens réutilisent des mots de passe dans toutes sortes de service.
La meilleure sécurité pour les données, non chiffrées et même chiffrées, reste que celles-ci ne soient pas accessibles à des gens qui ne sont pas censés y avoir accès, car demain personne ne peut dire qu’on ne soit pas en mesure de déchiffrer tel ou tel algo de chiffrement à priori inviolable de nos jours vu la vitesse et l’obsolescence des technologies.
Vous utilisez les « coquillards » dans votre article. Comme je ne connaissais pas ce terme, j’ai été voir dans le Petit Robert et cela veut dire « anus » en vieux français. Je suppose qu’un autre terme aurait été préférable, non ? 😂 car ils ne sont pas des « anus »…
C'est pourtant assez joli pour désigner des "trous du cul" ! 😌
@Jejepv
Larousse a celle ci qui colle mieux : nom d'une bande de malfaiteurs qui portaient une coquille
Je connaissais le fait de s’en taper.
Pour les bateaux ça se dit mais je ne sais plus. Peut être une autre orthographe.
Coquillier plutôt pour le bateau, non?
Last pass c’est log me in qui avait changé de nom suite à des fuites massives.
Ma boite m’avait imposé cela bilan je sui en train de changer tous mes MDP.
Et tout mettre sur iCloud.
La mouise c’est que je suis sur PC.
@gillesb14
"La mouise c’est que je suis sur PC."
https://support.apple.com/fr-fr/guide/icloud-windows/icw2babf5e03/icloud
Ça fait plus de 8 ans que je fonctionne avec un gestionnaire de MDP, équivalent je suppose à LastPass ... je n'ai pas eu de soucis de ce genre, mais par contre mon “coffre fort“ n'est pas dans un cloud quelconque, il est uniquement dans mon ordi ... que je peux, évidemment, me faire piquer ... !
Si seulement 1Password pouvait rétablir les coffres locaux…
@ ineedsomebodyhelp
Je suis surpris que 1Password ne donne plus la possibilité de stocker en local ... il est vrai je suis resté “bloqué“ avec une version qui commence à dater ... 6.8 ... mais pour une autre raison, je n'étais pas d'accord avec les abonnements ... !!
@ineedsomebodyhelp
100% d’accord !!
Bitwarden avec coffre local sur mon NAS, synchronisable par tous mes terminaux sur tous les OS utilisés et basta la comedia.
La confiance en 2022 se limite à l'interface entre la chaise et le clavier, c'est dire le risque encouru quand vous livrez vos données les plus critiques à des inconnus sur un cloud à l'autre bout de la planète.
Il faut en conclure que de nombreux utilisateurs aiment le risque.
sauf que ton NAS va te couter plus cher en électricité que un abonnement. bientôt le prix de l'électricité sera basé sur l'empreinte carbone. plus tu vas consommer plus tu vas payer, si tu dépasses le quota. le % de l'empreinte carbone mensuelle est déjà en place chez les opérateurs (SFR par ex).
sauf que ton NAS va te couter plus cher en électricité que un abonnement.
Ça reste à voir, surtout que le NAS ne sert pas qu'à ça.
le % de l'empreinte carbone mensuelle est déjà en place chez les opérateurs
C'est un chiffre bidon : https://www.macg.co/ailleurs/2022/01/lempreinte-carbone-va-safficher-sur-les-factures-de-telephonie-et-dinternet-fixe-126391
D'ailleurs chez Free tout le monde a le même.
Si les mots de passe sont chiffrés en AES 256-bit alors ils sont pour l'heure indéchiffrables, du moins tant qu'on n'a pas le mot de passe maître. Autrement dit, il faut choisir le mot de passe maître avec soin. C'est vrai avec LastPass mais aussi avec iCloud, 1Password et autres Bitwarden.
À titre d'exemple, voici une bonne méthode pour créer un mot de passe : choisir cinq mots au hasard sur ce site : https://www.palabrasaleatorias.com/mots-aleatoires.php
Voilà, c'est tout. Le site a une liste de 4000 mots, vous avez donc 5 puissance 4000 combinaisons. C'est amplement suffisant. Et si ça ne vous suffit pas, combinez les langues, le site en propose douze.
À+
Cette histoire apporte de l’eau à mon moulin.
Il y a quelques jours, je réagissais à l’article concernant bitwarden, et j’écrivais que je ne voulais PAS d’un gestionnaire de MDP avec stockage en ligne.
Bon. CQFD.
Le seul risque, je pense, c'est que les hackers recoupent les informations issues des quelques bases de données contenant des duos idenfitiant-mot de passe, volés par le passé. Et de tester cela pour tenter d'ouvrir les sauvegardes en leur possession. Seuls les utilisateurs, qui auraient eu la stupide idée d'utiliser le même mot de passe pour leur gestionnaire de MDP que celui de leur compte Mail ou de tout autre compte important, devraient peut-être stresser un peu.
Mais tenter de vouloir craquer toutes les sauvegardes volées n'a aucun sens et nécessiterait des moyens techniques colossaux sans pour autant garantir un résultat. Franchement, seul l'avenir dira les conséquences réelles de cette histoire.
En attendant, à tous les détracteurs de ces gestionnaires, merci de me citer un seule article parlant d'une personne dont le contenu (et pas le coffre sécurisé) de son gestionnaire de MDP, correctement protégé par un mot de passe solide, a vraiment été volé par un hacker. Si cet article existe, je serais enchanté d'en prendre connaissance.
ils veulent pas hacker le compte d'un utilisateur lambda où y a rien dessus (pas d'argent ou des secrets industriel par ex). c'est vols de données les font que pour discréditer les éditeurs qui font des profits dessus en les vendant leurs solutions comme impénétrables.
s'ils cherchent à voler tes données ils feront pareil ce qu'ils ont fait avec Laspass, et tu seras volé pareil.
Et de tester cela pour tenter d'ouvrir les sauvegardes en leur possession.
Avoir le mot de passe en clair et en chiffré ne permet pas de trouver la clé. Donc non même en connaissant un mot de passe cela ne permet pas d'"ouvrir" les sauvegardes.
Pour rebondir sur cette actualité, voici un lien que j'avais conservé et qui donne des infos intéressantes, en particulier concernant HashCat que je ne connaissais pas avant de lire l'article :
https://www.01net.com/actualites/voici-les-logiciels-quutilisent-les-pirates-pour-derober-vos-mots-de-passe.html
J’ai retiré de Dashlane mes mots de passe importants (mails, clouds, banques, comptes mobiles, santé, impôts).
Pour tout le reste, que je considère comme pas stratégique, je continuerai à faire confiance à Dashlane.
À supposer que ça leur arrive, j’ai pas loin de 700 mots de passe dedans, ça prendrait un certain temps à changer tous les mots de passe mais c’est pas insurmontable, et ça sera l’occasion d’un peu de ménage.
Lastpass est en plus le seul logiciel de mots de passe sur oculus quest . J’ai trouvé ça super étrange de voir dans le shop du quest
Article intéressant...
"« Ce n’est pas assez sécurisé » et autres idées reçues sur les gestionnaires de mots de passe"
https://www.numerama.com/tech/1169262-ce-nest-pas-assez-securise-et-autres-idees-recues-sur-les-gestionnaires-de-mots-de-passe.html
Perso cela fait des années que j'ai sur mon ordi (et donc sur mes sauvegardes physiques non connectées ) une image disque sparsebundle cryptée AES 256 sur laquelle je stocke toutes mes données sensibles, j'avoue que parfois je me contente du trousseau.
Voila ça marche bien comme ça .
Je me pose la question sur la sécurité du logiciel Notes quant aux notes sécurisées ? C'est bien pratique , je n'ai aucune idée si c'est facilement craquable ou pas ?
Joyeux Noël
Quand on a un mot de passe maître assez fort puis des mot de passe fort (généré par le gestionnaire de mot de passe) avec le 2FA partout où c'est dispo et des passkeys partout où c'est dispo alors je trouve qu'on a pas trop à craindre.
La plupart des chercheurs en sécurité préconisent keepass X, XC, DX... Bref un gestionnaire opensource et dont on peut faire ce que l'on veut de la base de données ! Ne jamais vous fiez à un tiers surtout pour quelque chose d'aussi important
Pages