1Password n'est pas avare en critiques envers LastPass, le gestionnaire de mot de passe qui s'est fait pirater au début du mois. Si les malandrins ont pu copier une sauvegarde des coffres-forts des clients, ceux-ci restent chiffrés : ils ne peuvent pas être déverrouillés sans le mot de passe maître. Dans un communiqué, le service estime « extrêmement difficile » pour les brigands de deviner les mots de passe des utilisateurs. Jeffrey Goldberg de 1Password affirme de son côté que les choses ne sont malheureusement pas si simples.
Dans sa communication de crise, LastPass a tenté de rassurer. Le service impose l'utilisation d'un mot de passe maître d'au moins 12 caractères depuis 2018 et la non-réutilisation de celui-ci sur un autre site. « Il faudrait des millions d'années pour trouver votre mot de passe à l'aide des technologies de cassage généralement utilisées », expliquait l'entreprise.
Jeffrey Goldberg ne l'entend pas de cette oreille et estime cette déclaration « très trompeuse ». Pour lui, elle pourrait être vraie à condition que tout le monde ait généré son mot de passe maître de manière totalement aléatoire en se servant d’un bon générateur de mots de passe. Or, l'expert en sécurité rappelle que le guide des « meilleures pratiques » en matière de mot de passe mis en avant dans l'annonce de LastPass ne mentionne pas l'utilisation d'un tel service. « Il serait donc incorrect de supposer que les utilisateurs génèrent leurs mots de passe LastPass à l'aide d'un générateur de mots de passe fort », écrit-il.
Si l'on considère tous les mots de passe possibles à 12 caractères, il existe environ 2⁷² possibilités : il faudrait plusieurs millions d'années pour les essayer toutes. […] Mais les personnes qui craquent les mots de passe créés par l'homme ne procèdent pas de cette manière. Les mots de passe créés par des humains sont craquables même s'ils répondent à diverses exigences de complexité.
Jeffrey Goldberg explique que les systèmes de crack de mot de passe vont déjà essayer des codes qu'un humain pourrait avoir créé (quitte à y ajouter des caractères complexes) du style Fido8my2Sox! avant d'élargir et d'essayer des codes générés de manière purement aléatoire, style zm-aMvY7*7eL.
Il compare cette technique à la recherche de sa voiture dont il aurait oublié l'emplacement en sortant du cinéma. S'il cherche sur toute la surface de la Terre, il lui faudra des centaines de milliards d'années pour en faire le tour. En revanche, s'il commence par regarder sur les parkings avant de viser plus large, cela sera beaucoup plus rapide.
1Password estime qu'il faudrait débourser environ 100 dollars pour essayer dix milliards de suppositions. « Étant donné que l'attaquant commence par les mots de passe les plus susceptibles d'être créés par l'homme, ces 100 dollars d'efforts sont susceptibles de donner des résultats, sauf si le mot de passe a été généré par une machine ».
Enfin, Jeffrey Goldberg termine en faisant un peu de retape pour son service : il affirme qu'une telle situation chez 1Password serait beaucoup moins intéressante pour les pirates à cause de la sécurité supplémentaire maison baptisée Secret Key. Celle-ci est créée localement sur un appareil lors de la première connexion et ne quitte jamais l'engin. Autrement dit, il est impossible pour des pirates d'ouvrir les coffres-forts simplement en essayant des milliards de mots de passe à distance.
