1Password critique la communication de crise de LastPass

Félix Cattafesta |

1Password n'est pas avare en critiques envers LastPass, le gestionnaire de mot de passe qui s'est fait pirater au début du mois. Si les malandrins ont pu copier une sauvegarde des coffres-forts des clients, ceux-ci restent chiffrés : ils ne peuvent pas être déverrouillés sans le mot de passe maître. Dans un communiqué, le service estime « extrêmement difficile » pour les brigands de deviner les mots de passe des utilisateurs. Jeffrey Goldberg de 1Password affirme de son côté que les choses ne sont malheureusement pas si simples.

Dans sa communication de crise, LastPass a tenté de rassurer. Le service impose l'utilisation d'un mot de passe maître d'au moins 12 caractères depuis 2018 et la non-réutilisation de celui-ci sur un autre site. « Il faudrait des millions d'années pour trouver votre mot de passe à l'aide des technologies de cassage généralement utilisées », expliquait l'entreprise.

Jeffrey Goldberg ne l'entend pas de cette oreille et estime cette déclaration « très trompeuse ». Pour lui, elle pourrait être vraie à condition que tout le monde ait généré son mot de passe maître de manière totalement aléatoire en se servant d’un bon générateur de mots de passe. Or, l'expert en sécurité rappelle que le guide des « meilleures pratiques » en matière de mot de passe mis en avant dans l'annonce de LastPass ne mentionne pas l'utilisation d'un tel service. « Il serait donc incorrect de supposer que les utilisateurs génèrent leurs mots de passe LastPass à l'aide d'un générateur de mots de passe fort », écrit-il.

Si l'on considère tous les mots de passe possibles à 12 caractères, il existe environ 2⁷² possibilités : il faudrait plusieurs millions d'années pour les essayer toutes. […] Mais les personnes qui craquent les mots de passe créés par l'homme ne procèdent pas de cette manière. Les mots de passe créés par des humains sont craquables même s'ils répondent à diverses exigences de complexité.

Jeffrey Goldberg explique que les systèmes de crack de mot de passe vont déjà essayer des codes qu'un humain pourrait avoir créé (quitte à y ajouter des caractères complexes) du style Fido8my2Sox!‌ avant d'élargir et d'essayer des codes générés de manière purement aléatoire, style zm-aMvY7*7eL.

Un code d’accès enregistré dans 1Password 8.

Il compare cette technique à la recherche de sa voiture dont il aurait oublié l'emplacement en sortant du cinéma. S'il cherche sur toute la surface de la Terre, il lui faudra des centaines de milliards d'années pour en faire le tour. En revanche, s'il commence par regarder sur les parkings avant de viser plus large, cela sera beaucoup plus rapide.

1Password estime qu'il faudrait débourser environ 100 dollars pour essayer dix milliards de suppositions. « Étant donné que l'attaquant commence par les mots de passe les plus susceptibles d'être créés par l'homme, ces 100 dollars d'efforts sont susceptibles de donner des résultats, sauf si le mot de passe a été généré par une machine ».

Enfin, Jeffrey Goldberg termine en faisant un peu de retape pour son service : il affirme qu'une telle situation chez 1Password serait beaucoup moins intéressante pour les pirates à cause de la sécurité supplémentaire maison baptisée Secret Key. Celle-ci est créée localement sur un appareil lors de la première connexion et ne quitte jamais l'engin. Autrement dit, il est impossible pour des pirates d'ouvrir les coffres-forts simplement en essayant des milliards de mots de passe à distance.


avatar Khrys | 

"Enfin, Jeffrey Goldberg termine en faisant un peu de retape pour son service..." Ce qui était bien évidemment son objectif initial avec son intervention sur ce sujet! Bien hâte de voir comment il va communiquer le jour où ce problème se présentera (difficile de croire que ça n'arrive qu'aux autres...) avec 1Password! 😅

avatar bdemont | 

@Khrys

Justement avec la secret key c’est impossible pour un attaquant de tester des combinaisons et déchiffrer les mots de passe.

avatar gemrosh | 

Jeffrey devrait faire une petite prière pour que ça n’arrive pas à sa société… ça tombe bien, la messe de minuit approche…

avatar stefhan | 

Ça arrivera sûrement un jour. Aucun système n'est infaillible.

Par contre le bon point - ici - pour Jeffrey Goldberg est sur la communication et le fait qu'ils cherchent à sécuriser encore plus 1password.

avatar Jeamy | 

1Password ferait mieux de faire une mise à jour pour Face ID sur iPhone 14 Pro

J’ai eu une conversation avec des techniciens qui cherchent toujours

Je suis sur Dashlane en test et je trouve vraiment bien en regard de 1Password

avatar Spinaker | 

@Jeamy

Je fus utilisateur de Dashlane et je préfère nettement 1Password

avatar Pausanias | 

La clé supplémentaire chez 1password change vraiment la donne et est un très gros plus, j’ai donc migré après plus de 10 ans chez lastpass, et changé les mdp les plus importants même si j’ai l’a2f partout et un mdp maître unique extrêmement long…

avatar jerssrk | 

C’est la combientième fois que Last pass a un soucis ? J’exagère peut être mais c’est pas au moins la 5ème ?
Je comprends même pas qu’ils aient encore des clients. Ça a été mon premier gestionnaire et j’ai plus aucune confiance en eux perso.

avatar shaba | 

On entend jamais parler de Bitwarden, en bien comme en mal. Je me demande si la sécurité est au rendez-vous. C’est mon gestionnaire de complément avec Trousseau.

avatar oomu | 

@shaba

quel bien ?
quel mal ?

avatar shaba | 

@oomu

Tout est relatif, on sait on sait 🤣

avatar Gravoche67 | 

J'ai le souvenir de quelque chose de similaire avec OnePassword. J'ai d'ailleurs toujours la trace de cette fuite de données dans mon gestionnaire de mots de passe.

avatar Jul21 | 

A quoi bon tous ces services de MDP depuis qu’Apple à intégré le sien dans ses OS ? 🤔

avatar LvLup | 

@Jul21

La seule vraie question, one system per usage, that’s all folk

avatar YuYu | 

@Jul21

Multi-plateformes, multi-navigateurs, coffres partagés, multiples autres entrées que juste des logins/mots pas passe, applications dédiées,…

avatar pocketalex | 

@jul21

Il n’y a pas de gestionnaire de mot de passe dans MacOS

Il y a le trousseau de clé, qui garde les mots de passe de tes sessions. C’est tout

C’est bien, je dis pas, mais c’est au mieux du mieux 30% des possibilités de mon gestionnaire de mots de passe (Keychain) et les 70% restant me sont INDISPENSABLES

Exemple : tu veux stocker ton login et mot de passe Google. Alors, aussi bien Keychain que Keypass feront l’affaire
Oui mais voilà, tu veux aussi ajouter à ça les réponses aux questions personnelles qui te permettent de récupérer ton compte en cas de souci…
Keychain (trousseau Apple) en est proprement incapable…
Je veux conserver l’accès à ma banque qui est un numéro de code et une suite de chiffres à taper au clavier, je fais comment avec Keychain ?
Je veux faire une fiche avec les 5 comptes d’accès à mon NAS ainsi que des lignes d’infos textuelles, je fais comment avec Keychain ?

Bref on s’est compris, Keychain est un outil sympa et pratique pour conserver des couples login/mot de passe, mais il n’est bon qu’à ça, or stocker des informations de manière sécurisée est beaucoup plus que ça

avatar Brice21 | 

@pocketalex

Keychain permet de conserver n’importe quelle note, tant que c’est du texte. Elle sera encryptée et synchronisée via iCloud. J’y stocke des numéros de comptes en banque, dés numéro de carte de fidélité, des identifiant de membre, des codes PIN/PUK de carte d’identité ou de carte SIM, etc.

https://support.apple.com/fr-fr/guide/keychain-access/kyca2268/mac

Je suggère que tu ouvres l’app au moins une fois avant de faire des commentaires totalement erronés.

avatar YuYu | 

@Brice21

Intéressant ça !
Tu peux également les consulter/modifier sur iOS ou elles sont réservées à macOS ?

avatar Brice21 | 

@YuYu

Les notes dans le Keychain c’est MacOS only pour le moment. Si tu veux iOS, ipadOS et MacOS, tu peux mettre une note associée à une URL et un login/password. Ca marche aussi bien et ça synchronise partout. Enfin tu peux aussi sécuriser des Notes dans Notes, tout simplement.

avatar pocketalex | 

@Brice21

excuse moi, mais Keychain n'est pas du tout prévu pour ça

Et j'ai pas voulu (pour une fois) faire un commentaire à rallonge, mais mon propose était tout simplement d'expliquer qu'un vrai gestionnaire de mot de passe permet de gérer des fiches, avec plein d'infos et de champs appropriés dedans, le tout bien classé dans des dossier/sous dossiers, etc

avatar LvLup | 

Perso je dirai ma config ici, mais je consulte mes données bancaires sur un système dédié.
A bon entendeur.

avatar LvLup | 

*pas

avatar Martinoo | 

Qu’il commence par m’être à jour l’extension pour safari sur Ventura ! On est obliger de taper son mot de passes chaque fois, même si l’application est ouvert !

Bref on travaille déjà sur son propre business à satisfaire ces propre clients avant de cracher sur les concurrents

avatar Cyrille50 | 

Je suis fan de 1Password depuis la 1ère heure il y a 15 ans. J'avais même échangé avec son sympathique fondateur à cette époque. Il était encore à New-York.

avatar ElFitz | 

@pocketalex

On peut stocker des notes, chiffrées, dans le trousseau iCloud.

Mais elles ne seront pas disponibles sur iOS / iPadOS

avatar locshirk | 

@ElFitz

Si si les notes sont bien présentes sous iOS/iPadOS depuis la version 15 de mémoire. Je n’utilise plus que ça en remplacement de 1password depuis 2/3 ans et ça fonctionne parfaitement et c’est gratuit, c’est suffisant pour tous mes usages mêmes un peu poussés.
Je parle des notes à l’intérieur d’un mot de passe (Dans les réglages systèmes). Pas les notes du trousseau.

avatar fmuser | 

Déjà, pour les mots de passe, je préfère un logiciel opensource, au moins, on est certain qu'il n'y a pas de porte dérobée et que le logiciel sera difficilement hackable.

Ensuite, régulièrement Apple change tout du jour au lendemain, ce qui est génial et fonctionnel aujourd'hui pourrait ne plus l'être demain. Alors si vous n'avez que quelques mots de passe, ce n'est pas très gênant, mais si vous commencez à avoir une base conséquente, vous devez prendre en compte que vous risquez un jour de devoir tout exporter dans une autre solution.

avatar hartgers | 

Justement, le trousseau d'accès sur macOS a été mon plus fidèle compagnon depuis des années. Aucune synchro, disponible sur un disque de sauvegarde. Contrairement a, par exemple, le trousseau de chromium auquel je faisais confiance... jusqu'au moment où j'ai voulu récupérer les mots de passe d'une machine décédée. Bien sûr ici on parle de services de mots de passe qui sont très pratiques, mais comme vous je ne leur fais pas confiance. Quelles sont les solutions open source utilisables ?

avatar YuYu | 

@hartgers

Bitwarden est très bien.
Keepass est bien moins user friendly mais a sa base de fans

avatar cybercap | 

J’ai mes beaux-parents et leur ami qui sont sur Lastpass, environ une cinquantaine d’entrées ou un peu plus, vous pensez que ça craint ?

avatar sebasto72 | 

@cybercap

Selon le degré de paranoïa/peur, tu peux leur conseiller de changer le mot de passe principal Lastpass et les mots de passe des sites/applis sensibles : banque, services d’identité publics (tout ce qui est utilisé par France Connect : impôts, secu…) et privés (google, FB, Apple…)

S’ils n’en ont qu’une cinquantaine, ils peuvent même tout changer, c’est pas très long.

avatar hawker | 

Quand on dev sur electron, on la ferme...

avatar thierry37 | 

@hawker

Ça faisait longtemps depuis leur passage à électron et tout le bruit que ça avait soulevé.

Au final, 1Password a bien survécu... et à gardé suffisamment de clients, même en passant à l'abonnement.

Ça donne quoi la nouvelle version Électron, qui devait être toute pourrie, lente, etc... par rapport à du natif Apple...?

avatar YuYu | 

@thierry37

Finalement l’app est vraiment bien, se lance très rapidement et est très agréable à utiliser. Un bel exemple de qu’il est possible de faire avec Electron

avatar thierry37 | 

@YuYu

Merci pour le retour !
C'est bon d'avoir plusieurs sons de cloches

avatar bibi81 | 

C'est bon d'avoir plusieurs sons de cloches

Ce n'est pas sympa de dire que YuYu est une cloche ;)

avatar Sometime | 

@hawker

pas nécessairement. surtout quand il s’agit de cryptographie et de données sensibles.

avatar MoNg | 

Keepass forever !!!

avatar Snoo | 

Cette guéguerre me fait bien rire. Bitwarden ou rien (que j'héberge depuis peu sur mon serveur 😉). 1Password et autres LastPass facturent un prix exorbitant (et surtout par abonnement mensuel) pour les mêmes fonctionnalités premium que Bitwarden propose (10$ annuel, donc vraiment rien).

CONNEXION UTILISATEUR