LASTPASS : Quand le coffre-fort n’est pas si fort…
LastPass, gestionnaire de mots de passe en ligne permet aux utilisateurs de stocker les adresses des sites (banque, site d’achat en ligne, messagerie, …), et d’autre part les identifiants d’accès (nom d’utilisateur et mot de passe) permettant la connexion à ces sites. Le fait que ce gestionnaire de mots de passe soit en ligne permet de se connecter de n’importe où, avec n’importe quel appareil.
En août 2022, Lastpass avait subi une première attaque. Suite à cette attaque, GoTo, l’éditeur de Lastpass indiquait que les données n’avaient pas été compromises. Cependant, cette première attaque permettait au pirate d’ouvrir une brèche, qui a été exploitée en décembre 2022.
Lastpass indiquait alors à ses utilisateurs la plus grande prudence : les pirates ont récupéré une partie des sauvegardes de Lastpass : données personnelles nom, prénom, adresse, téléphone, e-mail, adresse IP, numéro d’identification de l’appareil utilisé pour se connecter à Internet, nom de leur entreprise. Si les mots de passe choisis par les clients de Lastpass étaient chiffrés, et non accessibles facilement par les pirates, les informations que ces derniers ont recueillies permettaient dans certains cas de retrouver les mots de passe.
S’il faut reconnaitre que le fait de centraliser en un seul et même endroit facilement accessible l’ensemble de ses mots de passe peut présenter un côté “pratique”, le piratage de Lastpass démontre les limites de ces solutions hébergées en ligne.
Une solution locale, même si elle reste vulnérable (vol du matériel ou piratage), permet de limiter les risques. Des solutions existent comme Lockpass (solution française en ligne) ou Keepass (solution locale), entre autres. Dans tous les cas, le mot de passe du gestionnaire de mots de passe doit être très fort : au moins 15 caractères, comprenant des chiffres, des majuscules, des minuscules et des signes.
Rappels importants concernant les mots de passe :
- Ils doivent être changés régulièrement
- Ils doivent être complexes (dans leur longueur, et dans les signes utilisés)
- Ils doivent être différents pour chacun des services nécessitant un mot de passe
- Ils ne doivent jamais être communiqués à un tiers
- Enfin : un bon mot de passe est celui dont on ne se rappelle pas.
NOTE : Si vous êtes utilisateur du service Lastpass, et êtes passé “à côté” de ces informations, agissez : changez vos mots de passe, et profitez-en pour les complexifier.
Crédit photos : Melissa de pixabay / Gerd Altmann de pixabay