Suivez-nous

Applications

L’attaque contre LastPass est bien plus grave qu’annoncée

Les utilisateurs de LastPass ne sont pas au bout de leurs peines. Le mieux à faire est encore de changer tous ses mots de passe par sécurité.

Publié le

 
lastpass
© LastPass

Quelques heures avant le réveillon de Noël, la société de gestion de mot de passe LastPass a publié un message pour ses clients. Elle les informe qu’une attaque informatique a permis aux cybercriminels de mettre la main sur des coffres-forts clients.

Wladimir Palant, expert en cybersécurité, vient aujourd’hui de publier son rapport sur l’attaque. Selon lui la situation serait bien plus grave qu’annoncé par la marque et le discours de LastPass serait rempli de « d’omissions, de demi-vérités et de mensonges purs ».

LastPass est coupable de négligence grave

En tout ce chercheur en informatique s’est concentré sur 14 déclarations faites par la marque ces dernières heures. Son verdict est aussi clair que rude, la marque est coupable, elle minimise les faits et est responsable de plusieurs négligences graves.

L’argument principal de LastPass est que sa méthode de création de mots de passe prend des « millions d’années » avant d’être crachée. Selon Palant, la vérité se situerait plutôt autour des deux mois, un score déjà très bon pour un mot de passe.

Avec sa démonstration, Palant montre surtout que les mots de passe seuls ne sont d’aucune utilité ou presque. N’étant jamais choisis aléatoirement, ils disposent d’un niveau dit « d’entropie » de 40 en moyenne. Cela correspond à deux mois de déchiffrage pour une seule carte graphique. Les mots de passe très complexes (plus de 16 caractères, chiffres, lettres, majuscules et symboles inclus) prennent eux 200 ans sur une seule carte graphique.

Les mots de passe : une technologie d’une autre époque?

Si cela peut paraître suffisant pour protéger des données, un criminel vraiment acharné pourrait mettre en œuvre plus de moyens et trouver votre mot de passe en quelques heures seulement. Avec cette nouvelle attaque contre LastPass, la cybersécurité revient au cœur des débats.

Si vous êtes un utilisateur de LastPass, nous vous conseillions fortement de changer tous vos mots de passe tant que c’est possible. Pour les personnes ayant avec eux un iPhone ou un produit Apple, le trousseau iCloud peut faire office de bon coffre-fort à mot de passe.

i-nfo.fr - App officielle iPhon.fr
i-nfo.fr - App officielle iPhon.fr
Par : Keleops AG
4.4 / 5
612 avis
4 Commentaires

4 Commentaires

  1. David

    29 décembre 2022 à 14 h 05 min

    Pour ça ne jamais utiliser une application surtout privée pour regrouper les mots de passe

    • Pierre Otin

      29 décembre 2022 à 14 h 19 min

      @David : pas vraiment. En fait, il vaut mieux utiliser un gestionnaire de mots de passe. Mais pour plus de sécurité, il est possible d’en utiliser un qui garde les données en local, ou synchronise le coffre via le cloud de son choix, iCloud par exemple, comme le font les applications Mac et iOS Enpass ou Secrets.

  2. bernie9517

    29 décembre 2022 à 22 h 41 min

    Une très bonne alternative, qui garde votre coffre fort chiffré en local, avec une possibilité de le stocker sur le cloud de son choix, totalement open source de surcroît (ce qui est une garantie supplémentaire de qualité) c’est KeyPass. Il existe sur PC Windows ou Linux, sur Mac et sur iOS/iPadOS (avec plusieurs apps disponibles, Keypassium étant très efficace).
    La seule contrainte c’est de choisir un mot de passe « maître » assez robuste.

  3. SebC

    30 décembre 2022 à 9 h 08 min

    Et allez, encore un peu de LastPass bashing.
    Le “chercheur” en cybersécurité vient alerter tout le monde que ce que dit LastPass c’est qu’avec un bon vrai gros mot de passe maitre, il faut actuellement plusieurs siècles pour casser un coffre-fort (ce qui est vrai), et ce crétin fait du putaclic en disant que l’entropie moyenne des mots de passe est de 40 (au lieu de 200).
    Alors, pour remettre l’église au centre du village, oui, les mots de passe “en général” (ie y compris tous ceux à la con qu’on met sur des sites dont on se fout) ont une faible entropie. Mais j’espère que les mots de passe maitre, qui reste tout de même super importants vu ce qu’ils protègent ne bénéficient pas de la même négligence.
    Bref, à demi -vérité, ce fameux chercheur n’est pas en reste.
    Quant à recommander le trousseau iCloud, qu’est-ce qui vous dit que les mots de passe Apple sont de meilleure qualité ? Surtout quand on doit les taper régulièrement ? On peut reparler des photos volées de célébrités il y a quelques années.

    Le souci de fond reste l’humain et sa propension à ne pas savoir protéger ce qui est important. Bref, je suis un utilisateur de LastPass, j’ai un mot de passe maitre de plus de 20 caractères, avec les 4 types, le MFA activé sur LastPass et sur tout autre site qui le propose, et si la fuite chez LastPass ne me fait pas plaisir, je suis relativement serein sur la sécurité de mes données, quoi qu’en disent tous les chercheurs en cybersécurité auto-proclamés à la recherche de leur moment de gloire …
    PS : je bosse dans la cybersécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Nos sites : 01net | Journal du Geek | Presse-citron
Copyright © 2024 iPhon.fr

Apple, le logo Apple, iPod, iTunes et Mac sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iPhone et MacBook Air sont des marques déposées d’Apple Inc. MobileMe est une marque de service d’Apple Inc iPhon.fr et son forum ne sont pas liés à Apple et les marques citées sont la propriété de leurs détenteurs respectifs.