Applications
L’attaque contre LastPass est bien plus grave qu’annoncée
Les utilisateurs de LastPass ne sont pas au bout de leurs peines. Le mieux à faire est encore de changer tous ses mots de passe par sécurité.
Quelques heures avant le réveillon de Noël, la société de gestion de mot de passe LastPass a publié un message pour ses clients. Elle les informe qu’une attaque informatique a permis aux cybercriminels de mettre la main sur des coffres-forts clients.
Wladimir Palant, expert en cybersécurité, vient aujourd’hui de publier son rapport sur l’attaque. Selon lui la situation serait bien plus grave qu’annoncé par la marque et le discours de LastPass serait rempli de « d’omissions, de demi-vérités et de mensonges purs ».
LastPass est coupable de négligence grave
En tout ce chercheur en informatique s’est concentré sur 14 déclarations faites par la marque ces dernières heures. Son verdict est aussi clair que rude, la marque est coupable, elle minimise les faits et est responsable de plusieurs négligences graves.
L’argument principal de LastPass est que sa méthode de création de mots de passe prend des « millions d’années » avant d’être crachée. Selon Palant, la vérité se situerait plutôt autour des deux mois, un score déjà très bon pour un mot de passe.
Avec sa démonstration, Palant montre surtout que les mots de passe seuls ne sont d’aucune utilité ou presque. N’étant jamais choisis aléatoirement, ils disposent d’un niveau dit « d’entropie » de 40 en moyenne. Cela correspond à deux mois de déchiffrage pour une seule carte graphique. Les mots de passe très complexes (plus de 16 caractères, chiffres, lettres, majuscules et symboles inclus) prennent eux 200 ans sur une seule carte graphique.
Les mots de passe : une technologie d’une autre époque ?
Si cela peut paraître suffisant pour protéger des données, un criminel vraiment acharné pourrait mettre en œuvre plus de moyens et trouver votre mot de passe en quelques heures seulement. Avec cette nouvelle attaque contre LastPass, la cybersécurité revient au cœur des débats.
Si vous êtes un utilisateur de LastPass, nous vous conseillions fortement de changer tous vos mots de passe tant que c’est possible. Pour les personnes ayant avec eux un iPhone ou un produit Apple, le trousseau iCloud peut faire office de bon coffre-fort à mot de passe.