Si vous êtes à la recherche d’un gestionnaire de mots de passe, un produit reconnu est LastPass. L’entreprise a cependant connu une histoire mouvementée, ce qui peut vous amener à vous demander si LastPass est sûr.
Au vu de son historique préoccupant de problèmes de sécurité, la réponse courte est non, LastPass n’est pas sûr et vous devriez probablement l’éviter. Si vous l’avez déjà installé, l’option la plus sûre est de supprimer LastPass et d’exporter puis supprimer toutes les données détenues par l’entreprise pour qu’elles ne soient plus en danger.
Il est rare que nous déconseillons aussi fermement d’autres services en ligne. Bien qu’aucun système ne soit sécurisé à 100 %, les problèmes de sécurité persistants chez LastPass devraient déclencher des signaux d’alarme pour quiconque envisage d’y stocker ses données les plus sensibles. Examinons pourquoi nous avons fait cette recommandation.
- Quel est le niveau de sécurité de LastPass ?
- Chronologie des incidents de sécurité chez LastPass
- Que pouvez-vous utiliser à la place de LastPass ?
Quel est le niveau de sécurité de LastPass ?
Il existe une multitude de preuves et d’études indiquant que LastPass n’est pas sûr à utiliser. La société a manqué à ses obligations à plusieurs reprises, conduisant à certaines des plus grandes fuites de données de l’histoire du web.
Bon nombre de ces problèmes semblent découler de l’incapacité de l’entreprise à tirer les leçons de ses erreurs, négligeant de mettre en œuvre les mesures de sécurité nécessaires qui sont généralement standard dans tout gestionnaire de mots de passe, y compris le nôtre, Proton Pass.
Chronologie des incidents de sécurité chez LastPass
LastPass a été fondé en 2008 et a connu une sorte de scandale de sécurité presque chaque année depuis 2011. Même si tous ces incidents n’ont pas débouché sur une fuite de données, il se dégage rapidement le portrait d’une entreprise qui ne semble pas prendre la sécurité très au sérieux, rendant la catastrophe inévitable. Passons en revue tous les incidents majeurs auxquels LastPass a été confronté depuis sa création.
2011 : un petit incident limité
Le premier incident qu’a connu LastPass a été une petite fuite limitée en mai 2011, lors de laquelle les informations de compte d’utilisateurs LastPass, peut-être juste quelques centaines, ont pu être exposées(nouvelle fenêtre) (article en anglais). C’était probablement dû au fait que beaucoup de ces clients utilisaient des mots de passe facilement déchiffrables pour leur compte LastPass. Ce qui les rendait vulnérables aux attaques par force brute, où les criminels utilisent un logiciel pour « deviner » les mots de passe.
Dans un article de blog aujourd’hui supprimé (une habitude que nous verrons se répéter dans cette chronologie) LastPass recommandait que des mots de passe forts soient utilisés pour sécuriser les comptes, ainsi que de s’assurer que toute tentative d’accès soit vérifiée via une adresse IP. Depuis 2011, les méthodes de protection contre les attaques par force brute se sont améliorées, mais à l’époque, c’était une réponse judicieuse.
2015 : attaque par force brute de durée inconnue
En juin 2015, quatre ans après le dernier piratage, LastPass a une fois de plus été attaqué(nouvelle fenêtre) de manière assez similaire (article en anglais). Les criminels ont tenté une attaque par force brute et sont parvenus à accéder aux comptes des personnes qui avaient utilisé des mots de passe faibles. LastPass a répondu de manière assez complète, alertant les autorités et réinitialisant le mot de passe principal de tous, obligeant les utilisateurs à se connecter par e-mail.
Cependant, LastPass a également commencé à ne pas divulguer de détails sur l’attaque, notamment le nombre de personnes affectées et la durée de l’attaque avant sa découverte. Le succès d’une attaque par force brute peut se mesurer au temps dont disposent les attaquants pour la mener à bien ; plus vous réagissez rapidement, moins elle a de chances de réussir. Le fait que LastPass n’ait pas divulgué ces détails donne l’impression que cela a pu durer plus longtemps que ce qui serait considéré comme sûr.
2016 : piratages éthiques
L’année suivant l’attaque par force brute, plusieurs incidents dans lesquels des chercheurs en sécurité (des hackers éthiques qui testent la sécurité dans le but de l’améliorer et non de dérober des données) sont parvenus à s’infiltrer.
Le premier a été révélé en janvier. Il s’agissait d’une simple attaque de phishing (hameçonnage) dans laquelle les utilisateurs de LastPass pouvaient facilement être dupés en donnant leurs identifiants. Les détails de son fonctionnement sont expliqués sur Hackread(nouvelle fenêtre) (article en anglais), mais la réaction de LastPass est probablement ce qu’il y a de plus intéressant. La société a dévié les critiques en prétendant qu’il s’agissait d’une attaque de phishing et que cela ne relevait donc pas de sa responsabilité, ignorant le fait que les entreprises peuvent prévoir ces éventualités.
Le deuxième incident(nouvelle fenêtre) (article en anglais) survenu en juillet 2016 était un scénario similaire, dans lequel le chercheur en sécurité de Google, Tavis Ormandy, un nom que nous reverrons bientôt, a berné l’extension Firefox de LastPass pour obtenir des informations sur les utilisateurs. La réaction de LastPass a été de publier un avis de sécurité dans un billet de blog maintenant supprimé (une autre tentative vaine d’effacer l’histoire) pour mettre à jour l’extension.
La dernier, et pire défaut, a été découvert durant le même mois par le chercheur en sécurité Mathias Karlsson. Les détails sont disponibles ici(nouvelle fenêtre) (contenu en anglais), mais pour faire court, LastPass avait laissé un bug grave dans son code qui permettait à un hacker averti d’extraire tous les mots de passe utilisés sur un site via la fonction de remplissage automatique de LastPass. Heureusement, LastPass a corrigé le problème dès que Karlsson l’a signalé et a également payé une récompense pour sa découverte.
2017 : davantage de bugs, mineurs comme majeurs
Tavis Ormandy semble avoir fait de LastPass son projet de prédilection à un moment donné, car il a maintenu un rythme soutenu de révélations tout au long de 2016 et 2017. La plupart d’entre eux étaient assez simples et surtout remarquables par leur nombre. LastPass ne semble pas avoir pris le contrôle de qualité très au sérieux, ou du moins a supposé que des personnes comme Ormandy le feraient pour eux.
Cependant, il y avait un défaut jugé assez sérieux pour figurer sur les pages de The Guardian(nouvelle fenêtre) (article en anglais) en mars 2017. Malheureusement, nous ne savons pas trop ce qui s’est exactement passé car apparemment, révéler des détails pourrait rendre les utilisateurs de LastPass encore moins en sécurité qu’ils ne l’étaient déjà. Si vous pensez que la transparence est une partie essentielle de la sécurité (et nous le pensons) cela devrait suffire comme raison pour ne jamais utiliser LastPass.
2019 : Ormandy frappe à nouveau
Ormandy a continué son travail en embarrassant LastPass, trouvant de nombreux bugs mineurs. Cependant, en septembre 2019, il a de nouveau découvert quelque chose d’assez grave pour être mentionné dans la presse. Comme en 2016, il s’agissait d’un bug dans une extension de navigateur, cette fois pour Opera et Chrome, permettant aux attaquants d’extraire les informations de connexion(nouvelle fenêtre) (article en anglais) de tous les sites précédemment visités par les utilisateurs.
LastPass a corrigé le bug dès qu’Ormandy l’a signalé, mais a relativisé l’annonce à ses utilisateurs, puisque cela n’affectait « seulement » les extensions pour Chrome et Opera ; aucune mention du fait que Chrome est de loin le navigateur le plus utilisé(nouvelle fenêtre) au monde.
2021 : LastPass pris en flagrant délit de collecte de données
En février 2021, le chercheur en sécurité Mike Kuketz a fait une autre révélation choquante(nouvelle fenêtre) (article en anglais), à savoir que LastPass utilisait des traqueurs dans son gestionnaire de mots de passe. Bien que la société ait affirmé qu’elle faisait cela uniquement pour observer la manière dont les gens utilisaient le produit, le fait est que de tels traqueurs peuvent également être utilisés pour recueillir des données publicitaires.
C’est l’explication la plus probable, également. Comme le dit Kuketz, il n’y a aucune raison de collecter des informations de la manière dont LastPass l’a fait, car il existe des moyens bien plus sûrs et moins intrusifs de le faire.
2022 : le coup de grâce ?
Finalement, cependant, le bilan de sécurité peu rigoureux de LastPass a fini par se retourner contre lui. En l’espace de plusieurs mois, l’entreprise a dû admettre l’existence de plusieurs fuites de données graves, puis a été prise en flagrant délit de dissimulation de leur gravité. Nous avons l’histoire complète ici, mais en voici un résumé :
En août 2022, l’entreprise a admis qu’un pirate informatique avait eu accès à l’environnement de développement de la société (pensez-y comme à un atelier où le logiciel est assemblé et ajusté avant d’être lancé), mais n’avait pas réussi à accéder aux informations des clients. En décembre, l’entreprise a reconnu que l’environnement de développement avait été à nouveau compromis et que cette fois, des données clients avaient été dérobées.
Puis, en mars 2023, il s’est avéré que la société avait menti dans des déclarations antérieures et que les attaquants avaient dérobé beaucoup plus, y compris en jetant un coup d’œil non seulement sur les données des clients, mais même sur l’architecture de sécurité de LastPass elle-même. Cela rend LastPass vulnérable de manière permanente à moins d’une refonte complète de son architecture.
Que pouvez-vous utiliser à la place de LastPass ?
Comme vous pouvez le constater, la dernière fuite de LastPass est loin d’être isolée, l’entreprise a depuis longtemps l’habitude de ne pas prendre la sécurité au sérieux et de reléguer ses clients au second plan. À maintes reprises, elle a échoué à fournir des produits satisfaisants et ensuite, une fois démasquée, a minimisé les conséquences pour les clients, quand elle n’a pas tout simplement menti.
Si vous utilisez encore LastPass, vous méritez mieux. C’est pour cette raison que nous avons développé Proton Pass, un gestionnaire de mots de passe qui prend la sécurité au sérieux et traite les personnes avec respect. Nous le faisons en toute transparence, avec tout le code client en open source, ce qui signifie que chacun peut vérifier notre travail. Notre code est également vérifié indépendamment par des experts en sécurité tiers. Notre sécurité est encore renforcée par le programme de recherche de bugs de Proton, qui encourage les chercheurs en sécurité à tester rigoureusement notre code.
En savoir plus sur la sécurité de Proton Pass
En tant qu’entreprise fondée par des scientifiques, la transparence et l’évaluation par les pairs sont des valeurs fondamentales et notre mission est de rendre le web plus respectueux de la vie privée et sécurisé.
En tant qu’utilisateur de Proton, vous avez accès à des technologies de pointe utilisant l’authentification à deux facteurs pour vous protéger des attaques par force brute, ainsi qu’à des technologies anti-hameçonnage sophistiquées et des fonctionnalités de confidentialité intégrées telles que les alias « hide-my-email ».
Si tout cela vous paraît intéressant, rejoignez-nous dès aujourd’hui. Nous disposons d’un guide qui vous explique comment exporter facilement vos données LastPass vers Proton Pass.