Le 22 décembre 2022, LastPass, un gestionnaire de mots de passe, annonçait avoir subi une importante fuite de données en août 2022, exposant potentiellement les informations personnelles de millions de clients. L’ampleur de l’atteinte aux utilisateurs n’était pas révélée. Mais les données dérobées pouvaient comprendre les noms, prénoms, adresses, téléphones, e-mails, adresses IP et parfois le nom des entreprises des clients.
LastPass avait assuré que les mots de passe sauvegardés demeuraient chiffrés avec un cryptage AES 256 bits, rendant difficile l’accès aux mots de passe stockés. En effet, avec les gestionnaires de mots de passe, les mots de passe maîtres ne sont connus que des clients, ce qui constitue une mesure de sécurité appelée « architecture zero knowledge ». Aussi LastPass avait conseillé à ses utilisateurs de changer leur mot de passe maître s’ils doutaient de sa solidité et de remplacer tous les mots de passe stockés dans leur compte.
Nouveau rebondissement en février 2023 : LastPass a révélé de nouveaux détails sur l’incident. Les pirates informatiques ont réussi à obtenir un accès au « cloud » de l’entreprise et ainsi exfiltrer des données sensibles, en ciblant un employé de LastPass possédant des privilèges d’accès étendus.
Selon LastPass, cela a été réalisé en ciblant l’ordinateur personnel d’un « ingénieur DevOps » et en exploitant un logiciel multimédia tiers – Plex – vulnérable installé sur son ordinateur. Cette faille a permis l’exécution de code à distance et l’implantation d’un virus. L’attaquant a pu intercepter le mot de passe principal de l’employé après qu’il se soit authentifié avec l’authentification multifacteur (MFA) et accéder au coffre-fort en ligne de LastPass. A priori, l’attaque informatique subit par LastPass aurait pu être éviter par la simple mise à jour du logiciel multimédia « Plex », qui avait été publiée en 2020.
Les gestionnaires de mots de passe sont-ils sûrs ou dangereux ?
Les attaques informatiques subies par LastPass soulèvent des préoccupations légitimes quant à la sécurité des gestionnaires de mots de passe. Même si les mots de passe stockés sont chiffrés et ne sont pas – priori – directement accessibles aux attaquants, des doutes subsistent quant à la possibilité, pour les hackers, d’accéder à des millions de données sensibles (mots de passe, informations bancaires, adresses etc.) ; en particulier si les mots de passe « maîtres » ne sont pas suffisamment solides.
En général, les gestionnaires de mots de passe sont considérés comme un moyen sûr et pratique pour gérer et protéger ses identifiants de connexion en ligne. Ils peuvent aussi générer des mots de passe complexes et uniques pour chaque site, ce qui réduit les risques liés à l’utilisation de mots de passe faibles ou répétés. De plus, ils utilisent un chiffrement robuste pour protéger les données stockées.
Cependant, aucun système n’est infaillible, et les gestionnaires de mots de passe peuvent être vulnérables à des attaques ciblées. Pour minimiser les risques, il est essentiel de choisir un gestionnaire de mots de passe réputé, de maintenir à jour les logiciels et de prendre des précautions supplémentaires, comme l’utilisation de l’authentification multifacteur (MFA).
En définitive, l’utilisation d’un gestionnaire de mots de passe reste un choix personnel basé sur un équilibre entre la commodité et le niveau de sécurité souhaité. Bien qu’ils ne soient pas infaillibles, ils offrent généralement une meilleure protection que la gestion manuelle des mots de passe ou l’utilisation de mots de passe simples et répétés.
Les utilisateurs de LastPass ont-ils des recours à leur disposition ?
A chaque fois qu’une entreprise subit une cyberattaque et que des données clients sont dérobées, la responsabilité incombe à l’entreprise qui n’a pas réussi à assurer votre protection. Dans le cas de LastPass, la principale chose que vous puissiez faire est de changer tous vos mots de passe ; et notamment le mot de passe principal qui doit être suffisamment long. Et vous voudrez peut-être effectuer ce changement en utilisant un autre gestionnaire de mots de passe.
La réaction publique de LastPass face à cet incident met l’accent sur la responsabilité de l’utilisateur ; toutefois cela n’est qu’une partie du problème. Bien qu’il soit vrai qu’une « bonne gestion des mots de passe » aurait contribué à renforcer la sécurité d’un compte en cas de violation, cela ne décharge pas l’entreprise de sa responsabilité principale.
Ainsi, aux Etats-Unis, un utilisateur de LastPass suspecte que la faille de sécurité de LastPass ait pu permettre à un pirate informatique de lui dérober 53 000 dollars en bitcoins durant le week-end de Thanksgiving, étant donné que les clés privées de ses transactions en cryptomonnaie étaient conservées sur LastPass. Il a intenté une action en justice dans l’État du Massachusetts. Toujours aux Etats-Unis, LastPass devra aussi faire face à des actions en justice collectives (« class actions »).
Comment bien gérer ses mots de passe ?
Si vous n’utilisez pas de gestionnaire de mots de passe
Pour chaque compte en ligne nécessitant un mot de passe, créez un mot de passe complexe et unique. Un mot de passe robuste doit être long et difficile à deviner.
Par exemple, transformez ces trois phrases : « Mon nom est Just Fontaine. Je suis un footballeur professionnel. Je vais gagner le match. » de la manière suivante : utilisez les initiales de chaque mot, un point entre chaque phrase et un point d’exclamation pour les « j » : « Mne!F.!sufp.!vglm. »
Si vous utilisez un gestionnaire de mots de passe
Si vous utilisez un gestionnaire de mots de passe, il est crucial d’avoir un mot de passe principal unique et complexe pour déverrouiller votre coffre-fort. Ne réutilisez jamais ce mot de passe ailleurs.
Pour vos comptes les plus sensibles, renforcez la sécurité en ajoutant une authentification à deux facteurs, ou double authentification. Cette méthode nécessite un code temporaire, en plus de votre nom d’utilisateur et mot de passe, pour accéder à vos comptes.
Bon nombre de services et d’applications permettent de configurer votre téléphone portable ou votre e-mail pour recevoir un code temporaire de connexion.
Sécurisez vos arrières : avoir une « stratégie de sortie »
Pour n’importe quel service en ligne – et en particulier pour un gestionnaire de mots de passe – essayez de toujours avoir un plan pour récupérer vos données, dans l’hypothèse où un incident vous inciterait à quitter le service.
Pour LastPass, l’entreprise indique sur son site web les étapes pour exporter une copie de votre coffre-fort sous forme d’une feuille de calcul Excel. Vous pouvez ensuite importer cette liste de mots de passe dans un autre gestionnaire ou conserver le fichier de la feuille de calcul en lieu sûr et accessible pour vous-même. Attention à ne pas perdre ou compromettre cette copie physique ou digitale de vos mots de passe !