La semaine dernière, juste avant Noël, LastPass a fait une annonce explosive : à la suite d’une brèche en août, qui a conduit à une autre brèche en novembre, des pirates avaient mis la main sur les coffres-forts de mots de passe des utilisateurs. Alors que l’entreprise insiste sur le fait que vos informations de connexion sont toujours sécurisées, certains experts en cybersécurité critiquent fortement son message, affirmant qu’il pourrait faire en sorte que les gens se sentent plus en sécurité qu’ils ne le sont réellement et soulignant qu’il ne s’agit que du dernier d’une série d’incidents qui rendent il est difficile de faire confiance au gestionnaire de mots de passe.
La déclaration du 22 décembre de LastPass était “pleine d’omissions, de demi-vérités et de mensonges purs et simples”, lit un article de blog de Wladimir Palant, un chercheur en sécurité connu pour avoir aidé à développer AdBlock Pro, entre autres. Certaines de ses critiques portent sur la manière dont l’entreprise a encadré l’incident et sa transparence ; il accuse la société d’avoir tenté de décrire l’incident d’août où LastPass a déclaré que “certains codes sources et informations techniques ont été volés” comme une violation distincte alors qu’il affirme qu’en réalité, la société “n’a pas réussi à contenir” la violation.
“L’affirmation de LastPass de ‘zéro connaissance’ est un mensonge éhonté.”
Il souligne également l’admission de LastPass selon laquelle les données divulguées comprenaient “les adresses IP à partir desquelles les clients accédaient au service LastPass”, affirmant que cela pourrait permettre à l’acteur de la menace de “créer un profil de mouvement complet” des clients si LastPass enregistrait chaque adresse IP que vous avez utilisée. avec ses services.
Un autre chercheur en sécurité, Jeremi Gosney, a écrit un long article sur Mastodon expliquant sa recommandation de passer à un autre gestionnaire de mots de passe. “L’affirmation de LastPass de ‘zéro connaissance’ est un mensonge éhonté”, dit-il, alléguant que l’entreprise a “à peu près autant de connaissances qu’un gestionnaire de mots de passe peut éventuellement s’en tirer”.
LastPass affirme que son architecture “zéro connaissance” protège les utilisateurs car l’entreprise n’a jamais accès à votre mot de passe principal, ce dont les pirates auraient besoin pour déverrouiller les coffres-forts volés. Bien que Gosney ne conteste pas ce point particulier, il dit que la phrase est trompeuse. “Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de données cryptée où l’intégralité du fichier est protégé, mais non – avec LastPass, votre coffre-fort est un fichier en texte brut et seuls quelques champs sélectionnés sont cryptés.”
Palant note également que le cryptage ne vous sert à rien si les pirates ne peuvent pas déchiffrer votre mot de passe principal, qui est la principale défense de LastPass dans son message : si vous utilisez ses valeurs par défaut pour la longueur et le renforcement du mot de passe et que vous ne l’avez pas réutilisé sur un autre site, “il faudrait des millions d’années pour deviner votre mot de passe principal en utilisant la technologie de craquage de mot de passe généralement disponible”, a écrit Karim Toubba, PDG de l’entreprise.
“Cela prépare le terrain pour blâmer les clients”, écrit Palant, affirmant que “LastPass doit être conscient que les mots de passe seront déchiffrés pour au moins certains de leurs clients. Et ils ont déjà une explication pratique : ces clients n’ont manifestement pas suivi leurs meilleures pratiques. » Cependant, il souligne également que LastPass n’a pas nécessairement appliqué ces normes. Malgré le fait qu’il a fait des mots de passe à 12 caractères la valeur par défaut en 2018, Palant déclare : « Je peux me connecter avec mon mot de passe à huit caractères sans aucun avertissement ni invite à le modifier.
“Ils commettent essentiellement tous les péchés” crypto 101 “”
Gosney et Palant contestent également la cryptographie réelle de LastPass, mais pour des raisons différentes. Gosney accuse l’entreprise d’avoir essentiellement commis “chaque péché ‘crypto 101′” avec la façon dont son cryptage est mis en œuvre et la façon dont elle gère les données une fois qu’elles ont été chargées dans la mémoire de votre appareil.
Pendant ce temps, Palant critique le message de l’entreprise pour avoir présenté son algorithme de renforcement de mot de passe, connu sous le nom de PBKDF2, comme “plus fort que la norme”. L’idée derrière la norme est qu’il est plus difficile de deviner vos mots de passe par force brute, car vous devrez effectuer un certain nombre de calculs à chaque supposition. “Je me demande sérieusement ce que LastPass considère comme typique”, écrit Palant, “étant donné que 100 000 itérations PBKDF2 sont le nombre le plus bas que j’ai vu dans n’importe quel gestionnaire de mots de passe actuel.”
Bitwarden, un autre gestionnaire de mots de passe populaire, indique que son application utilise 100 001 itérations et qu’elle ajoute 100 000 itérations supplémentaires lorsque votre mot de passe est stocké sur le serveur pour un total de 200 001. 1Password dit qu’il utilise 100 000 itérations, mais son schéma de cryptage signifie que vous devez avoir à la fois une clé secrète et votre mot de passe principal pour déverrouiller vos données. Cette fonctionnalité “garantit que si quelqu’un obtient une copie de votre coffre-fort, il ne peut tout simplement pas y accéder avec le seul mot de passe principal, ce qui le rend indéchiffrable”, selon Gosney.
Palant souligne également que LastPass n’a pas toujours eu ce niveau de sécurité et que les anciens comptes ne peuvent avoir que 5 000 itérations ou moins, ce que The Verge a confirmé la semaine dernière. Cela, ajouté au fait qu’il vous permet toujours d’avoir un mot de passe à huit caractères, rend difficile de prendre au sérieux les affirmations de LastPass selon lesquelles il faudrait des millions d’années pour déchiffrer un mot de passe principal. Même si c’est vrai pour quelqu’un qui a créé un nouveau compte, qu’en est-il des personnes qui utilisent le logiciel depuis des années ? Si LastPass n’a pas émis d’avertissement ou n’a pas forcé une mise à niveau vers ces meilleurs paramètres (ce qui, selon Palant, ne s’est pas produit pour lui), alors ses “valeurs par défaut” ne sont pas nécessairement utiles comme indicateur de l’inquiétude de ses utilisateurs.
Un autre point d’achoppement est le fait que LastPass a, pendant des années, ignoré les demandes de chiffrement de données telles que les URL. Palant souligne que savoir où les gens ont des comptes pourrait aider les pirates à cibler spécifiquement les individus. “Les acteurs de la menace aimeraient savoir à quoi vous avez accès. Ensuite, ils pourraient produire des e-mails de phishing bien ciblés uniquement pour les personnes qui en valent la peine », a-t-il écrit. Il souligne également que parfois les URL enregistrées dans LastPass peuvent donner aux utilisateurs plus d’accès que prévu, en utilisant l’exemple d’un lien de réinitialisation de mot de passe qui n’a pas correctement expiré.
Il y a aussi un angle de confidentialité ; vous pouvez en dire beaucoup sur une personne en fonction des sites Web qu’elle utilise. Et si vous utilisiez LastPass pour stocker les informations de votre compte pour un site porno de niche ? Quelqu’un pourrait-il déterminer dans quelle région vous vivez en fonction de vos comptes de fournisseur de services publics ? L’information selon laquelle vous utilisez une application de rencontres gay mettrait-elle votre liberté ou votre vie en danger ?
Une chose sur laquelle plusieurs experts en sécurité, dont Gosney et Palant, semblent s’accorder, c’est que cette violation n’est pas la preuve que les gestionnaires de mots de passe basés sur le cloud sont une mauvaise idée. Cela semble être en réponse aux personnes qui évangélisent les avantages des gestionnaires de mots de passe complètement hors ligne (ou même simplement en écrivant des mots de passe générés aléatoirement dans un cahier, comme j’ai vu un commentateur le suggérer). Il y a, bien sûr, des avantages évidents à cette approche : une entreprise qui stocke les mots de passe de millions de personnes attirera plus l’attention des pirates que l’ordinateur d’un seul individu, et accéder à quelque chose qui n’est pas sur le cloud est beaucoup plus difficile.
Mais, comme les promesses de crypto de vous laisser être votre propre banque, la gestion de votre propre gestionnaire de mots de passe peut présenter plus de défis que les gens ne le pensent. Perdre votre coffre-fort suite à une panne de disque dur ou à un autre incident peut être catastrophique, mais le sauvegarder présente le risque de le rendre plus vulnérable au vol. (Et vous vous êtes souvenu de dire à votre logiciel de sauvegarde automatique dans le cloud de ne pas télécharger vos mots de passe, n’est-ce pas ?) De plus, la synchronisation d’un coffre-fort hors ligne entre des appareils est, pour le moins, un peu pénible.
Quant à ce que les gens devraient faire à propos de tout cela, Palant et Gosney recommandent au moins d’envisager de passer à un autre gestionnaire de mots de passe, en partie à cause de la façon dont LastPass a géré cette violation et du fait qu’il s’agit du septième incident de sécurité de l’entreprise en un peu plus d’une décennie. . “Il est tout à fait clair qu’ils ne se soucient pas de leur propre sécurité, et encore moins de votre sécurité”, écrit Gosney, tandis que Palant se demande pourquoi LastPass n’a pas détecté que les pirates copiaient les coffres de son stockage cloud tiers alors qu’il était événement. (Le message de la société indique qu’il “a ajouté des capacités de journalisation et d’alerte supplémentaires pour aider à détecter toute autre activité non autorisée”.)
LastPass a déclaré que la plupart des utilisateurs n’auront rien à faire pour se protéger après cette violation. Palant n’est pas d’accord, qualifiant la recommandation de “négligence grave”. Au lieu de cela, il dit que toute personne qui avait un simple mot de passe principal, un faible nombre d’itérations (voici comment vous pouvez vérifier) ou qui est potentiellement une «cible de grande valeur» devrait envisager de changer tous ses mots de passe immédiatement.
Est-ce la chose la plus amusante à faire pendant les vacances ? Non. Mais le nettoyage non plus après que quelqu’un a accédé à vos comptes avec un mot de passe volé.
