LastPass : les gestionnaires de mots de passe sont-ils encore recommandés ?

La semaine dernière, le célèbre et très répandu gestionnaire de mots de passe LastPass a signalé une Faille de sécurité. Selon l'entreprise, la violation de sécurité s'est produite deux semaines plus tôt, lorsque des pirates se sont introduits dans le système où LastPass stocke le code source de son logiciel. De là, les pirates ont volé des parties du code source et certaines informations techniques propriétaires de LastPass. Les cybercriminels ont fouillé le code source protégé et la propriété intellectuelle de l'entreprise, mais n'ont apparemment pas pu accéder aux données des clients ou des employés. Cela a maintenant suscité des questions de la part d'utilisateurs inquiets : Les gestionnaires de mots de passe sont-ils encore utiles ? Les experts de Sophos, fournisseur de services de sécurité informatique, répondent comme suit :

Si j'utilise LastPass, dois-je changer tous mes mots de passe ?

Les utilisateurs peuvent bien sûr changer tout ou partie de leurs mots de passe s'ils le souhaitent. Toutefois, il semblerait que cet incident de sécurité n'ait rien à voir avec le fait que les cybercriminels aient obtenu des données personnelles, et surtout pas des mots de passe qui ne sont de toute façon pas stockés sous une forme exploitable sur les serveurs de LastPass.

En tant qu'utilisateur de LastPass, dois-je passer à une autre solution ?

Le fait est, selon LastPass, qu'aucune donnée personnelle ou liée à un mot de passe (cryptée ou autre) n'a été volée, mais uniquement le code source et les informations protégées de l'entreprise elle-même. La fiabilité d'une entreprise dans le domaine de la cybersécurité devrait se baser sur la manière dont elle réagit lorsqu'une erreur ou une faille de sécurité se produit, en particulier si l'erreur de l'entreprise n'a pas mis directement et immédiatement en danger les utilisateurs. Il est recommandé de consulter le rapport d'incident LastPass et les FAQ et de décider sur cette base de la confiance à accorder.

Un code source volé ne signifie-t-il pas qu'il y a forcément des piratages et des exploits ?

Le code source est beaucoup plus facile à lire et à comprendre qu'un équivalent "binaire" compilé, surtout s'il est bien commenté et utilise des noms significatifs pour des choses comme les variables et les fonctions au sein du logiciel. En d'autres termes, cette fuite de code source pourrait aider un peu les attaquants potentiels, mais premièrement, presque certainement pas autant qu'on pourrait le penser au départ, et deuxièmement, pas au point de rendre possibles de nouvelles attaques qui n'auraient jamais pu être découvertes sans le code source.

Dois-je renoncer complètement aux gestionnaires de mots de passe ?

Des inquiétudes fondamentales seraient justifiées si les gestionnaires de mots de passe stockaient des copies exactes de tous les mots de passe sur leurs propres serveurs, où ils pourraient être lus par des attaquants ou consultés par les forces de l'ordre. Mais aucun gestionnaire de mots de passe digne de ce nom basé sur le cloud ne fonctionne de cette manière.

Pourquoi devrais-je utiliser un gestionnaire de mots de passe ?

• Un bon gestionnaire de mots de passe simplifie l'utilisation des mots de passe. Il résout le problème du choix et de la mémorisation de dizaines, voire de centaines de mots de passe - renforcés en option par 2FA.
• Un bon gestionnaire de mots de passe ne permet pas d'utiliser deux fois le même mot de passe. En effet, lorsque les cybercriminels découvrent un mot de passe, par exemple en compromettant un site web, ils utilisent ce mot de passe ou des mots de passe similaires pour tenter d'accéder à d'autres comptes.
• Un bon gestionnaire de mots de passe peut générer et stocker des centaines, voire des milliers de mots de passe longs, pseudo-aléatoires, complexes et totalement différents.
• Un bon gestionnaire de mots de passe ne permettra pas que le bon mot de passe soit saisi du mauvais côté. Cela protège par exemple les utilisateurs contre le phishing.

Note de la rédaction : un billet de blog détaillé de l'expert en sécurité Paul Ducklin de Sophos, avec des réponses complètes aux questions, est disponible sur Sécurité nue Sophos à trouver.