LastPass vient d’annoncer que la synchronisation entre les appareils multiples était désormais gratuite, même pour les smartphones et tablettes. Un changement de taille dans la stratégie de l’entreprise, puisqu’il fallait auparavant s’acquitter d’un abonnement Premium.
Dans notre récapitulatif sur les gestionnaires de mot de passe, LastPass s’en sortait à bon compte pour qui cherchait avant tout une solution synchronisée. Mais comme tous les produits commerciaux, il fallait passer par un abonnement, même si LastPass se révélait le moins onéreux : 12 dollars par an. Et encore, cette formule ne concernait que les appareils mobiles, puisque les ordinateurs pouvaient être synchronisés gratuitement, contrairement à Dashlane et 1Password par exemple.
Plus de limite sur la synchronisation
Et alors que ces solutions sont de plus en plus mises en avant comme capables de résoudres les diverses problématiques des mots de passe – notamment le cas idéal d’un mot de passe fort différent pour chaque site – voilà que LastPass annonce la gratuite pour un nombre illimité d’appareils, fixes ou mobiles.
Dans son communiqué, l’éditeur indique qu’il s’agit de l’étape logique suivante pour amener les utilisateurs à prendre soin de la sécurité de leurs comptes. Et la bascule est importante puisque même si les utilisateurs changeaient de nombreux mots de passe dans la version gratuite, il restait la frontière du mobile. Or, de peur de se retrouver coincés avec des identifiants impossibles à retenir, certains laissaient volontairement des mots de passe simples – donc faibles – pour pouvoir s’en servir sur leur smartphone par exemple.
L'offre Premium reste en place
Attention, cela ne signifie pas que toutes les fonctionnalités de la version Premium deviennent gratuites, l’abonnement Premium restant en place, tout comme son tarif (12 dollars par an). Il garde donc le partage familial, l’absence de publicité, le support des solutions F2S Yubikey et Sesame, le support technique prioritaire, la reconnaissance digitale quand elle disponible et le Go de stockage pour les documents importants.
Il n’est donc pas question de remboursement au prorata pour ceux qui ont payé un an d’abonnement. Par contre, ceux qui avaient souscrit à l’offre pour la synchronisation illimitée pourraient changer d’avis à la prochaine d’échéance. Il ne serait d’ailleurs pas étonnant que LastPass enregistre une chute du chiffre d’affaires sur ce point, même si l’éditeur indique travailler sur des fonctionnalités supplémentaires pour son Premium :
Commentaires (55)
C’est vrai qu’avec ces changements, le Premium est beaucoup moins attractif et c’était la synchronisation mobile qui m’avait fait prendre un abonnement (un peu comme tous les Premium je suppose).
Même si le prix à l’année est vraiment faible, Lastpass va la sentir passer… personnellement je suis assez partagé pour un renouvellement futur.
Perso j’aurais “travaillé sur des fonctionnalités supplémentaires pour mon Premium” AVANT de rendre gratuit la synchro multi-appareils
Moi qui me tâtait pour prendre un abo premium prochainement …
Merci d’avoir facilité mon choix :)
Dashlane c’est une boîte Française et leurs serveurs sont aux USA… Du coup c’est la loi de l’Oncle Sam qui s’y applique. Hormis Keepass je ne vois pas plus secure.
" />
Rien que pour la libération des pubs, je pense que je conserverai l’abonnement.
C’est pas cher, et le support technique prioritaire me rassure en cas de pépin.
J’essaye de soutenir systématiquement les développeurs des apps avec pubs que j’utilise quotidiennement (c’est donnant-donnant..), et c’est très frustrant quand on ne peut pas le faire (musixmatch, si je t’attrape….)
Franchement, ils font ce qu’ils veulent, tant que c’est dans l’intérêt des utilisateurs, je ne vois pas le problème.
" /> )
Et rendre gratuite une fonctionnalité, je ne vois pas en quoi ça dessert l’utilisateur… (À part si ça fait couler la boîte
Personnellement le premium je l’avais surtout pour le support yubikey :)
le jour ou keepass gérera l’hébergement sur serveur personel (avec accès simple depuis les mobiles) avec gestion d’un multi facteur basé sur une clé changeant toutes les 30s j’y réfléchirai…
D’ailleurs, ils sont dans le dernier Humble Bundle
L’année premium est à un peu moins de 7.5$ du coup (et avec deux trois autres soft plutot sympa dont displayfusion :) )
J’allais justement le faire remarquer :)
Les logiciels du bundle :
Pour $1 :
Pour $7.50 :
Pour $15 :
Dans notre récapitulatif sur les gestionnaires de mot de passe,
LastPass s’en sortait à bon compte pour qui cherchait avant tout une
solution synchronisée. Mais comme tous les produits commerciaux, il
fallait passer par un abonnement
Comme ils flambent chez NXi, toutça pour sous-entendre que LastPass a changé l’offre suite à leur dossier
Hahaha ben nan, c’est même relou puisque des infos ne sont plus valides 
" />
je suis plutôt d’accord.
je cut l’abo à la prochaine échéance
Sérieux… Il y a des gens qui filent leur mots de passe à une entreprise ?
Mais à quoi servent leurs neurones ?
+1 C’est justement ce que j’utilise personnellement.
La double authentification, et Yubikey aussi d’ailleurs est dispo. Et je suis totalement maitre de mes données ^^
À autre chose que stocker des mots de passe
" />
Bad troll is bad at trolling.
On ne leur file pas les mots de passe. On leur file un gloubiboulga chiffré dont ils n’ont pas la clef. Tout ce qu’ils font est nous fournir des serveurs et apps pour qu’on puisse synchroniser ça entre les différentes machines qui veulent s’en servir.
ah ben dis donc je suis intéressé par display fusion
c’est la version 1 poste ou familial ?
qu apporte le cloud LastPass par rapport à un cloud générique à la GoogleDrive/OneDrive où on peut très bien y stocker son fichier de base de données?
Par principe, je préférais utiliser un 2ème chiffrage d une autre entreprise (par ex boxcryptor) avant de mettre ledit fichier ds un cloud.
Et ben non désolé. Tenir à jour et maintenir deux systèmes pour UNE seule solution est :
Et réellement pouvoir créer un démon qui gère les requètes REST sur un port https plutôt que de transférer le fichier complet à chaque fois ca serait TELLEMENT plus efficace et plus propre pour gérer son serveur de mot de passe.
Enpass gère l’hébergement de la db sur un gros nombre de cloud ou hébergement perso. C’est un keepass like.
1 poste mais tu peux choisir entre version standard ou Steam (et avec Steam tu peux l’installer sur plusieurs postes par exemple)
Je suis sur mobile donc difficile de quoter mais il manque des mots dans cet article, et à plusieurs reprises. Assez inhabituel pour être relevé :)
Owncloud était un exemple. Tu peux très bien faire plus simple et plus sécurisé, connexion ssh, serveur de fichier …
Keepass chiffre le fichier, donc même si tu te fais pirater ton serveur, normalement personne ne peut voir tes mots de passe.
De toute façon une bonne gestion des mots de passe (en utilisant un gestionnaire de mot de passe ou pas) c’est :
Ça rend obsolète rapidement tous tes mdp, ce qui fait que même si on a pu récupéré ton *.kdbx à un moment, on ne pourra pas utiliser tes mdp.
Tu crois qu’utiliser une solution qui intègre synchronisation/chiffrement est plus simple et sécurisée… J’en doute très fortement. Plus un soft intègre de fonctionnalités, plus il a de failles potentielles. Ça rend les attaques plus simple à mettre en place également.
Ton idée du daemon n’est pas valable. Le principe (et celui de lastpass également) c’est que c’est ton client qui déchiffre la base. Si il y a un daemon, ça veut dire que le serveur doit déchiffrer la base pour mettre à jour les clés, donc avoir le mot de passe principal, et donc 0 sécurité.
Si c’est gratuit, vous êtes le produit ! 
](https://cdn2.nextinpact.com/smileys/chinese.gif)
Yep. Faut se poser la question de comment ils se payent l’infra et les employés avec ce type d’offres… Perso’ ça me fait fuir.
Keepass est quand même moins ergonomique que lastpass. On peut sauvegarder des cartes bancaires dans Keepass? Comment synchro avec un owncloud? Un tuto quelque part?
Sous Android, vous conseillez quoi?
12€/an/client et vu qu’ils ont (je suppose) pas mal de clients, ça se rentabilise, et il y a la pub sur la version gratuite. ^^
Perso un keepass sur dropbox er c vraiment pratique. Et gratuit . Lisible avec keepass droid sur android
Regarde mon post précédent
Justement j’utilise des mots de passe forts (générés) et last pass est une très bonne solution pour ça. ET surtout c’est sécurisé car cela utilise de la vrai double authentification.
J’utilise keepass tous les jours au boulot et on hurle assez souvent sur les limites, hébergés sur une solution de cloud et demander au cloud de gérer la double authentification est une erreur. pareil tu ne peux pas gérer un “partage” de quelques mots de passe (exemple un mot de passe administrateur fort sur un serveur) et si tu v eux faire des modifications en meme temps qu’un autre c’est juste la joie pour perdre les mots de passe.
Bref je le redis. Une solution propre avec possibilité de requêtes rest sans passer par un hébergement typé fichier est une vrai solution. la keepass c’est bien pour le stockage perso et local .
Et pour information même si ton fichier est chiffré ton mot de passe reste statique dessus (et il y a 0 protections du nombre d’esai). donc s’il n’est pas TRES fort, vu que c’est un fichier en local cela se craquera un jour. Tu peux même le distribuer sur XXX machines pour diminuer le temps de recherche, après tout le parc de zombie disponible devrait pouvoir rendre ça trivial. Par contre si une des clé”s change toutes les 30s cela devient impossible.
Je le redis keepass sort une solution qui permet d’héberger chez soit un serveur avec vrai double auth, cela deviendra la solution du marché
Je vais commencer à utiliser ce genre de service pour mes comptes non sensibles pour tester le principe.
Un conseil de fournisseur? (dashlane, lastpass, …)
C’est vraiment secure à votre avis ?
Oui c’est sécurisé… Tes données sont stockés chiffrées chez eux et pour l’instant l’AES 256 n’est pas cassable.
En gros à la création de ton compte ils génèrent en local une clé basé sur ton login + mot de passe.
Un collègue auditeur avait fait un petite analyse et à aucun moment il n’a pas pu voir des données en claires.
Maintenant rien est infaillible ;)
Comment se comportent les applis mobiles ? Elles se deconnectent toutes seules en cas d’inactivité ?
Si perte du mobile, mettons non verrouillé quels sont les risques ? (question qui vaut temps pour dashlane que pour lastpass)
(j’ai déjà dashlane mais en local uniquement)
/facedesk
Ok donc tu bosses dans une très petite boite ou une boite qui vis encore avec dix ans de retard (comme les trois quarts des boites francaises)
Les mots de passe de compte de service de tes serveurs par exemple tu les stockes ou ? tu met le même partout ?
Et quand tu as 200+ serveurs tu fais comment ? (et me répond pas un keepass commun, c’est juste de la emrde en barrre). On a une solution mais maison pour gérer ça.
Aller quelques exemples sur des serveurs :
etc
Et si l’admin est malade, en vacances, remercié ?
Et ne parle pas de compte UTILISATEUR merci…
1 - cool j’ai un update a faire et je dois ressaisir le mot de passe ? ah ben je réinstalle tout histoire de perdre du temps sur XX serveurs. Et encore une fois Un responsable = avoir une personne qui peut ne pas etre là = un point unique d’echec = mauvais.
2 - CF point précédent. Une personne qui connait = mettre en danger son entreprise. Ne jamais faire sauf si on aime se tirer dans le pied.
3 et les suivants en fait : point unique d’echec = danger. Toutes les bonnes pointes d’informatiques le savent.
Pour les certificats il faut parfois l’installer en mode complet (ie avec clé privée) sur plusieurs serveurs, si jamais la manipulation automatisée se passe mal il faudra intervenir à la main si personne n’est capable d’obtenir la clé tu fiches en l’air ta production.
Les clés / comptes de soft : si le soft demande une authentification /ULTIMEFACEDESK. Aller juste un exemple : ferme de rendu. Ton compte permet de connaitre la facturation finale.
Et encore une fois j’ai l’impression qu’on me parlme de poste UTILISATEUR et non de serveur.
La mauvaise pratique c’est les tiennes. Je le redis, Personne et vraiment PERSONNE ne doit être irremplacable dans un service, il faut pouvoir donner accès à des personnes “autorisée” à certains services sans avoir à tout refaire à 0 et reparamétrer pendant des heures des comptes pour une personne. Ca marche pour les PMEs au dela c’est de la mauvaise gestion de DSI.
bon, apparement tu aimes la gestion (débile arrièré et ayant 15 ans de retard MINI) à la Française, sans RUn, sans devops intercheangable, et sans gestion des risques.
Et pour revenir au débat : Avoir un serveur qui gère des requêtes REST plutôt qu’un fichier est
- Permet de refaire ses propres sucouches sans se prendre la tête.
Tu fais l’amalgame entre réaliser une opération une fois, par la personne chargée de cette opération et qui en détient toutes les clés, et donner la possibilité à quiconque d’autre de faire cette opération n’importe quand.
Update serveur ? Ce n’est pas à faire par n’importe qui ni n’importe quand. L’admin serveur n’est pas là ? ça attendra.
Installation des certificats ? Idem. Une personne. One shot ou automatisé.
Donner un accès à quelqu’un ça se fait, mais pas n’importe comment c’est tout. Il ne s’agit pas d’avoir un acteur irremplaçable pour tout faire, il s’agit simplement de contrôler ce qui est fait et comment.
C’est comme les badges d’accès, on ne fait pas n’importe quoi avec. Point.
Aller la réponse en deux mots : Maintenance, imprévus.
Encore une fois dans une PME tu peux n’avoir qu’une personne qui le fait ca passera “avec de la chance et en serrant les fesses), un incident te demandera d’intervenir sur la machine et peut être avoir besoin de ces clés.
Update server ? Oui ce n’est pas à faire par n’importe qui par contre n’avoir qu’une personne avec le mot de passe alors que si tu ne mets pas à jour tu as possiblement une énorme faille de sécurité ? C’est de la négligence caractérisée niveau sécurité (aller un exemple : hearthbleed ?)
Installation des certificats je vais te donner un cas concret, Y a quelques semaines un fournisseur de certificat à fait de la grosse merde niveau certificats intermédiaire certains softs linux avait complétement invalidé leurs certificats et demandait de réinstaller (avec clé privé) leurs certificats. Si t’as pas la clé tu fais comment ? tu laisses tes clients une semaine en rade le temps que l’admin revienne ? Tu réinstalles tout et provoque des coupures de deux heures ?
Oui ça ne se fait pas n’importe comment néanmoins dire que c’est MAL que ça ne devrait pas exister, c’est ne pas avoir conscience de ce qu’est un Point Individuel De Défaillance et à quel point cela peut mettre à mal ton business et c’est aussi faire la très française politique de l’autruche.
Pour revenir sur le sujet avoir une solution de gestion de ces informations critiques et de leur transmission et mise à jour est vitale pour les boites qui ont des services informatiques importants et gèrent de très très nombreuses machines. Et on se dirige vers une démultiplication des serveurs / Vms très rapidement avec le cloud. Keepass qui proposerait une version “serveur” (payant au besoin) que tu peux héberger sur tes propres serveurs (inaccessibles à extérieurs) avec chiffrement des mots de passe de la db via clé machine + API serait une bonne évolution.
Perso j’ai abandonné lastpass après ça : http://www.01net.com/actualites/lastpass-une-faille-zero-day-menace-tous-les-com…
Je suis passé à Keepass mais j’avoue que j’en ai bavé pour configurer la synchro sur mes machines (win, linux, android) et mes browser (firefox et chrome). Ma femme se plains d’ailleurs régulièrement du changement. Cela dit c’est le seul gestionnaire de mdp (autre que lastpass) qui supporte tous ces systèmes et le multi-compte.
Chez moi on ne se connecte pas à un serveur de prod avec un compte applicatif.
On utilise une passerelle d’authentification avec compte LDAP et la gestion des habilitations nous permet de choisir avec quel compte applicatif rebondir sur le serveur ciblé.
A aucun moment je ne connais le mot de passe du compte applicatif, à aucun moment je n’en ai besoin pour administrer les applis sous son périmètre.
Les serveurs sont inaccessibles en dehors de cette passerelle, seuls les flux réseaux nécessaires sont ouverts.
vous conseillez quoi pour synchroniser la bdd keepass sur plusieurs ordi / smartphones?
Pour keepass, Webdav et double authentification et le tour est joué. La synchro se fait de partout en tache de fond (windows, android, linux, mac os, ios).
C’est libre, gratuit, sans pub, accessible de partout, et hébergé par soit même, pas par des sociétés tierces …