Pour la seconde fois, LastPass a émis une « notification de sécurité » et invite ses utilisateurs à changer le mot de passe maître de leur coffre-fort numérique. Les données chiffrées des utilisateurs ne seraient par contre pas compromises.
Sur son blog, la société LastPass vient d'annoncer avoir été victime d'un problème de sécurité relativement important : « Nous souhaitons informer notre communauté que vendredi, notre équipe a détecté et bloqué immédiatement une activité douteuse sur notre réseau. D'après nos investigations, nous n'avons aucune preuve que les données chiffrées de nos utilisateurs ont été compromises, tout comme l'accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage et le hachage d'authentification ont été compromis ».
Mot de passe maitre chiffré compromis, les coffres-forts numériques seraient épargnés
D'après les déclarations de LastPass, les coffres-forts numériques des utilisateurs ne seraient pas concernés, ce qui fait dire à la société que « vous n'avez pas besoin de changer les mots de passe des sites enregistrés » dans ce dernier. La situation est par contre moins reluisante concernant le mot de passe « maitre ». Fort heureusement, il n'est pas enregistré en clair sur les serveurs de LastPass.
« Nous sommes confiants en nos mesures de chiffrement pour couvrir la protection de la majorité de nos utilisateurs. LastPass renforçant le hachage d'authentification par un salage aléatoire et 100 000 itérations côté serveur PBKDF2-SHA256, en plus de celles effectuées côté client. Ce renforcement supplémentaire rend difficile une attaque des données volées » précise la firme. Néanmoins, cela ne sert pas à grand-chose si votre mot de passe maitre est trivial, comme 123456789, 123456799, password, password1, etc. Mais là, le piratage de LastPass ne change pas grand-chose de toute façon. Dans tous les cas, il est recommandé de changer votre mot de passe maitre, d'en choisir un suffisamment fort et de ne surtout pas l'utiliser pour d'autres services.
Comptes utilisateurs verrouillés en cas de nouvelle connexion
En guise de protection contre d'éventuelles attaques de pirates, la société a verrouillé les comptes de ses utilisateurs : « Nous demandons à tout utilisateur se connectant depuis un nouvel appareil ou depuis une nouvelle adresse IP de valider en premier lieu leur compte via leur adresse e-mail, à moins que vous n'utilisiez l'authentification multi-facteur ».
Cela reste un coup dur pour LastPass, d'autant que ce n'est pas la première fois qu'une telle mésaventure arrive. Pour rappel, en mai 2011, la société avait demandé à ses clients de changer leur mot de passe maitre, ce qui avait d'ailleurs posé quelques soucis puisque le trafic avait augmenté de manière considérable et que le service n'arrivait plus à l'absorber. Comme il y a quatre ans, LastPass ajoute qu'elle travaille « avec les autorités et des experts en sécurité » sur cet incident dont l'origine n'a pas été évoquée.
Commentaires (88)
#1
Voilà pourquoi j’ai toujours des réticences à utiliser de tels services et centraliser tous mes mots de passe. Le jour où le système est compromis, tu pleures. Peut-être devrais-je regarder du côté de KeePass qui est local, je ne sais pas, car c’est quand même bien pratique.
#2
Qu’en est il niveau sécurité des password sauvegardé via firefox Sync?
#3
Dashlane est une alternative viable ? KeePass a l’avantage d’être open source, c’est pas rien.
#4
Sinon il existe 1password qui a l’avantage de ne pas etre en ligne.
#5
@Vekin: pour moi KeePass répond à toutes les attentes, il peut être local ou “cloudifié”, selon comme on l’utilise.
On peut dupliquer sa base de mots de passe où on veut et en autant d’exemplaires que souhaité car la synchro est quasi transparente (chaque sauvegarde est une fusion en réalité).
#6
c’est une hérésie de mettre ses mots de passe sur une plateforme externe alors qu’un simple keepass est nettement plus secure " />
#7
Le soucie c’est que ca fait des années que je me souviens plus de mon mot de passe maitre chez LastPass… Apres suis passé au gestionnaire de mot de passe de google, ce dernier c’est certes une pieuvre, mais au moins je peux lui faire confiance " />
LastPass c’etait surtotu a l’epoque des firefox avant que ca devienne la course au versionning, la bonne epoque ou y avais pas encore chrome " />
#8
C’est bien d’annoncer ce genre de chose.
Le problème dans la sécurité, c’est que la transparence est fondamentale. Or, quand il t’arrive une bricole et que tu l’annonces car tu es professionnel, tu passes pour un gignol.
Et si un concurrent n’annonce jamais rien, on sait pas si c’est parce qu’il est un escroc sans scrupule ou si c’est pas qu’il est tellement fort qu’il n’a pas été compromis.
#9
Ouais sauf que keepass est tres mal porté sous linux et macosx, n’existe pas sur smartphone et il ne s’integre pas aux navigateurs.
Keepass, c’est bien mais c’est un peu limité quand meme…
#10
#11
J’ai envie de dire : oui la sécurité a été compromise à un moment donné mais la société communique et prend les mesures pour empêcher tout utilisation frauduleuse derrière…. ce n’est pas le cas de tout le monde !
#12
J’étais content en lisant leur mail de bon matin.
#13
J’étais content en lisant leur mail de bon matin.
#14
Oui, enfin si on utilise un password maître digne de ce nom, qu’on a activé la double authentification sur son compte Lastpass, et qu’on lit attentivement l’article de blog, il n’y a vraiment pas de raison de s’inquiéter…
Si à chaque fois qu’un éditeur de ce type qui communique de manière transparente perd des milliers d’utilisateurs parce-que les gens ne font pas l’effort de comprendre et paniquent, alors le silence sera fait sur ce genre de choses et ce sera bien pire.
#15
#16
Quid de l’intégration avec Android ?
#17
#18
+1 pour KeePass.
ma base est hébergé sur un ftp perso invisible sur le net et mes mots de passes sont synchronisé avec mon pc fixe sous win7, mon C720p sous debian et mon note 3 sous android.
C’est tellement simple et efficace que je ne comprends pas du tout le succès de lastpass qui en plus est payant si on veut le débridé.
Je ne veux pas dire de bêtises, mais il me semble que c’est leur 2e fuite de l’année. ça met pas du tout en confiance …
#19
Il existe un utilitaire Keepass sur WP, donc je suppose qu’il existe aussi sur les autres plateformes.
En tout cas, j’utilise Keepass et il répond complètement à mes attentes.
Je n’oserais pas utiliser ce type de logiciel propriétaire et dont tu ne sais rien. Avec Keepass tu te debrouilles tout seul, c’est peut être un peu moins userfriendly mais c’est top.
#20
keepass s’integre avec tout les navigateurs grace à ses plugins et fonctionne parfaitement bien sous toute les distribution linux, pour peux qu’on installe mono-complete correctement. Je l’utilise tout les jours avec chromium et iceweasel
Et pareil sous android avec un note 3
#21
Les gestionnaire de mot de passe en ligne sont quand même une belle aberration niveau sécurité.
J’attend le jour où dashlane se fera tipiak ….
#22
#23
Je connaissais lastpass de nom, mais j’halucine de découvrir qu’on peut ne pas rester maitre de ses mots de passe.
Les stocker sur un serveur c’est une hérésie. #singlepointoffailure
#24
… et c’est pourquoi j’utilise KeePass depuis des années.
Je l’ai sur mes différents PC, et sur mon Windows Phone.
Et je suis tranquille ;-)
#25
ah? pourtant je l’utilise au quotient sur linux mint et mon nexus 5, le tout synchroniser en webdav (owncloud). Alors ce n’est peut être pas natif, mais chaque partie fait son taf de façon indépendante et ça marche du tonnerre.
#26
Perso j’utilise KeePass en local, en synchro avec mon Syno : pas de problème et de risque de sécurité " />
#27
#28
J’utilise lastpass pour pouvoir avoir acces a mes mots de passe entre mes differents ordis. Des collegues ont 1password, et d’autres synchronisent via dropbox. Donc un moment ou une autre les mots de passes sont qq part.
Pour ftp perso ou cloud perso, il faut les competences et mettre ca en place. Si ce n’est “que” pour des mots de passes ca fait un peu beaucoup.
Je vais regarder keypass avec onecloud (dans les commentaires), meme si ca veut dire que les mots de passes seraient chez microsoft.
#29
Par contre je n’ai pas le recu le mail.
#30
+1, merci pour ce commentaire plein de bon sens !
La double authentification apporte vraiment une bonne protection pour ce genre de problème. Je peste souvent quand je me connecte à Lastpass sur un nouvel ordi et que je dois sortir ma petite grille pour confirmer mon authentification, mais c’est un moindre mal comparé à la protection que ça apporte " />
#31
C’est marrant tout ses messages, mais quand tu es en déplacement, sur un pc sur lequel tu n’es pas admin, tu fait comment avec keepass ? Et puis tout le monde n’a pas la capacité d’héberger ce genre de service à la maison, sur un NAS ou autre.
C’est courageux de la part de lastpass de communiquer sur le sujet ; même si j’étais moyen content de voir ce courriel de bon matin ; )
#32
J’envisage aussi l’utilisation de KeePass mais la synchronisation me pose problème.
Tu entends quoi par “invisible sur le net” ?
#33
Voilà une bonne raison de ne pas centraliser ses mots de passe, mais d’en avoir un ou deux, avec variantes. Genre une partie centrale identique pour tous les mots de passes, et une ou deux lettres qui changent en fonction du service concerné.
Exemple :
-> mot de passe = GR1ni2RI
Bref, rien à retenir, et on peut faire un tas de variantes pour chaque service, et utiliser une base plus robuste si besoin.
#34
J’utilise lastpass car ça permet d’accéder à ses mots de passes partout simplement.
Avec la double identification par yubikey ou grille, je suis plutôt confiant au niveau sécurité.
Puis voir une boite être transparente sur les tentatives d’intrusions je trouve ça plutôt possitif. Ça change de Sony :p
#35
#36
#37
#38
#39
Bien sûr, bien sûr… Eh bé, y’a encore du boulot à faire !
Pour info, les deux outils dont on parle - si on sait s’en servir, j’en reviens donc au problème - ne sont pas (vraiment) sensibles au keylogger.
Et pour info aussi, un mot de passe correctement salé et hashé (c’est presque de la boucherie :)) en base risque bien moins qu’un en clair chez toi.
#40
#41
Tout dépend de ta base. Si ca te chante, tu peux utiliser #47gr?µlaZcr (ce qui inclue caractères spéciaux, nombres, alphabet, et la casse)
#42
#43
#44
un vps à 2€ sous debian installé en lowend, sans service http. et je n’ai jamais communiqué l’adresse à personne.
il faut l’adresse, le login et le mot de passe du ftp, ensuite il faut casser le mot de passe de la base et trouver un moyen de remplacer le fichier clef qui lui n’est pas en ligne.
de plus le vps me prévient immédiatement par email à la moindre tentative de connexion y compris les miennes. et certains à jour à certaines heures le service ftp est carrément éteint automatiquement, puisque je sais que je n’en ai pas besoin. ( et si un jour j’en ai besoin je le rallume en ssh )
#45
Ben si tu as un smartphone, tu as juste à transférer ta BDD dessus et voila, lorsque tu es en déplacement tu as tout sous la main. Si tu n’as pas de smartphone, là je peux comprendre que ça devient lourd.
Mais je ne vois pas où est la difficulté. C’est peut être un peu moins facile d’utilisation que Lastpass mais tellement plus contrôlable.
#46
#47
Il est ou le rapport avec le fait de centraliser tes mots de passe dans une base de données/systemes accessible en ligne ?
Tu auras beau avoir 400 mécanisme d’authentification couplés si la base de données se fait pirater ça n’y changera rien, ou pire une faille dans leur API qui permettrait de se faire passer pour un autre utilisateur, une attaque MITM à la superfish également.
#48
#49
Keepass existe sur smartphone et tu peux partager ta base KDBX via dropbox dans un répertoire crypté.
Je ne vois pas en quoi KeePass est limité ! un exemple ?
#50
J’ai un porte-clef avec une clef USB, ma base est dessus pour les déplacements (de temps en temps une syncro manuelle et rulz).
Toujours des solutions, mais faut accepter certaines contraintes ou choisir une sécurité moindre, c’est au choix de l’user =)
#51
#52
Il m’est arrivé à plusieurs reprises de tomber sur des PCs (entreprise) avec les ports USB désactivés par mesure de sécurité… :/
J’utilise personnellement lastpass avec la double authentification… J’ai changé mon pass maitre par acquis de conscience…
L’ergonomie de lastpass est quand même pour moi inégalée actuellement…
#53
Ma base est aussi sur un serveur où j’ai accès en ligne, mais c’est plus long que ma clef (connexion, double authentification), j’ai pallié un certains nombres de blocage, mais après si tu as un filtre web + désactivation des ports USB, oui je suis mal ^^
#54
Je n’ai peut-être pas bien compris la news, mais elle parle de compromission au niveau du mot de passe maître uniquement. Mon commentaire portait sur ce type de problème, et dans ce cas LastPass précise (libre à chacun de les croire) que les données encryptées (et donc les mots de passe des sites) n’ont pas été volées.
L’authentification multifactorielle permet de renforcer la sécurité de l’accès via le mot de passe maître, mais elle n’est pas infaillible on est d’accord !
#55
#56
#57
#58
Je te conseille de jeter un œil du coté de duo security, gratuit pour moins de 10 users avec divers modes de validation sur smartphone, dont du push !
#59
#60
Perso j’utilise Safeincloud, il existe une version Windows, Android, OSX, iOs et des plugins pour Firefox & Chrome.
La base de donnée est cryptée avec un mot de passe maître et est stockée sur Dropbox/Google Drive/One drive au choix.
Dès qu’il y a une modif c’est automatiquement synchronisé et transparent pour le user.
Le plus safe est d’ajouter une double authentification sur le compte ou est stocké la bdd.
Je l’utilise depuis 1 an maintenant et c’est le gestionnaire de password le plus simple et pratique que j’ai testé.
#61
Moi pour l’instant j’utilise l’option intégré gratuite qui est la matière grise et la mémoire intégrée et biologique.
Je verrai pour lostpass et ses cousins, si l’Alzheimer se manifeste un jour …
#62
" />
#63
Encore un service que je découvre…
#64
De toute facon, les mots de passe, ce sera bientôt dépassé, Microsoft va faire l’authentification avec la forme de notre trou de c.. comme Google le fait déja
#65
#66
pour la sécurité de Sync, je ne sais pas mais la sécurité des MDP dans firefox est juste une blague.
Copie les fichiers signons.sqlitelogins.json key3.db et places.sqllite d’un autre profil firefox dans ton profil (au sauvegardant les tiens évidements.
Ensuite, direction Option > sécurité > mots de passe enregistré > voir les mdp : le Top
#67
Même avec un mot de passe maître ?
Sinon, je fais partie des utilisateurs LastPass+Yubikey, et même si j’aurais préféré qu’ils fournissent de quoi héberger son propre serveur (quitte à perdre quelques fonctionnalités) le fait de savoir que tout est fortement crypté avant de quitter mes postes (et qu’ils ne peuvent à priori rien décrypter eux-mêmes) me suffit.
Mais il reste quelques zones bizarres, notamment la possibilité de bypasser la double authentification sur certains postes ou appareils choisis : un attaquant n’aurait qu’à faire passer son poste pour un poste autorisé ?
Je passerai probablement plus tard sur KeePass (qui a aussi un plug-in pour la double authentification), mais pour l’instant je suis assez satisfait.
#68
Oui mais là on est plus dans de la solution facile d’accès à mettre en place pour soi dans un cadre personnel. Comparée a ce que requiert comme connaissance la création d’un compte sur un service en ligne.
Et puis qu’est-ce qui rend plus sûr ta clef usb ?
#69
#70
Merci pour les réponses;) Faut que je vérifie tout ça. J’ai que moyennement confiance en KeePass ou équivalents. Je regarderais plus en détail dès que j’ai un moment.
#71
JAMAIS je ne confierai mes mots de passe à un tiers, et en plus avec des comptes synchronisés ! " />
Le peu de mdp que j’ai mémorisés sont dans Firefox et ne concernent que des forums, rien d’important, le reste se trouve sur un fichier isolé dans mon PC.
D’ailleurs je ne confierai jamais rien à un tiers, cloud ou autre.
#72
Si les bases de données sont chiffrées c’est pas pour rien…
De toute façon perso, mot de passe changé régulièrement + yubikey = pas vraiment de soucis à se faire.
#73
Merci pour ces précisions, ça me paraît une bonne solution. :)
#74
MDR ! " />
Enjoy THE Cloud. " />
KeePass , KeyPass, qui passe, la classe …. " />
#75
#76
Je m’en sers depuis longtemps sous Linux, j’ai pas eu de problème.
Pour l’intégration au navigateur il y a un plugin qui s’appelle KeePassHttp. C’est un peu chiant à configurer, mais après ça tourne bien.
https://github.com/pfn/keepasshttp/
#77
Pour faire comme tout le monde, voici la solution que j’utilise.
Keepass avec fichier de clé + passphrase. Synchronisé en WebDAV sur le synology de la maison.
Le fichier de clé n’est stocké que sur les équipements finaux et non sur le synology.
Le WebDAV n’est accessible que depuis mon lan. Il suffit juste de lancer de temps en temps kypass (iOS) pour récupérer la dernière version du fichier des mot de passe quand je suis à la maison ou bien si j’ai ajouter un mot de passe dans mon tel pendant que je n’était pas chez moi.
Pour moi je trouve que c’est un bon compromis entre sécurité et pratique.
J’ai aussi mis un nombre d’iteration assez élevé sur la passphrase afin que la clé de chiffrement dérivé prenne environ 2 seconde a être calculer . Ce qui fait que même si on me vole le fichier keepass et le fichier clé, ça prendra a l’attaquant 2 secondes de calcul cpu par essai de bruteforce. Soit un temps quasiment infini en 2015 pour déchiffrer le fichier keepass.
Le fichier keepass contient une centaine de mot de passe différent, ainsi que des clé privée ssl, clé ssh et quelques document important genre accuse réception des impôt.
Si on respecte bien la séparation fichier base de donné keepass et fichier de clé, la base de donné pourrait se trouver en base64 sur Facebook que ça n’en serait pas moins sécurisé.
My 2cts
#78
#79
Pour ma part j’utilise Lastpass depuis 5 ans et cette news ne m’a pas fait assez peur pour me faire aller chez la concurrence. Bien au contraire, je préfère qu’une société indique clairement avoir été victime d’une attaque que d’avoir droit à un silence pour éviter de perdre des utilisateurs.
De toute façon mon lastpass contient un mot de passe avec majuscule, minuscule, caractères spéciaux et chiffres et le tout est en double authentification avec une Yubikey.
J’ai testé Dashlane et en plus du prix prohibitif à l’année, il est loin de valoir Lastpass. Le client est certes joli mais il est lourd et la double authentification se limite à Google authentificator.
L’une des options de Lastpass que j’apprécie est la limitation de connexion depuis le réseau Tor et la limitation par IP de pays. Certes c’est contournable via un VPN mais c’est une couche de sécurité en plus.
De toute façon quelque soit la méthode utilisée (online / offline / mémoire biologique), il y aura toujours un manque de sécurisation ou des failles.
En parlant de double authentification, quelqu’un peut me dire pourquoi Paypal n’est pas foutu de proposer une authentification à double facteur pour ses utilisateurs français ? " />
#80
Ca me fait un peu sourire de voir tout ceux qui se vantent d’auto héberger leur fichier de mot de passe, que ce soit sur un serveur dedié, sur un NAS ou meme sur leur PC.
Ayant un Linux dédié sur le net, je suis moi aussi adepte de l’hébergement ‘maison’, mais je pense honnêtement que mon serveur ne tiendrais que quelques minutes face un hacker moyen.
Ne pas utiliser les services cloud apporte de la tranquilité par rapport à la confidentialité et l’utilisation des données. Par contre, je pense que les LastPass, Google, Amazon & co sont plus compétents que le geek du coin pour sécuriser des données. Je ne me rappelle plus quel bloggeur (Korben ?) s’était fait hacker son compte email, ‘auto hébergé’ sur un de ses serveurs. Et comme on sait, compte email hacké -> Accès à tous les autres comptes.
J’utilise LastPass depuis 1 an et pour l’instant j’en suis très satisfait. Bien sur c’est comme le reste, il faut de temps en temps changer le mot de passe maitre, et bien sur changer les mots de passe sensibles (email, paypal etc), et c’est tellement simple a faire avec LastPass.
#81
Moi, je ne suis pas expert en cryptographie, je reste sur des considérations basiques. Les motivations restent les mêmes que l’on soit dans le monde physique ou dans le cyber-espace. Un gros coffre-fort collectif attirera toujours plus de prédateurs qu’un petit coffre-fort personnel. Et un petit réseau local avec plein de petites barrières à franchir finira par dégoûter le pirate amateur.
Les petites barrières :
#82
La seule limite de Keepass que je connaiosse c’est quand l’utilisateur ne cherche pas a l’utiliser correctement.
Je l’utilise tous les jours sans aucun problèmes.
Pour l’intégration aux navigateurs, il faut juste installer deux modules qui se nomment Keefox et Keepasser.exe pour IE. Ils sont sur le site de Keepass, il faut juste lire et chercher un peu sur leur site pas très ergonomique, il est vrai.
L’avantage de Keepass, c’est qu’il permet aussi de remplir les demandes de mot de passe SMB, Putty, etc …
En fait, n’importe quelle application, sauf les sandbox de Windows (a moins que quelqu’un m’explique comment faire !?), il suffit de sélectionner les fenêtres cibles dans l’onglet saisie automatiques de chaque entrée.
Sinon, il y a d’autres systèmes en entreprise, comme gardian, c’est centralisé en réseau local, pas chez le fournisseur, avec vos propres serveurs. Toutefois, il faudra porter une très forte attention a la disponibilité du service, sinon, le blocage sera aussi global. Surtout si vous avez activé gardian en tant que SSO pour le login AD Windows.
Depuis que j’ai Keepass, je n’enregistre plus aucun mot de passe ailleurs. Leurs machins sync, ça fait des années que je ne m’en sert plus. En fait, je me suis monté mon propre serveur sync sur mon NAS syno. Rien chez Mozilla. Bien que dernièrement, ils ont changé de système et j’ai du bricoler dans le about:config pour retrouver les paramètres de l’ancienne version de sync (Sursis ? C’est possible …)
Essayer Keepass, c’est l’adopter.
#83
Non pas chez Gro$oft, et c’est KEEpass + OWNcoud qui a été évoqué. Pour OWN cloud, il faut un NAS/serveur perso et maitriser les ouvertures de ports sur son accès internet.
#84
#85
#86
J’utilise KeePass depuis des années et, tout comme toi, je n’ai guère confiance en un même service en ligne… (même si ce sont des professionnels, et que leur produit a l ‘air robuste).
#87
Données chiffrées, destruction de la clef après 10 tentatives de mdp erronés, etc…
#88
Les deux solutions sont bien quand même. Même si l’usage est diffèrent.
Ca a ses avantages de se loguer sur un site quasi automatiquement s’il est correctement inscrit. Après je conçois que de garder tous ses mots de passe sur internet ca peut choquer.
Keepass est il plus securisé si d’aventure notre machine se fait intruser ?