Le récent changement de politique de LastPass sur la synchronisation entre ordinateurs et appareils mobiles – maintenant réservée aux abonnés Premium – a provoqué une fuite d’utilisateurs, surtout vers BitWarden.

• BitWarden : un gestionnaire de mots de passe qui se démarque de la concurrence

L’éditeur doit maintenant faire face à la découverte de sept trackers dans son application Android, à la suite d’une analyse par Mike Kuketz via Exodus.

Quatre sont de Google et servent aux rapports d’erreurs et remontées d’indicateurs techniques, les trois autres proviennent d’AppsFlyer, MixPanel et Segment. Ceux-là servent surtout au profilage de l’utilisateur, en grande partie à des fins publicitaires.

Une utilisation problématique dans le cadre d’un gestionnaire de mots de passe. L’intégration de trackers suppose la compilation d’un code tiers, sur lequel l’éditeur concerné n’a pas prise. Pour Kuketz, ce sont des risques supplémentaires de sécurité, surtout pour des applications gérant des données si sensibles.

Le chercheur en sécurité précise que BitWarden intègre deux trackers, un pour les indicateurs liés à Firebase (Google), l’autre pour les rapports de plantage de Visual Studio. Et les autres ? Dashlane en intègre quatre, 1Password et KeePass aucun.

Pour LastPass, il n’y a pas de problème : « Aucune donnée sensible personnelle identifiable ou activité du coffre ne pourrait passer par ces trackers. Ils ne collectent que des données statistiques agrégées limitées sur la manière dont vous utilisez LastPass, ce qui nous permet d’améliorer et optimiser le produit ».

L’éditeur ajoute que cette collecte peut être coupée dans les réglages avancés du compte, et que ses processus sont constamment révisés. Une manière d’indiquer qu’en cas de trop gros scandale ou de fuite accélérée des utilisateurs, la situation pourrait évoluer.