Nouvel incident de sécurité chez LastPass, le deuxième cette année
Le 01 décembre 2022 à 06h12
1 min
Logiciel
Logiciel
En août, le gestionnaire de mot de passe expliquait s’être fait dérober du code source et des informations techniques via un compte développeur compromis. On en apprenait davantage en septembre, notamment que l’intrusion a duré quatre jours.
Une mise à jour du billet de blog annonce une mauvaise nouvelle : « Nous avons récemment détecté une activité inhabituelle au sein d’un service de stockage cloud tiers, qui est actuellement partagé par LastPass et sa filiale GoTo ».
Résultat des courses : « Nous avons déterminé qu'un tiers non autorisé, utilisant les informations obtenues lors de l'incident d'août 2022, a pu accéder à certaines informations de nos clients ».
L’enquête est en cours pour délimiter le périmètre de l’incident et les données consultées. LastPass rappelle que les mots de passe de ses clients sont chiffrés via un mot de passe maître qu’elle ne connait pas (politique Zero Knowledge). Ça reste un coup dur pour l’image de la société.
Le 01 décembre 2022 à 06h12
Commentaires (49)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 01/12/2022 à 07h15
Franchement… J’ai pas un NAS assez récent ni la fibre mais plus ça va, plus je pense a heberger moi meme mon gestionnaire de mot de passe.
J’ai quitté Lastpass (a cause des failles) pour Bitwarden…
Vous avez de meilleures solutions ?
Le 01/12/2022 à 07h19
Prendre un abonnement directement chez Bitwarden ou chez un chaton qui host une instance de Bitwarden si tu veux pas gérer toi même ton instance
Le 01/12/2022 à 08h27
Tu prends un petit Raspberry et tu t’auto-héberge ton Bitwarden avec Vaultwarden (https://github.com/dani-garcia/vaultwarden).
Le 01/12/2022 à 11h23
password, sous serveur linux ça marche via git et y a des clients android/windows
Le 04/12/2022 à 13h44
Franchement, une instance Nextcloud et un simple KeePass, ça fait vraiment l’affaire.
Pour ne pas avoir a gérer soit même l’installation du nextcloud, il est possible de le louer chez grandi.net.
Le 01/12/2022 à 07h22
Abandonné aussi il y a peu, j’ai bien faillis passé en bitwarden auto hebergé mais pas de 2FA dans cette conf…
Du coup keepass XC avec un drive. Il existe pas d’app native smartphone mais il y en a des compatibles kdbx.
Le 01/12/2022 à 07h28
Le 01/12/2022 à 07h52
Le 2FA est bien géré par Bitwarden en auto-hébergé, avec la version payante (10$/an)
Le 01/12/2022 à 09h41
Il faut utiliser vaultwarden, c’est ce que j’utilise chez moi. je fais du webauthn dessus en 2FA
Le 01/12/2022 à 12h33
Effectivement, je me basais sur la version gratuite.
Le seul truc un peu chiant c’est d’avoir à taper le mdp maitre tous les jours. J’aimais bien la mémorisation 30 jours pour les machines fixes et/ou la détection de changement d’ip publique.
La 2FA marche que sur ton smartphone non ? vu que c’est une synchro de kdbx, une fois sur un PC tu fais comment ?
”…à ma connaissance.” Comme tu le dis, on en sait rien ^^ on est tributaire de l’honnêteté et la transparence de ces boites.
Le 01/12/2022 à 08h00
Keepass. Tout est stocké dans un unique fichier chiffré qu’on peut stocker ou on veut (son NAS perso par exemple.
Tous les clients KeePass (Android, Windows, autres …) prennent en charge la synchronisation bidirectionnelle et une foultitude de protocoles (SFTP, WEBDAV, différents services de stickage cloud publics), soit nativement soit par l’intermédiaire de plugins (et bien entendu fichier local), ce qui permet de mettre en place des répliques de sa base de mots de passe à plusieurs endroit (par sécurité). On peut aussi gérer plusieurs databases (perso et pro par exemple) et la synchro gère bien le partage multiutilisateurs (avec quelques précautions de base)
Ça gère également nativement les OTP (timebased ou HMAC based).
Le 01/12/2022 à 12h34
Ah, la synchro bidirectionnelle de Keepass… Le truc qui me fait virer Bitwarden a coup de pompe dans le derche.
Le 01/12/2022 à 08h00
Et une fois setup, même si tu ne paies plus, la 2FA fonctionne toujours. Mais bon, vu le prix de l’abonnement…
Le 01/12/2022 à 08h02
Les mots de passe, certes ce la reste un mécanisme de sécurité efficace, mais leur multiplication exponentielle au travers de notre activité devient très vite un bordel sans nom.
Un gestionnaire de mots de passe … pourquoi pas ? Mais bon, l’idéal serait le mot de passe de session (sur un post-it collé sous le clavier) et tout le reste en clé SSH 4096 minimum. Maintenant, pour les personnes … disons « disciplinées », le gestionnaire de mots de passe externe représente un GROS risque car on met à disposition d’un tiers toutes ses clés. Mais cela reste un tiers extérieur dons lequel on met toute sa confiance. Même si ce dernier est honnête, on ne maîtrise plus la sécurité de ses données sensibles.
Compliqué comme sujet …
Le 01/12/2022 à 08h19
Quand je vois le tarif déjà élevé de LastPass que je paye, si en plus c’est une fuite de donnée par trimestre je vais songer à aller chez la concurrence !
Me tarde de connaitre les données clients qui sont parties dans la nature.
Le 04/12/2022 à 13h46
Dashlane est le concurrent français !
Le 01/12/2022 à 08h52
Je ne jure que par ça à titre perso. Et KeepassXC gère plutôt bien la mise à jour de la BDD à chaud lors de la synchro (après je suis l’unique utilisateur, et de toute façon, les passwords c’est comme un slip, ça ne s’échange pas).
Le 01/12/2022 à 08h56
A l’avenir, voici ce que j’aimerais voir arriver et se démocratiser, qu’on se débarasse des mots de passe.
https://www.passkeys.io/
Le 01/12/2022 à 14h45
Je viens de tester, c’est pas pratique quand ça met plus de 10 minutes à envoyer le courriel avec le code de connexion…
Et impossible d’utiliser ça pour accéder à ton courriel.
Faut arrêter l’hébergement en ligne aussi. Mettre en accès libre sa base de mots de passe, même si elle est chiffrée, je trouve ça très très risqué… (une faille découverte dans le protocole de chiffrement utilisé et hop tous tes mots de passe sont dans la nature).
Le 01/12/2022 à 16h45
La base n’est pas en accès libre heiinnnn. Pas plus que si de l’auto-hébergé ;)
Le 01/12/2022 à 09h25
Faut arrêter avec cette psychose.
L’auto hébergé n’est pas spécialement plus fiable, c’est plus complexe à mettre en place et à gérer, et pas pratique à l’usage. Je l’ai fait et c’est bien chiant quand tu veux un pass.
Si tu prends un partenaire qui est audité, qui n’a pas accès à tes données, ca ne craint pas plus que l’auto-hébergé.
Dans le cas présent, comme dit dans l’article, aucun mot de passe n’a fuité. C’est des infos client, donc rien qui peut mettre en péril la sécurité des mots de passe.
Pas de quoi remettre en cause tout le système ou passer sur des outils plus complexe…
Le 01/12/2022 à 09h57
Keepass2Android + Nextcloud fonctionne très bien pour moi avec le 2FA
Le 01/12/2022 à 11h47
Perso chez 1password. Oui ça a un coût, mais pas fuite à ma connaissance. L’accès est protégé avec une clé Yubikey. La fonctionnalité en plus, c’est l’application 2FA intégré pour les comptes tierces.
De plus, au passage à cet outils, j’ai changé mes mots de passe de tous les services que j’utilise avec le générateurs à 15 caractères (maj, min chiffres, carac spé).
Et évidemment, la CB n’est jamais enregistrée sur les sites marchand, et les mots de passes de services critiques sont changés tous les 3 mois.
Le 01/12/2022 à 12h18
sinon il y a ça:
https://www.passwordcard.org/fr
Le 01/12/2022 à 12h18
J’ai auto hébergé un Nextcloud pendant plusieurs années et depuis passé sur kDrive, la synchro d’un fichier KeepassXC n’a rien de pas pratique de mon point de vue. Il suffit de le mettre comme étant disponible hors ligne et il est synchronisé en permanence sur le smartphone (sur Desktop il est synchro sans aucune manip, et l’addon navigateur l’interface naturellement). Et KeepassDX sur Android s’intègre très bien avec le clavier du smartphone.
Le 01/12/2022 à 13h21
Ca n’enlève rien à ce que je disais.
Ce n’est pas plus fiable, c’est plus complexe à mettre en place et bien moins simple que si tu ouvres juste un compte bitwarden par exemple et que tu ajoute des extensions.
Je ne dis pas que c’est une mauvaise solution, chacun fait comme il veut en fonction de ses moyens, ses compétence, ses convictions. Mais ce n’est pas parce que lastpass s’est fait voler des infos clients qu’il y a un risque pour les mots de passe et qu’il faut migrer vers de l’auto-hébergé ou hébergé à tout prix.
Le 01/12/2022 à 13h58
Si on parle de complexité, l’utilisateur lambda n’ira de toute façon pas se poser la question d’un Lastpass, Keepass, passwords.xlsx ou autre.
Il fera “Sauvegarder” quand le navigateur lui demande et c’est synchro avec le compte Google.
Pour moi il n’y a pas de méthode spécialement meilleure que l’autre, c’est avant tout un compromis entre le risque, le confort d’utilisation, et la confiance envers le provider (en gros l’habituel compromis On premise / IaaS /PaaS / SaaS). Et à titre personnel, pour quelque chose d’aussi sensible, je préfère garder ça chez moi.
Oui le password maitre peut vite être relou quand tu en as besoin très souvent, mais perso je préfère cet inconfort qu’une solution trop facile d’accès sur laquelle j’ai l’impression de ne pas avoir de maitrise.
Le 01/12/2022 à 14h39
Sauf que c’est pas chez toi si c’est chez infomaniak ;)
Mais on est d’accord.
Personnellement, j’ai passé plein de monde de mon entourage sur bitwarden, parce que juste “enregistrer le mot de passe” ca oblige a un seul utilisateur et le même navigateur quel que soit la plateforme. Beaucoup de gens sont demandeurs, mais ne savent pas sur quoi s’orienter.
Mais sans être dans l’utilisateur lambda, je suis quand même dans le métier et que ce soit mes collègues ou moi, personne ne s’est fait (ch*) à déployer sa solution quand des solutions clefs en mains existent. Exemple tu prends un Cozy pass, c’est en France, c’est sécurisé, c’est clef en mains, c’est du bitwarden.
Mais après, comme tu le dis, il n’y a pas de bonne méthode, chacun fait comme il l’entend :)
Comme je le disais, mon commentaire tendait surtout à expliquer que les solutions comme lastpass ou autres, restent fiables.
Le 01/12/2022 à 14h27
KeePass. Ce n’est pas une usine à gaz, c’est KISS et c’est souple en termes de configuration.
Le reste est de suite plus compliqué (même si plus dans l’air du temps
)
Le 01/12/2022 à 16h02
Le 01/12/2022 à 16h25
Ben j’ai testé la démo, ça m’envoie un code provisoire par courriel.
Le 01/12/2022 à 16h30
Au même titre qu’à un moment elle était chez OVH ;)
Mais je garde la maîtrise du fichier, là où sur un produit SaaS la maîtrise des données st moins évidente.
Le 01/12/2022 à 16h41
Normalement, on te propose entre une clé de sécurité externe ou capteur intégré, soit ton phone avec QR Code.
Le 01/12/2022 à 16h57
Oui et il ne m’a rien proposé, juste envoyé un courriel…
Donc il faut rentrer un mot de passe pour accéder à la base ?
Le 01/12/2022 à 17h08
Le 01/12/2022 à 17h36
Du coup, ils changent le nom pour “Second Fail” ?
Le 01/12/2022 à 20h40
Bitwarden m’aurais bien tenté s’ils avaient un paquet natif DSM. Chui pas fan du tout de docker pour des installations durable.
Le 01/12/2022 à 21h01
Il y a le mooltipass qui est un dispositif physique qui peut être intéressant : https://www.themooltipass.com/
Ils ont l’air d’avoir bien réfléchi le sujet.
Le 02/12/2022 à 05h53
J’avoue n’avoir jamais sauté le pas de la dégooglisation complète des mes activités numériques à cause du gestionnaire de mot de passe de mon compte google, qui répond à l’ensemble de mes besoins (sync, 2fa, multi plateforme, alerte compromission de mdp) .
Au delà du “Google c’est le mal”, considérez vous qu’il est aujourd’hui nécessaire de changer de crémerie ? Par exemple, sait-on si google password a-t-il déjà été piraté ?
Le 02/12/2022 à 06h58
Maintenant j’ai utilisé Keepass et Bitwarden pendant un certains temps et je pense que ce sont de bons services, mais ses fournisseurs ne sont pas une boite magique et leurs base de données n’est pas inviolable, peu importe leurs marketing, à la fin, c’est une question de compromis, prends la solution qui convienne pour toi et n’oublie pas de faire des sauvegardes, ça peut se faire sur un disque dure externe que tu ranges dans un endroit sûr, certains ne veulent pas confier leurs mots de passes à un gestionnaire et préféreront utiliser un calpin, un fichier bloc note ou un tableur et il n’y a pas de mal, parfois, on conseille les gestionnaires de mots de passe trop facilement, la prochaine étape pour moi, c’est passkey pour s’émanciper des mots de passe qui est un vieux concept et qu’on doit partager (même si hachés) avec des tiers.
Je te conseille la lecture de ce billet de blog : https://lock.cmpxchg8b.com/passmgrs.html
Le 02/12/2022 à 15h21
Merci beaucoup pour cette réponse. Par ailleurs, le lien est très intéressant à lire, avec des exemples. Ça remet tour de même bien en question toute utilisation de solutions tierces pour la gestion des mots de passe avec systèmes d’autocomplétion.
En gros, le plus sûr serait son fichier local + copier-coller manuel au cas par cas. En seconde position donc Google password ou équivalent.
Merci encore.
Le 02/12/2022 à 09h51
Je remets ça pour ceux qui ont pas lu.
Le 02/12/2022 à 11h39
Et si FranceConnect propose ce type de service ?
Le 02/12/2022 à 18h32
Non c’est également intégré à l’appli Windows.
Il existe même des plugins pour en rendre l’usage plus confortable.
Et la séquence OTP peut etre intégrée dans une macro autotype.
Le 03/12/2022 à 10h45
Bah, j’utilise le client de synchronisation Nextcloud pour avoir le fichier sur le PC
Le 03/12/2022 à 10h57
C’était pour la 2FA laquestion ;)
Keepass n’ayant pas de gestion 2FA native de type Authenticator/Authy/… je me posais la question.
Le 03/12/2022 à 13h40
KeepassXC gère très bien la génération de codes TOTP si c’est bien ça la question.
Le 04/12/2022 à 13h53
Vous pouvez regarder du côté de cosy cloud (cosy.io) société française qu’y propose un gestionnaire de mot de passe intégré à leur servie de stockage.
Le 04/12/2022 à 20h03