En août, le gestionnaire de mot de passe expliquait s’être fait dérober du code source et des informations techniques via un compte développeur compromis. On en apprenait davantage en septembre, notamment que l’intrusion a duré quatre jours.
Une mise à jour du billet de blog annonce une mauvaise nouvelle : « Nous avons récemment détecté une activité inhabituelle au sein d’un service de stockage cloud tiers, qui est actuellement partagé par LastPass et sa filiale GoTo ».
Résultat des courses : « Nous avons déterminé qu'un tiers non autorisé, utilisant les informations obtenues lors de l'incident d'août 2022, a pu accéder à certaines informations de nos clients ».
L’enquête est en cours pour délimiter le périmètre de l’incident et les données consultées. LastPass rappelle que les mots de passe de ses clients sont chiffrés via un mot de passe maître qu’elle ne connait pas (politique Zero Knowledge). Ça reste un coup dur pour l’image de la société.
Commentaires (50)
#1
Franchement… J’ai pas un NAS assez récent ni la fibre mais plus ça va, plus je pense a heberger moi meme mon gestionnaire de mot de passe.
J’ai quitté Lastpass (a cause des failles) pour Bitwarden…
Vous avez de meilleures solutions ?
#1.1
Prendre un abonnement directement chez Bitwarden ou chez un chaton qui host une instance de Bitwarden si tu veux pas gérer toi même ton instance
#1.2
Tu prends un petit Raspberry et tu t’auto-héberge ton Bitwarden avec Vaultwarden (https://github.com/dani-garcia/vaultwarden).
#1.3
password, sous serveur linux ça marche via git et y a des clients android/windows
#1.4
Franchement, une instance Nextcloud et un simple KeePass, ça fait vraiment l’affaire.
Pour ne pas avoir a gérer soit même l’installation du nextcloud, il est possible de le louer chez grandi.net.
#2
Abandonné aussi il y a peu, j’ai bien faillis passé en bitwarden auto hebergé mais pas de 2FA dans cette conf…
Du coup keepass XC avec un drive. Il existe pas d’app native smartphone mais il y en a des compatibles kdbx.
#3
#4
Le 2FA est bien géré par Bitwarden en auto-hébergé, avec la version payante (10$/an)
#4.1
Il faut utiliser vaultwarden, c’est ce que j’utilise chez moi. je fais du webauthn dessus en 2FA
#4.2
Effectivement, je me basais sur la version gratuite.
Le seul truc un peu chiant c’est d’avoir à taper le mdp maitre tous les jours. J’aimais bien la mémorisation 30 jours pour les machines fixes et/ou la détection de changement d’ip publique.
La 2FA marche que sur ton smartphone non ? vu que c’est une synchro de kdbx, une fois sur un PC tu fais comment ?
”…à ma connaissance.” Comme tu le dis, on en sait rien ^^ on est tributaire de l’honnêteté et la transparence de ces boites.
#5
Keepass. Tout est stocké dans un unique fichier chiffré qu’on peut stocker ou on veut (son NAS perso par exemple.
Tous les clients KeePass (Android, Windows, autres …) prennent en charge la synchronisation bidirectionnelle et une foultitude de protocoles (SFTP, WEBDAV, différents services de stickage cloud publics), soit nativement soit par l’intermédiaire de plugins (et bien entendu fichier local), ce qui permet de mettre en place des répliques de sa base de mots de passe à plusieurs endroit (par sécurité). On peut aussi gérer plusieurs databases (perso et pro par exemple) et la synchro gère bien le partage multiutilisateurs (avec quelques précautions de base)
Ça gère également nativement les OTP (timebased ou HMAC based).
#5.1
Ah, la synchro bidirectionnelle de Keepass… Le truc qui me fait virer Bitwarden a coup de pompe dans le derche.
#6
Et une fois setup, même si tu ne paies plus, la 2FA fonctionne toujours. Mais bon, vu le prix de l’abonnement…
#7
Les mots de passe, certes ce la reste un mécanisme de sécurité efficace, mais leur multiplication exponentielle au travers de notre activité devient très vite un bordel sans nom.
Un gestionnaire de mots de passe … pourquoi pas ? Mais bon, l’idéal serait le mot de passe de session (sur un post-it collé sous le clavier) et tout le reste en clé SSH 4096 minimum. Maintenant, pour les personnes … disons « disciplinées », le gestionnaire de mots de passe externe représente un GROS risque car on met à disposition d’un tiers toutes ses clés. Mais cela reste un tiers extérieur dons lequel on met toute sa confiance. Même si ce dernier est honnête, on ne maîtrise plus la sécurité de ses données sensibles.
Compliqué comme sujet …
#8
Quand je vois le tarif déjà élevé de LastPass que je paye, si en plus c’est une fuite de donnée par trimestre je vais songer à aller chez la concurrence !
Me tarde de connaitre les données clients qui sont parties dans la nature.
#8.1
Dashlane est le concurrent français !
#9
Je ne jure que par ça à titre perso. Et KeepassXC gère plutôt bien la mise à jour de la BDD à chaud lors de la synchro (après je suis l’unique utilisateur, et de toute façon, les passwords c’est comme un slip, ça ne s’échange pas).
#10
A l’avenir, voici ce que j’aimerais voir arriver et se démocratiser, qu’on se débarasse des mots de passe.
https://www.passkeys.io/
https://twitter.com/alexxubyte/status/1586012428122267648?s=20
#10.1
Je viens de tester, c’est pas pratique quand ça met plus de 10 minutes à envoyer le courriel avec le code de connexion…
Et impossible d’utiliser ça pour accéder à ton courriel.
Faut arrêter l’hébergement en ligne aussi. Mettre en accès libre sa base de mots de passe, même si elle est chiffrée, je trouve ça très très risqué… (une faille découverte dans le protocole de chiffrement utilisé et hop tous tes mots de passe sont dans la nature).
#10.2
La base n’est pas en accès libre heiinnnn. Pas plus que si de l’auto-hébergé ;)
#11
Faut arrêter avec cette psychose.
L’auto hébergé n’est pas spécialement plus fiable, c’est plus complexe à mettre en place et à gérer, et pas pratique à l’usage. Je l’ai fait et c’est bien chiant quand tu veux un pass.
Si tu prends un partenaire qui est audité, qui n’a pas accès à tes données, ca ne craint pas plus que l’auto-hébergé.
Dans le cas présent, comme dit dans l’article, aucun mot de passe n’a fuité. C’est des infos client, donc rien qui peut mettre en péril la sécurité des mots de passe.
Pas de quoi remettre en cause tout le système ou passer sur des outils plus complexe…
#12
Keepass2Android + Nextcloud fonctionne très bien pour moi avec le 2FA
#13
Perso chez 1password. Oui ça a un coût, mais pas fuite à ma connaissance. L’accès est protégé avec une clé Yubikey. La fonctionnalité en plus, c’est l’application 2FA intégré pour les comptes tierces.
De plus, au passage à cet outils, j’ai changé mes mots de passe de tous les services que j’utilise avec le générateurs à 15 caractères (maj, min chiffres, carac spé).
Et évidemment, la CB n’est jamais enregistrée sur les sites marchand, et les mots de passes de services critiques sont changés tous les 3 mois.
#14
sinon il y a ça:
https://www.passwordcard.org/fr
#15
J’ai auto hébergé un Nextcloud pendant plusieurs années et depuis passé sur kDrive, la synchro d’un fichier KeepassXC n’a rien de pas pratique de mon point de vue. Il suffit de le mettre comme étant disponible hors ligne et il est synchronisé en permanence sur le smartphone (sur Desktop il est synchro sans aucune manip, et l’addon navigateur l’interface naturellement). Et KeepassDX sur Android s’intègre très bien avec le clavier du smartphone.
#15.1
Ca n’enlève rien à ce que je disais.
Ce n’est pas plus fiable, c’est plus complexe à mettre en place et bien moins simple que si tu ouvres juste un compte bitwarden par exemple et que tu ajoute des extensions.
Je ne dis pas que c’est une mauvaise solution, chacun fait comme il veut en fonction de ses moyens, ses compétence, ses convictions. Mais ce n’est pas parce que lastpass s’est fait voler des infos clients qu’il y a un risque pour les mots de passe et qu’il faut migrer vers de l’auto-hébergé ou hébergé à tout prix.
#16
Si on parle de complexité, l’utilisateur lambda n’ira de toute façon pas se poser la question d’un Lastpass, Keepass, passwords.xlsx ou autre.
Il fera “Sauvegarder” quand le navigateur lui demande et c’est synchro avec le compte Google.
Pour moi il n’y a pas de méthode spécialement meilleure que l’autre, c’est avant tout un compromis entre le risque, le confort d’utilisation, et la confiance envers le provider (en gros l’habituel compromis On premise / IaaS /PaaS / SaaS). Et à titre personnel, pour quelque chose d’aussi sensible, je préfère garder ça chez moi.
Oui le password maitre peut vite être relou quand tu en as besoin très souvent, mais perso je préfère cet inconfort qu’une solution trop facile d’accès sur laquelle j’ai l’impression de ne pas avoir de maitrise.
#16.1
Sauf que c’est pas chez toi si c’est chez infomaniak ;)
Mais on est d’accord.
Personnellement, j’ai passé plein de monde de mon entourage sur bitwarden, parce que juste “enregistrer le mot de passe” ca oblige a un seul utilisateur et le même navigateur quel que soit la plateforme. Beaucoup de gens sont demandeurs, mais ne savent pas sur quoi s’orienter.
Mais sans être dans l’utilisateur lambda, je suis quand même dans le métier et que ce soit mes collègues ou moi, personne ne s’est fait (ch*) à déployer sa solution quand des solutions clefs en mains existent. Exemple tu prends un Cozy pass, c’est en France, c’est sécurisé, c’est clef en mains, c’est du bitwarden.
Mais après, comme tu le dis, il n’y a pas de bonne méthode, chacun fait comme il l’entend :)
Comme je le disais, mon commentaire tendait surtout à expliquer que les solutions comme lastpass ou autres, restent fiables.
#17
KeePass. Ce n’est pas une usine à gaz, c’est KISS et c’est souple en termes de configuration.
Le reste est de suite plus compliqué (même si plus dans l’air du temps
)
#18
#18.1
Ben j’ai testé la démo, ça m’envoie un code provisoire par courriel.
#19
Au même titre qu’à un moment elle était chez OVH ;)
Mais je garde la maîtrise du fichier, là où sur un produit SaaS la maîtrise des données st moins évidente.
#20
Normalement, on te propose entre une clé de sécurité externe ou capteur intégré, soit ton phone avec QR Code.
#20.1
Oui et il ne m’a rien proposé, juste envoyé un courriel…
Donc il faut rentrer un mot de passe pour accéder à la base ?
#21
#22
Du coup, ils changent le nom pour “Second Fail” ?
#23
Bitwarden m’aurais bien tenté s’ils avaient un paquet natif DSM. Chui pas fan du tout de docker pour des installations durable.
#24
Il y a le mooltipass qui est un dispositif physique qui peut être intéressant : https://www.themooltipass.com/
Ils ont l’air d’avoir bien réfléchi le sujet.
#25
J’avoue n’avoir jamais sauté le pas de la dégooglisation complète des mes activités numériques à cause du gestionnaire de mot de passe de mon compte google, qui répond à l’ensemble de mes besoins (sync, 2fa, multi plateforme, alerte compromission de mdp) .
Au delà du “Google c’est le mal”, considérez vous qu’il est aujourd’hui nécessaire de changer de crémerie ? Par exemple, sait-on si google password a-t-il déjà été piraté ?
#26
Maintenant j’ai utilisé Keepass et Bitwarden pendant un certains temps et je pense que ce sont de bons services, mais ses fournisseurs ne sont pas une boite magique et leurs base de données n’est pas inviolable, peu importe leurs marketing, à la fin, c’est une question de compromis, prends la solution qui convienne pour toi et n’oublie pas de faire des sauvegardes, ça peut se faire sur un disque dure externe que tu ranges dans un endroit sûr, certains ne veulent pas confier leurs mots de passes à un gestionnaire et préféreront utiliser un calpin, un fichier bloc note ou un tableur et il n’y a pas de mal, parfois, on conseille les gestionnaires de mots de passe trop facilement, la prochaine étape pour moi, c’est passkey pour s’émanciper des mots de passe qui est un vieux concept et qu’on doit partager (même si hachés) avec des tiers.
Je te conseille la lecture de ce billet de blog : https://lock.cmpxchg8b.com/passmgrs.html
#26.1
Merci beaucoup pour cette réponse. Par ailleurs, le lien est très intéressant à lire, avec des exemples. Ça remet tour de même bien en question toute utilisation de solutions tierces pour la gestion des mots de passe avec systèmes d’autocomplétion.
En gros, le plus sûr serait son fichier local + copier-coller manuel au cas par cas. En seconde position donc Google password ou équivalent.
Merci encore.
#27
Je remets ça pour ceux qui ont pas lu.
#28
Et si FranceConnect propose ce type de service ?
#29
Non c’est également intégré à l’appli Windows.
Il existe même des plugins pour en rendre l’usage plus confortable.
Et la séquence OTP peut etre intégrée dans une macro autotype.
#30
Bah, j’utilise le client de synchronisation Nextcloud pour avoir le fichier sur le PC
#30.1
C’était pour la 2FA laquestion ;)
Keepass n’ayant pas de gestion 2FA native de type Authenticator/Authy/… je me posais la question.
#31
KeepassXC gère très bien la génération de codes TOTP si c’est bien ça la question.
#32
Vous pouvez regarder du côté de cosy cloud (cosy.io) société française qu’y propose un gestionnaire de mot de passe intégré à leur servie de stockage.
#33