Sécurité

Attaque de LastPass, violation du PlayStation Network : est-ce que le stockage de vos mots de passe dans le cloud est sûr ? – ExtrêmeTech

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

LastPass, le gestionnaire de mots de passe basé sur le cloud, a détecté une activité anormale dans ses journaux de serveur, suggérant fortement que quelqu’un a accédé à une base de données contenant des adresses e-mail d’utilisateurs, des hachages de mots de passe chiffrés et du sel de serveur. Si vous êtes un utilisateur de LastPass, vous serez obligé de changer votre mot de passe principal lors de votre prochaine connexion – et de plus, au cas où des pirates auraient réussi à forcer brutalement votre mot de passe principal, LastPass ne vous permettra de changer votre mot de passe principal que si vous accédez au service à partir d’un bloc d’adresse IP que vous avez déjà utilisé, ou si vous validez votre adresse e-mail.

Si vous ne l’avez jamais utilisé auparavant, LastPass est un module complémentaire de navigateur Web qui génère un mot de passe sécurisé différent pour chacun de vos services en ligne. Ensuite, lorsque vous revenez sur le site, LastPass remplit automatiquement le formulaire de connexion avec vos coordonnées. Vos mots de passe sont stockés sur les serveurs de LastPass afin que vous puissiez utiliser LastPass à la maison, au bureau ou où que vous soyez. Tout est crypté avec votre mot de passe principal ou votre phrase secrète, qui doit être suffisamment longue pour résister à une attaque par force brute.

Le concept de stockage de tous vos mots de passe dans un seul endroit, derrière une serrure et une clé, n’est pas nouveau. Célèbre, l’une des «meilleures» façons de stocker des mots de passe complexes est sur un morceau de papier dans un coffre-fort ou un coffre-fort bancaire réel – et, de même, de nombreuses personnes conservent des copies écrites des mots de passe dans des tiroirs de bureau, des boîtes à chaussures , ou même sur des post-it attachés à leur moniteur. LastPass est-il vraiment une option plus sécurisée que ces solutions du monde réel ?

Psssssst :  Étonnamment, personne ne fait confiance aux écrans intelligents du portail de Facebook - High-teK.ca

LastPass, comme tous les services en ligne, est sensible à toute une gamme de piratages, de l’injection SQL aux attaques de type « man-in-the-middle ». Il y a quelques mois à peine, LastPass s’est avéré être vulnérable aux scripts intersites (XSS), et les nouvelles d’aujourd’hui suggèrent qu’il pourrait y avoir une autre faiblesse dans ses défenses. La vérité est que ces référentiels d’adresses e-mail et de mots de passe dans le cloud représentent la cible ultime des pirates, des spammeurs et des usurpateurs d’identité. L’accès à la base de données de mots de passe LastPass vaudrait des millions de dollars, et la seule chose qui la protège – nous protège – est une poignée de mécanismes de sécurité numérique.

Cela ne veut pas dire que LastPass n’est pas sécurisé. Les technologies sur lesquelles le service est construit sont toutes intrinsèquement sécurisées, et LastPass a toujours évolué rapidement pour suivre le début de l’art. En fin de compte, cependant, vous envoyez vos mots de passe sur Internet et vos mots de passe sont stockés dans une base de données hors de votre contrôle. Que cela vous plaise ou non, il existe un risque intrinsèque à l’utilisation de tout service en ligne, y compris LastPass.

Dans un monde idéal, nous éliminerions les intermédiaires et générerions nous-mêmes des mots de passe complexes, et les rappellerions de mémoire à l’aide d’astuces mnémoniques astucieuses. En réalité, cependant, lorsque nous sommes obligés de nous souvenir des mots de passe, la plupart d’entre nous optons pour quelque chose de simple – ou, pire, nous utilisons le même mot de passe sur plusieurs services. Une bonne solution consiste à utiliser un gestionnaire de mots de passe hors ligne comme KeePassque vous pouvez ensuite emporter avec vous sur une clé USB — mais si votre maison est cambriolée ou si vous vous faites agresser, vous souhaiterez utiliser LastPass à la place.

Psssssst :  Le FBI et des experts en cybersécurité enquêtent sur les liens potentiels de la Russie avec la fuite d'e-mails du DNC

Enfin, gardez ceci à l’esprit : la seule différence entre le PlayStation Network de Sony, qui était monumentalement et horriblement violé la semaine dernière, et le coffre-fort de mots de passe de LastPass, est la façon dont ils sont protégés contre tout accès non autorisé. LastPass et Sony ont tous deux accès aux mêmes protocoles sécurisés et techniques de cryptage, et la seule chose qui protège vos données – ou non – est la façon dont ils sont utilisés.

En savoir plus sur le Blog LastPass

Bouton retour en haut de la page