Analyste en sécurité : la déclaration de LastPass sur la violation comprend des « demi-vérités et des mensonges éhontés »

Analyste en sécurité : la déclaration de LastPass sur la violation comprend des "demi-vérités et des mensonges éhontés"

Juste avant Noël, LastPass a publié une mise à jour sur sa faille de sécurité, y compris la nouvelle que les coffres-forts des clients avaient été obtenus par le pirate. Après avoir examiné toutes les affirmations techniques, un chercheur en sécurité affirme que la situation est bien pire que ce que l’entreprise prétend et pense que la déclaration est « pleine d’omissions, de demi-vérités et de mensonges éhontés ».

Écrivant sur son blog de sécurité, Almost Secure (via TechMeme), Wladimir Palant a sélectionné 14 déclarations différentes dans la mise à jour LastPass sur sa faille de sécurité.

Couvrant tout, de la demande de transparence de l’entreprise à ses propres pratiques de sécurité et plus encore, Palant pense que LastPass a minimisé les risques et est coupable de « négligence grave ».

L’une des affirmations en cause est que LastPass dit aux clients « Si vous utilisez les paramètres par défaut ci-dessus, il faudrait des millions d’années pour deviner votre mot de passe principal à l’aide de la technologie de craquage de mot de passe généralement disponible ».

Palant dit que c’est probablement plus proche de deux mois que « des millions d’années » pour la personne moyenne :

Je traduirai : « Si tu as tout fait correctement, rien ne peut t’arriver. » Cela prépare à nouveau le terrain pour blâmer les clients. On pourrait supposer que les personnes qui « testent les dernières technologies de craquage de mots de passe » en sauraient plus que cela. Comme je l’ai calculé, même deviner un mot de passe vraiment aléatoire répondant à leurs critères de complexité prendrait moins d’un million d’années en moyenne en utilisant une seule carte graphique.

Mais les mots de passe choisis par l’homme sont loin d’être aléatoires. La plupart des gens ont même du mal à se souvenir d’un mot de passe à douze caractères vraiment aléatoire. Une enquête plus ancienne a révélé que le mot de passe moyen avait 40 bits d’entropie. De tels mots de passe pourraient être devinés en un peu plus de deux mois sur la même carte graphique. Même un mot de passe exceptionnellement fort avec 50 bits d’entropie prendrait 200 ans en moyenne – ce qui n’est pas irréaliste pour une cible de grande valeur sur laquelle quelqu’un mettrait plus de matériel.

Si vous avez utilisé LastPass et que vous ne l’avez pas encore fait, la solution la plus sûre consiste à modifier tous vos mots de passe.

Découvrez tous les problèmes soulevés par la faille de sécurité LastPass dans le billet de blog complet de Palant.

Nous avons également une procédure pas à pas pour configurer le stockage de vos mots de passe avec AutoFill/iCloud Keychain sur vos appareils Apple :


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :