La sécurité de LastPass attaquée par la société rivale 1Password : « Les mots de passe pourraient être piratés pour 100 $ »

La sécurité de LastPass attaquée par la société rivale 1Password : "Les mots de passe pourraient être piratés pour 100 $"

La controverse sur la faille de sécurité LastPass continue. Après qu’un analyste indépendant de la sécurité ait décrit les déclarations faites par LastPass comme « des demi-vérités et des mensonges purs et simples », la société rivale de gestion de mots de passe 1Password a également pesé…

LastPass a affirmé que le craquage des mots de passe principaux des utilisateurs prendrait des millions d’années, mais 1Password affirme que ce n’est pas vrai pour la plupart des utilisateurs. En effet, dit-il, il ne coûterait que 100 $ pour déchiffrer le mot de passe principal d’un utilisateur LastPass typique.

Arrière plan

Une faille de sécurité LastPass a été révélée en août. À l’époque, la société a déclaré qu’aucune donnée client n’avait été consultée.

Il y a deux semaines, nous avons détecté une activité inhabituelle dans certaines parties de l’environnement de développement LastPass. Après avoir lancé une enquête immédiate, nous n’avons vu aucune preuve que cet incident impliquait un accès aux données client ou à des coffres-forts de mots de passe cryptés.

Au lieu de cela, a déclaré LastPass, un attaquant a pris une partie de son code source et « certaines informations techniques propriétaires de LastPass ».

Cependant, il est apparu par la suite que l’attaquant a ensuite utilisé ces informations pour obtenir un accès plus large aux systèmes LastPass, et a ensuite pu accéder aux données des clients.

Nous avons déterminé qu’une partie non autorisée, utilisant les informations obtenues lors de l’incident d’août 2022, a pu accéder à certains éléments des informations de nos clients.

LastPass a révélé la semaine dernière l’étendue de ces données – et c’était bien pire que prévu.

La société a partagé que des copies des coffres-forts de mots de passe des clients ont été obtenues ainsi que des noms, des e-mails, des adresses de facturation, des numéros de téléphone, etc.

La société s’est donné beaucoup de mal pour souligner que les coffres-forts de mots de passe utilisaient un cryptage fort et ne pouvaient pas être consultés sans les mots de passe principaux des clients.

Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l’aide de notre architecture Zero Knowledge. Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass.

Cependant, l’analyste indépendant en sécurité Wladimir Palant a contesté cette semaine pas moins de 14 des affirmations faites par LastPass, les décrivant comme « pleines d’omissions, de demi-vérités et de mensonges éhontés ».

En particulier, il a dit qu’il n’était pas vrai qu’il faudrait « des millions d’années » pour déchiffrer les mots de passe principaux et avoir accès à toutes les connexions d’un client. Il a estimé que le temps réel nécessaire pour une attaque ciblée serait d’environ deux mois.

La sécurité LastPass attaquée par 1Password

L’architecte principal de la sécurité de 1Password, Jeffrey Goldberg, déclare dans un article de blog que même cela surestime la difficulté – et dit que si quelqu’un voulait casser le mot de passe principal d’un client LastPass typique, le processus ne coûterait qu’environ 100 $.

Goldberg utilise le même raisonnement que Palant : les mots de passe maîtres réels pour la plupart des utilisateurs ne sont pas aléatoires – et les pirates de mots de passe le savent.

Les systèmes de craquage essaieront des choses comme Fido8my2Sox! et 2b||!2b.titq bien avant qu’ils essaient des choses comme la machine créée [email protected]*7eL .

Les mots de passe créés par les humains sont craquables même s’ils répondent à diverses exigences de complexité. Donc, si vous (ou un autre humain) avez créé ce mot de passe à 12 caractères, peu importe s’il y en a 272 différents mots de passe à 12 caractères possibles. Ce qui compte, c’est de savoir si le vôtre fera partie des quelques milliards que les attaquants essaieront en premier.

Il dit que la plupart des mots de passe peuvent être déchiffrés en moins de 10 milliards de suppositions, et que cela pourrait être fait pour environ 100 $.

Les mots de passe principaux 1Password ne peuvent pas être forcés brutalement

Goldberg dit qu’avec LastPass, le mot de passe principal de l’utilisateur est la seule chose nécessaire pour accéder à toutes ses connexions – mais ce n’est pas le cas de 1Password, qui combine un mot de passe principal sélectionné par l’utilisateur avec une clé secrète dérivée de la machine. Les deux sont nécessaires pour accéder au coffre-fort de mots de passe d’un utilisateur.

La clé secrète est créée sur le propre appareil de l’utilisateur et ne le quitte jamais. L’utilisateur ne sait pas ce que c’est. 1Password ne sait pas ce que c’est. Un précédent article de blog expliquant comment cela fonctionne utilise l’exemple d’un utilisateur hypothétique Molly, qui utilise un mot de passe principal faible.

La clé secrète 128 bits de Molly est combinée avec son mot de passe plutôt faible sur sa propre machine. C’est secret pour nous et nos serveurs. Rappelez-vous qu’aucun secret n’est transmis du client 1Password de Molly à nos serveurs lorsque Molly se connecte à son compte. Ce n’est pas simplement que nous ne stockons jamais sa clé secrète – nous n’avons même jamais la possibilité de l’acquérir.

Le concept est similaire au fonctionnement d’Apple Pay. Votre iPhone ou Apple Watch indique au terminal de paiement que il a vérifié votre identité sur l’appareil.

Le bord note que LastPass n’a même pas demandé aux utilisateurs de longue date de mettre à jour leurs mots de passe depuis les premiers jours où les exigences de sécurité étaient bien inférieures. De plus, les informations en clair stockées par LastPass pourraient elles-mêmes s’avérer risquées pour les utilisateurs, y compris les URL des sites Web qu’ils visitent.

Et si vous utilisiez LastPass pour stocker les informations de votre compte pour un site porno de niche ? Quelqu’un pourrait-il déterminer dans quelle région vous vivez en fonction de vos comptes de fournisseur de services publics ? L’information selon laquelle vous utilisez une application de rencontres gay mettrait-elle votre liberté ou votre vie en danger ?

Avis de de Netcost-security.fr

Il est clair que la faille de sécurité LastPass était non seulement bien pire qu’initialement révélée, mais que l’entreprise s’engage dans un certain nombre de pratiques que je considérerais personnellement comme inacceptables. Il s’agit notamment de stocker une grande quantité de données personnelles en texte brut et de faire des déclarations trompeuses sur leur sécurité – comme suggérer que 100 000 itérations PBKDF2 sont « plus fortes que la moyenne » alors qu’il s’agit en fait de la norme minimale absolue qui pourrait être considérée comme sécurisée. .

1Password a clairement un intérêt financier à attaquer son rival. Cependant, les arguments avancés par la société sont solides, en particulier lorsqu’il s’agit de comparer un mot de passe principal autonome à l’approche de la clé secrète. C’est similaire à la façon dont iOS ne connaît jamais réellement votre mot de passe ou vos données d’identification de visage – il obtient simplement une réponse oui ou non de Secure Enclave.

D’après ce que nous savons maintenant, je ne considérerais pas LastPass comme un gestionnaire de mots de passe. (Et oui, j’utilise 1Password, mais je paie le prix fort comme n’importe quel autre utilisateur.)

Heureusement, les mots de passe en tant que concept sont finalement à leur sortie, remplacés par des passe-partout. Cela repose entièrement sur l’authentification sur l’appareil, comme nous l’avons expliqué précédemment.

  • Un site Web ou une application vous demande de vous identifier et de prouver votre identité.
  • Votre iPhone reçoit cette demande et active Face ID.
  • Si votre visage correspond, votre iPhone indique au site Web qui vous êtes,
    et qu’il a confirmé votre identité.

Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :