Le scandale LastPass montre qu’il est temps d’abandonner les mots de passe
Si vous avez suivi le scandale des fuites de données LastPass, vous savez que quelque chose ne va vraiment pas avec la sécurité Internet. Les mots de passe n’ont jamais été une solution idéale pour accéder à vos comptes, mais c’est la meilleure que nous ayons trouvée depuis les années 1960. Nous sommes bien dans le 21ème siècle. Il est temps de passer à autre chose.
Sommaire
Que s’est-il passé avec LastPass ?
Pour résumer la violation de données LastPass : les pirates ont tout volé. La société de gestion des mots de passe a subi une violation de données en août et, à l’époque, LastPass affirmait que les données des clients, les comptes, les données de coffre-fort cryptées et les mots de passe principaux étaient en sécurité.
Cependant, à l’approche de 2022, nous avons appris que presque rien de tout cela n’est vrai. Dans des articles de blog ultérieurs, la société a admis que les pirates étaient « capables d’accéder à certains éléments des informations de nos clients ». Et plus tard, ils avaient obtenu une « sauvegarde des données du coffre-fort client ».
Selon le billet de blog, les données de sauvegarde contenaient « des informations de base sur le compte client et les métadonnées associées, notamment les noms de société, les noms d’utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass ». Nous avons contacté LastPass pour plus d’informations concernant le contenu de la sauvegarde volée.
Tout au long de la saga, LastPass a insisté sur le fait que les informations volées restent cryptées et que les pirates ne peuvent obtenir des informations sur les clients que s’ils disposent du mot de passe principal de l’utilisateur. Et que si les clients suivaient les meilleures pratiques de LastPass, il faudrait « des millions d’années » pour décrypter les informations. Cette affirmation a été démontée quelques jours plus tard par le concurrent de LastPass, 1Password.
Où cela laisse-t-il les clients LastPass ? Pas dans un bon endroit. À tout le moins, ils devraient modifier manuellement chaque mot de passe des comptes qu’ils utilisent. Mais cela n’aidera pas contre les informations que les pirates ont déjà volées, ce qui est un scénario cauchemardesque. Il n’y a vraiment pas grand-chose à faire à part espérer que les pirates ne cassent pas le mot de passe principal.
Comment créez-vous vos mots de passe ?
Mais ce ne sont pas seulement les clients LastPass qui devraient être concernés. Que vous utilisiez ou non un gestionnaire de mots de passe, la sécurité des mots de passe se résume à un point central de défaillance : la façon dont vous créez vos mots de passe et vos mots de passe principaux.
Créer un mot de passe fort n’est pas aussi simple qu’on le pense. Seuls les mots de passe véritablement aléatoires sont à l’abri des attaques par force brute, lorsque les pirates tentent plusieurs mots de passe en utilisant des milliers ou des millions de possibilités. Généralement, ces types d’attaques sont contrecarrés par des tentatives de mot de passe limitées. Mais lorsque les pirates ont des essais illimités (comme avec les données LastPass), ce n’est qu’une question de temps avant qu’ils ne puissent casser un mot de passe.
Alors, comment créez-vous votre mot de passe principal ou, si vous n’utilisez pas de gestionnaire de mots de passe, tous vos mots de passe ? Généralement, les gens utilisent des dispositifs mnémotechniques pour les aider à se souvenir de leurs mots de passe. Par exemple, si vous utilisez le titre de votre film préféré pour vous souvenir de votre mot de passe, Star Trek II : La colère de Khan pourrait devenir « $t4rTr3K2:7h#wR@tH0FkH@n.”
Cela semble être un mot de passe assez fort, non ? Malheureusement non. Comme le souligne Jeffrey Goldberg dans son démantèlement de l’affirmation de sécurité « des millions d’années » de LastPass, ce sont précisément ces types de mots de passe mnémotechniques que les pirates essaieront de deviner en premier.
Parfois, les utilisateurs qui n’utilisent pas de gestionnaires de mots de passe auront un schéma de mot de passe assez fort pour plusieurs comptes. Ils créent un mot de passe plus ou moins aléatoire, mais changent un caractère ou deux en fonction de leur service. Alors « j$0&,81)*b?- » devient « j$0&,81)*b?-Fb » pour Facebook, et « j$0&,81)*b?-tW» pour Twitter, etc. Cela peut sembler être un bon schéma, mais si un seul de vos mots de passe est piraté avec cette méthode, les pirates intelligents ne tarderont pas à déduire tous vos mots de passe.
Les gestionnaires de mots de passe sont une excellente solution pour certains
Les gestionnaires de mots de passe sont une excellente solution à ce problème. Et pour la plupart, des services comme 1Password offrent une sécurité exceptionnelle et disposent de plusieurs couches de protection et de redondances pour protéger vos mots de passe générés de manière aléatoire. Il convient de souligner que 1Password n’a jamais subi de violation de données, et encore moins catastrophique, comme LastPass vient de le vivre.
Mais cela ne veut pas dire qu’ils ne le feront jamais. Et tandis que nous tenons 1Password en haute estime à Avis Geek, dans le monde du crime high-tech, rien n’est jamais totalement sécurisé. Les acteurs malveillants travaillent aussi dur pour vaincre ces protections que les professionnels de la sécurité pour les construire. Il y a tout simplement trop d’argent et de pouvoir à avoir pour voler les informations personnelles des gens.
Et il y a le problème de la confiance. Beaucoup de gens n’aiment pas les gestionnaires de mots de passe parce qu’ils n’aiment pas que toutes leurs données résident chez un tiers, quelle que soit la qualité de la sécurité. Et la violation de données LastPass ne fera qu’alimenter davantage cette méfiance.
L’authentification à deux facteurs est-elle suffisante ?
Tout cela peut sembler académique pour ceux qui utilisent l’authentification à deux facteurs (2FA) pour leurs comptes internet. 2FA ajoute une couche de protection supplémentaire, comme vous envoyer un SMS ou vous obliger à utiliser une application comme Authenticator (iOS, Android) pour recevoir un code unique chaque fois que vous vous connectez. Cela aide au cas où de mauvais acteurs devinent votre mot de passe. Ils seront arrêtés lorsqu’ils atteindront l’étape de connexion 2FA. Cela peut également servir de signe avant-coureur que quelqu’un essaie d’accéder à vos comptes.
Des services tels que les institutions financières, les médias sociaux, les employeurs et bien d’autres recommandent fortement (et dans certains cas exigent) que les utilisateurs activent cette couche de protection. Et il s’est avéré être un moyen efficace de protéger vos comptes.
Mais 2FA n’est pas infaillible. C’est seulement aussi bon que l’utilisateur qui l’emploie. Par exemple, les codes 2FA sont sujets à des attaques de phishing. Des pirates informatiques intelligents peuvent inciter les utilisateurs à divulguer leurs informations. Parfois, les mauvais acteurs auront accès à votre téléphone et pourront accéder au code 2FA de cette façon. Dans de rares cas, les pirates pourraient même usurper votre numéro de téléphone pour intercepter votre code 2FA. Et il y aura certainement d’autres moyens de contourner la protection des codes 2FA à mesure que les pirates deviennent encore plus habiles à voler des informations.
Entrez les clés d’accès
Les professionnels de la technologie connaissent ces faiblesses des mots de passe depuis très longtemps. Et l’année dernière, des géants de la technologie, dont Apple, Google et Microsoft, se sont tous engagés à introduire une nouvelle mesure de sécurité connue sous le nom de « Passkeys » pour aider à sécuriser les données de leurs clients. Leurs efforts ont été déployés dans le cadre d’une coentreprise à l’échelle de l’industrie technologique connue sous le nom de FIDO Alliance.
Une clé d’authentification est une méthode d’authentification stockée localement sur votre appareil, tel qu’un smartphone ou un ordinateur portable. Lorsque vous créez votre Passkey, votre appareil devient votre méthode d’authentification et utilise des données biométriques telles que des scanners de visage, des lecteurs d’empreintes digitales, des scanners d’iris et la reconnaissance vocale pour vérifier votre identité. Cela signifie que vous n’aurez plus jamais à créer ou à vous souvenir d’un mot de passe. Et, du moins pour le moment, les Passkeys ne sont pas vulnérables aux méthodes de piratage traditionnelles comme les attaques par force brute et les escroqueries par hameçonnage.
Mais que se passe-t-il si vous perdez votre dispositif d’authentification ? L’avantage des clés de sécurité est que les entreprises qui les développent conserveront une sauvegarde sécurisée de votre clé de sécurité au cas où vous auriez besoin de la récupérer. Par exemple, Apple sauvegardera votre mot de passe sur votre trousseau iCloud et vous pourrez le transférer entre appareils, même les nouveaux, si nécessaire.
Apple et Google ont tous deux introduit les Passkeys cette année. Microsoft a introduit sa propre solution sans mot de passe en 2021. Les services technologiques du monde entier évoluent rapidement pour mettre en œuvre la technologie pour assurer la sécurité de leurs clients. Même les gestionnaires de mots de passe comme 1Password, Dashlane et même LastPass adoptent la technologie.
Alors, maintenant que 2022 touche à sa fin, il est temps d’abandonner le modèle archaïque des mots de passe et d’embrasser un nouveau monde en ligne plus sécurisé.