Si vous avez suivi le scandale de la fuite de données de LastPass, vous savez que quelque chose ne va pas du tout avec la sécurité sur Internet. Les mots de passe n’ont jamais été une solution idéale pour accéder à vos comptes, mais c’est la meilleure que nous ayons trouvée depuis les années 1960. Nous sommes bien au 21e siècle. Il est temps de passer à autre chose.
Pour résumer la violation de données de LastPass : les pirates ont tout volé. La société de gestion de mots de passe a été victime d’une violation de données en août dernier. À l’époque, LastPass a affirmé que les données des clients, les comptes, les données chiffrées du coffre-fort et les mots de passe maîtres étaient en sécurité.
Cependant, à l’approche de 2023, nous avons appris que presque rien de tout cela n’était vrai. Dans des articles de blog ultérieurs, la société a admis que les pirates ont pu « accéder à certains éléments d’information de nos clients ». Et plus tard qu’ils avaient obtenu une « sauvegarde des données du coffre-fort du client ».
Selon l’article de blog, les données de sauvegarde contenaient « des informations de base sur les comptes clients et des métadonnées connexes, notamment des noms de sociétés, des noms d’utilisateurs finaux, des adresses de facturation, des adresses e-mail, des numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass ».
Tout au long de la saga, LastPass a insisté sur le fait que les informations volées restent chiffrées et que les pirates ne peuvent obtenir les informations des clients que s’ils disposent du mot de passe principal de l’utilisateur. Et que si les clients suivaient les meilleures pratiques de LastPass, il faudrait des « millions d’années » pour déchiffrer les informations. Cette affirmation a été démentie quelques jours plus tard par le concurrent de LastPass, 1Password.
Où en sont les clients de LastPass ? Pas dans une bonne position. Ils devraient au moins changer manuellement tous les mots de passe des comptes qu’ils utilisent. Mais cela n’aidera pas contre les informations que les pirates ont déjà volées, ce qui est un scénario cauchemardesque. Il n’y a pas grand-chose à faire, si ce n’est espérer que les pirates ne percent pas le mot de passe principal.
Comment créez-vous vos mots de passe ?
Mais les clients de LastPass ne sont pas les seuls à devoir s’inquiéter. Que vous utilisiez ou non un gestionnaire de mots de passe, la sécurité des mots de passe se résume à un point central d’échec : la façon dont vous créez vos mots de passe et vos mots de passe maîtres.
Créer un mot de passe fort n’est pas aussi simple qu’on le croit. Seuls les mots de passe véritablement aléatoires sont protégés contre les attaques par brute force, c’est-à-dire lorsque les pirates tentent plusieurs fois d’entrer un mot de passe en utilisant des milliers ou des millions de possibilités. En général, ce type d’attaque est contrecarré par des tentatives limitées de saisie du mot de passe. Mais lorsque les pirates disposent d’un nombre illimité de tentatives (comme dans le cas des données de LastPass), ce n’est qu’une question de temps avant qu’ils ne parviennent à casser n’importe quel mot de passe.
Alors, comment créez-vous votre mot de passe principal ou, si vous n’utilisez pas de gestionnaire de mots de passe, tous vos mots de passe ? En général, les gens utilisent des moyens mnémotechniques pour se souvenir de leurs mots de passe. Cela semble être un mot de passe assez fort, non ? Malheureusement, non. Comme dans son démantèlement de la revendication de sécurité « millions d’années » de LastPass, c’est précisément ce type de mots de passe mnémotechniques que les pirates tenteront de deviner en premier.
Parfois, les utilisateurs qui n’utilisent pas de gestionnaires de mots de passe ont un schéma de mots de passe assez fort pour plusieurs comptes. Ils créent un mot de passe plus ou moins aléatoire, mais changent un caractère ou deux en fonction de leur service. Cela peut sembler être un bon plan, mais si un seul de vos mots de passe est piraté avec cette méthode, les pirates intelligents ne tarderont pas à déduire tous vos mots de passe.
Les gestionnaires de mots de passe
Les gestionnaires de mots de passe sont une excellente solution à ce problème. Et pour la plupart, des services comme 1Password offrent une sécurité exceptionnelle et disposent de plusieurs couches de protection et de redondances pour assurer la sécurité de vos mots de passe générés de manière aléatoire. Il convient de souligner que 1Password n’a jamais subi de violation de données, et encore moins une violation catastrophique, comme celle que vient de subir LastPass.
Mais cela ne signifie pas qu’il n’y en aura jamais. Les mauvais acteurs travaillent aussi dur pour vaincre ces protections que les professionnels de la sécurité pour les construire. Il y a tout simplement trop d’argent et de pouvoir à gagner en volant les informations personnelles des gens.
Et il y a le problème de la confiance. Beaucoup de gens n’aiment pas les gestionnaires de mots de passe parce qu’ils n’aiment pas que toutes leurs données soient confiées à un tiers, quelle que soit la qualité de la sécurité. Et la violation de données de LastPass ne fera qu’alimenter davantage cette méfiance.
Saisir des Passkeys
Les professionnels de la technologie connaissent les faiblesses des mots de passe depuis très longtemps. L’année dernière, les géants de la technologie, dont Apple, Google et Microsoft, se sont tous engagés à introduire une nouvelle mesure de sécurité appelée « Passkeys » pour aider à sécuriser les données de leurs clients. Leurs efforts ont été déployés dans le cadre de la FIDO Alliance.
Un Passkey est une méthode d’authentification qui est stockée localement sur votre appareil, tel qu’un smartphone ou un ordinateur portable. Lorsque vous créez votre Passkey, votre appareil devient votre méthode d’authentification et utilise des données biométriques comme les scanners de visage, les lecteurs d’empreintes digitales, les scanners d’iris et la reconnaissance vocale pour vérifier votre identité. Cela signifie que vous n’aurez plus jamais à créer ou à vous souvenir d’un mot de passe. Et, du moins pour l’instant, les Passkeys ne sont pas vulnérables aux méthodes de piratage traditionnelles comme les attaques par brute force et les escroqueries par phishing.
Mais que se passe-t-il si vous perdez votre dispositif d’authentification ? Ce qui est bien avec les clés USB, c’est que les entreprises qui les développent conservent une sauvegarde sécurisée de votre clé au cas où vous auriez besoin de la récupérer. Par exemple, Apple sauvegardera votre clé dans votre trousseau iCloud, et vous pourrez la transférer d’un appareil à l’autre, même s’il s’agit d’un nouveau, si nécessaire.
Apple et Google ont tous deux introduit les Passkeys cette année. Microsoft a présenté sa propre solution sans mot de passe en 2021. Les services technologiques du monde entier s’empressent de mettre en œuvre cette technologie pour assurer la sécurité de leurs clients. Même les gestionnaires de mots de passe comme 1Password, Dashlane, et même LastPass, adoptent cette technologie.
Alors, maintenant que 2023, il est temps de se tourner vers l’avenir du mot de passe !