Le gestionnaire de mots de passe LastPass est mêlé à un scandale de fuite de données, chaque mise à jour aggravant la situation. Dans son message le plus récent, la société a assuré aux utilisateurs que leurs mots de passe étaient en sécurité tant qu’ils suivaient les directives de LastPass. Aujourd’hui, son concurrent 1Password a publié une réfutation cinglante.
Pour résumer le scandale de la violation de données, en août dernier, LastPass a informé les utilisateurs qu’elle avait subi une violation de données, mais que les données et les comptes des clients étaient en sécurité. Toutefois, début décembre, l’entreprise a admis que les pirates avaient pu « accéder à certains éléments d’information sur les clients », sans préciser de quel type d’information il s’agissait. Et la semaine dernière, la société a révélé que les pirates avaient obtenu une « sauvegarde des données du coffre-fort des clients », mais que les informations contenues dans la sauvegarde seraient inaccessibles si les clients disposaient d’un mot de passe principal fort.
Plus précisément, LastPass a affirmé que si les utilisateurs suivaient les meilleures pratiques, il faudrait aux pirates « des millions d’années » pour deviner un mot de passe principal.
Le concurrent de LastPass, 1Password, a contesté cette affirmation. Dans un communiqué, Jeffrey Goldberg, principal architecte de sécurité de la société, explique pourquoi il est trompeur d’affirmer qu’il faudrait des millions d’années pour deviner un mot de passe principal créé par l’utilisateur.
Il souligne que les mots de passe générés par les utilisateurs sont intrinsèquement plus faciles à craquer que leurs homologues générés par des machines, car les humains ne génèrent pas les mots de passe de manière aléatoire comme le font les ordinateurs. Et que les pirates sophistiqués n’essaieront pas d’abord de déchiffrer les mots de passe générés par ordinateur. Comme les humains utilisent généralement des moyens mnémotechniques pour se souvenir des mots de passe, les pirates tenteront d’abord de deviner ces types de mots de passe.
Une technique d’attaque…
Pour rendre les choses plus simples, Goldberg a utilisé ce qu’il appelle une « stupide analogie » (qui est en fait tout à fait appropriée pour comprendre la revendication). Supposons que vous alliez au cinéma et que vous ayez oublié où vous avez garé votre voiture. Le premier endroit où vous chercheriez votre véhicule serait le parking du cinéma, et non la surface entière de la Terre. Dans cette analogie, le parking du cinéma représente les mots de passe maîtres mnémoniques générés par les utilisateurs, et la surface entière de la Terre représente les mots de passe maîtres aléatoires générés par les ordinateurs.
S’ils sont intelligents (et ils le sont probablement), les pirates s’attaqueront d’abord aux mots de passe générés par les utilisateurs, qui sont les plus faibles, plutôt que d’essayer de casser les mots de passe générés de façon aléatoire, qui sont les plus forts. Et ils ont un nombre illimité d’essais pour chaque utilisateur dans la base de données de sauvegarde.
Inutile de dire que les choses ne semblent toujours pas aller bien pour LastPass. Et malheureusement, si vos informations font partie de cette violation de données et que vous avez utilisé une méthode non aléatoire pour créer votre mot de passe principal, vous devriez chercher des moyens de vous protéger contre une éventuelle cybercriminalité.