LastPass : analyse d’un gestionnaire de mots de passe qui joue l’ubiquité

LastPass : analyse d’un gestionnaire de mots de passe qui joue l’ubiquité

Le dernier mot de passe, vraiment ?

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

29/09/2016 15 minutes
19

LastPass : analyse d’un gestionnaire de mots de passe qui joue l’ubiquité

Depuis plusieurs semaines, nous explorons le monde des gestionnaires de mots de passe. Après 1Password, KeePass et Dashlane, voici venu le tour de LastPass. Fonctionnalités, sécurité, stockage des données, prise en main : le tour complet d’une solution présente depuis longtemps sur le marché.

Nous abordons depuis quelque temps la problématique des mots de passe et de la meilleure manière de les gérer. Les nombreuses fuites de données ont montré à quel point la faiblesse générale de cette protection représente un vrai problème pour la sécurité des informations personnelles.

Les gestionnaires de mots de passe offrent théoriquement un moyen simple et efficace de s'en occuper, chacun avec ses avantages et inconvénients. LastPass est l'une des solutions les plus anciennes disponibles, et l'éditeur est présent presque partout.

LastPass : présentation générale, interface et ergonomie

LastPass existe depuis 2008, mais a été racheté en octobre dernier par LogMeIn pour 110 millions de dollars. Elle a bénéficié au cours des derniers mois d’une série d’améliorations qui ont fait beaucoup pour en augmenter sa visibilité. La version 4.0 a ainsi modernisé l’interface pour la rendre moins rébarbative et austère – une critique régulière à son encontre – surtout face à d’autres produits comme 1Password et Dashlane.

La grande force de LastPass, c’est clairement sa disponibilité sur un grand nombre de plateformes. Sur les ordinateurs, pas question de proposer un client lourd. Il suffit d’installer l’extension correspondante au navigateur utilisé, l’éditeur était pour ainsi dire partout. On retrouve donc Chrome, Firefox, Internet Explorer, Opera et Safari, jusqu’à Edge qui permet de s’en équiper depuis la récente Anniversary Update sur Windows 10.  

Côté mobile, on retrouve le client sous Android, iOS et Windows Phone, et même pour Firefox OS. Le modèle commercial de LastPass est simple et classique. Tant que vous n’utilisez que les extensions pour navigateurs, la synchronisation est gratuite. Tous les plugins sont liés par le compte, qui est donc obligatoire.

Par contre, dès que vous souhaitez utiliser l’une des applications mobiles, il faut passer par la formule Premium, facturée 12 dollars par an (débit en une seule fois). Or, ces applications mobiles peuvent se révéler rapidement nécessaires, pour une raison simple : il est pénible d'écrire des mots de passe forts sur un smartphone ou une tablette.

lastpass

Disponible en français, LastPass a vu son interface révisée à plusieurs reprises, mais la dernière version, lancée au début de l’année, a été largement remaniée et adoucie. L’interface générale de l’extension est simple, avec une colonne à gauche pour les différentes sections (sites, notes sécurisées, formulaires, centre de partage…) et à droite le contenu.

Le coeur de LastPass, c'est le Coffre-Fort, autrement dit la collection complète des sites dont le gestionnaire a gardé les identifiants. Lors de l’installation de l’extension, ce Coffre-Fort se remplit automatiquement (après validation de l’utilisateur) de tous les mots de passe trouvés dans le navigateur.

On peut donc à tout moment consulter la liste, inspecter le mot de passe, chercher un identifiant, etc. Les sites peuvent être rassemblés dans des dossiers pour les repérer plus facilement ensuite.

Sécurité et gestion des mots de passe

On entre désormais dans le vif du sujet : la gestion proprement dite des mots de passe. Commençons donc par leur enregistrement, ce qui est la fonction de base de tout gestionnaire.

Outre l’ajout initial des mots de passe stockés par le navigateur, LastPass va proposer de sauvegarder automatiquement tout nouvel identifiant utilisé sur un site. L’ensemble constitue la collection que l’on peut consulter dans le Coffre-Fort. Difficile de faire plus évident. Le stockage des données est chiffré localement (AES 256) puis synchronisé avec les autres extensions reliées au compte. Les communications sont chiffrées de bout en bout, l'éditeur ne possédant pas la clé maître. Sur ses serveurs, les données sont hachées et salées (100 000 dérivations PBKDF2-SHA256).

Par contre, les choses deviennent plus intéressantes avec les signalements opérés par LastPass une fois qu’il a analysé l’ensemble des données. La première utilisation de la solution peut d’ailleurs réserver un lot de mauvaises surprises pour l’utilisateur qui n’a jamais réellement fait attention à la conception de ses mots de passe.

LastPass fournit ainsi des alertes sur la base de plusieurs critères, dont la réutilisation sur plusieurs sites, la faiblesse de la séquence de caractères ou encore la publication de communiqués de sécurité par des sociétés victimes de piratages.

La création des mots de passe

Générer un mot de passe est l’autre grande fonction d’un gestionnaire de mots de passe. Il ne peut plus se contenter simplement de les stocker : il doit pouvoir montrer l’exemple en créant à partir de quelques règles des séquences aléatoires de caractères.

LastPass ne fait pas exception. Dans les formulaires, les champs de mot de passe font ainsi apparaître une petite icone permettant d’invoquer l’extension. De là, une fenêtre s’ouvre dans laquelle attend déjà un mot de passe. On peut le copier et le coller, ou simplement cliquer sur le bouton rouge en bas à droite, ce qui complètera automatiquement le formulaire.

lastpass

Comme on peut le voir dans la capture, on peut générer un mot de passe selon de multiples critères. Le premier est la taille, qui ici ira de 4 à 100 caractères. Peu de sites en accepteront autant, mais la longueur du mot influe directement sur sa force. Les options avancées permettent de choisir entre des suites aléatoires de caractères et des versions prononçables, que l’on évitera si possible. En-dessous, l’utilisateur pourra cocher/décocher les catégories de caractères : majuscules, minuscules, chiffres et caractères spéciaux.

Une taille moyenne de 16 caractères de tous les types est un bon compris, normalement pris en charge par la très grande majorité des sites. À moins que l’on ne puisse faire autrement, il n’est pas recommandé de descendre au-dessous de ce chiffre. Notez qu’une fois les règles définies pour créer un mot de passe, LastPass garde automatiquement ces paramètres par défaut pour les prochains, jusqu’à ce qu’ils soient changés. L’utilisateur a toujours la main dans un formulaire pour modifier ces règles.

Le Challenge sécurité, pour prendre le taureau par les cornes

La fonction la plus intéressante est le « Challenge sécurité », auquel on accède par le menu de la colonne de gauche. Il fournit un score correspondant à un pourcentage des sites considérés comme sécurisés car possédant des mots de passe forts et non réutilisés. En cliquant sur le lien, une page spéciale s’ouvre dans le navigateur. En cliquant sur « Voir mon score » et après validation du mot de passe maître, LastPass lance une analyse générale des mots de passe pour fournir des informations détaillées.

Dans le tableau qui va apparaître seront indiqués tous les sites qui, pour une raison ou une autre, seront signalés comme problématiques. La liste est complète, affichant au passage la force du mot de passe (0 % correspond à un mot de passe très faible, réutilisé ou verrouillant un site piraté par le passé) et la date de dernière modification. Des onglets permettent de n’afficher que les doublons, les sites compromis, les mots faibles, anciens voire vides.

Le but est évidemment de montrer à l’utilisateur l’ampleur de la « catastrophe ». Pour chaque site, un lien est fourni pour ouvrir la page associée, et ainsi se diriger vers le changement de mot de passe. De là, on pourra invoquer LastPass (une icône apparaît dans le champ de saisie) afin d’en créer un nouveau.

Notez que pour certains sites, tels qu’Amazon ou Tumblr, LastPass peut se charger automatiquement du changement, un script s’occupant d’aller ouvrir le site et de remplacer l’ancien mot de passe par un nouveau, choisi aléatoirement et enregistré.

lastpasslastpass

Fonctions supplémentaires : on reste dans le classique

Comme tout produit de ce genre, LastPass essaie de se différencier par plusieurs fonctionnalités. Certaines peuvent être très pratiques, là où d’autres seront plus anecdotiques.

La plus intéressante est la collection des notes sécurisées, même si Dashlane les propose aussi par exemple. Comme son nom l’indique, on peut créer et stocker ici tout un ensemble de notes écrites, que l’on pourra classer selon plusieurs catégories, chacune disposant d’une couleur.

Par défaut, LastPass collecte automatiquement tous les codes Wi-Fi qui ont été utilisés sur les appareils synchronisés par le même compte. Pratique, mais on pourra stocker bien d’autres informations : cartes bancaires, comptes emails, permis de conduire, clés SSH, passeports ou encore clés de produits pour les logiciels, avec la possibilité d’ajouter une pièce jointe à chaque fois. Le chiffrement se fait là encore en AES-256.

La zone Formulaires est de son côté assez classique. On y définit une fiche d’identité contenant un certain nombre de champs. Sur un site web, quand il devra compléter un formulaire, l’utilisateur pourra alors choisir celui qu’il veut appeler. LastPass fera alors de son mieux pour détecter les champs et les remplir automatiquement.

La fonction donne de bons résultats dans la plupart des cas, mais il y a des ratés, notamment quand le code de la page contient des erreurs, le gestionnaire s’emmêlant alors les pinceaux, en plaçant par exemple le nom de la ville dans le champ du code postal.

lastpasslastpass

Enfin, le centre de partage est une fonction qui ne servira pas à tout le monde. Dans la plupart des cas, l’utilisateur possède sa propre machine et gèrera donc son gestionnaire selon son propre gré. Mais s’il s’agit d’une machine partagée ou dans si l’on souhaite déléguer un accès à une autre personne, le centre permettra d’expédier un mot de passe ou même une collection à une ou plusieurs personnes. On peut également définir des dossiers dans lequel seront rangés les mots de passe partagés, LastPass permettant de revoir les accès à n’importe quel moment.

Notez que cette fonctionnalité est complétée par l’Accès d’Urgence. Il se paramètre depuis un lien en barre latérale. On peut y définir un accès temporaire complet pour un proche ou un membre de la famille, qui aura accès à la totalité du Coffre-Fort. L’utilisateur peut définir quand ces personnes peuvent y accéder. Notez que cet accès peut être créé avant et déclenché ensuite à l’envie.

Applications mobiles : clients et Authenticator

LastPass possède deux types d’applications mobiles : le gestionnaire lui-même et l’Authenticator. On a beaucoup parlé du second depuis le début de l’année. Il s’agit d’une application que l’on retrouve sur Android, iOS et Windows Phone et qui permet de fournir des codes à six chiffres dans le cas d’un accès au Coffre-Fort protégé par la double-authentification.

Plus récemment, cet Authentificator a été mis à jour pour lui faire bénéficier de deux améliorations. D’une part, la possibilité sur Android et iOS de se passer du code pour simplement réagir à la notification reçue, ce qui simplifie d’autant la connexion. D’autre part, l’élargissement de la prise en charge à d’autres services du genre, notamment ceux qui acceptent le Google Authenticator. Dans ce cas, le code à six chiffres et la validation de notification sont acceptées. L’application est gratuite et ne réclame pas d’abonnement.

Ce qui n’est pas le cas du gestionnaire, comme nous l’indiquions au début. L’application LastPass a des chances de déclencher l’envie d’un abonnement, et c’est sur ce point que se fonde une bonne partie du modèle commercial. Car si vous utilisez LastPass sur votre ordinateur, un nombre croissant de sites se retrouvera avec de longs mots de passe forts, complexes à entrer manuellement. Si vous vous rendez sur ces sites depuis un smartphone ou une tablette, l’authentification risque donc d’être pénible.

Ici, pas de mystère : si vous souhaitez utiliser les mots de passe définis par LastPass depuis votre appareil mobile, il faudra payer l’abonnement Premium, soit 12 dollars par an. Notez que l’on peut acheter jusqu’à dix ans d’un coup, mais que LastPass n’applique aucune réduction. Une fois le paiement effectué, la synchronisation peut s’étendre à un nombre illimité d’appareils. L’application donne alors accès à l’ensemble des mots de passe, dès que le compte a été renseigné. Sur les appareils compatibles, LastPass peut exploiter l’empreinte digitale pour déverrouiller ultérieurement l’accès.

Le fonctionnement de l’application passe par un navigateur intégré. On appuie alors sur un site puis sur « Lancer » et la page correspondante s’ouvre avec les champs d’authentification pré-remplis. Du moins dans la plupart des cas, car il y aura là aussi quelques ratés. Pour le reste, l’application dispose de la plupart des fonctionnalités du client classique, les notes sécurisées et formulaires étant disponibles.

lastpasslastpasslastpasslastpass

LastPass : d'indéniables forces, mais également des faiblesses

Globalement, LastPass est un bon gestionnaire de mots de passe, plus simple à prendre que par le passé, mais dont l’interface encore assez austère pourrait rebuter les débutants. Les fonctionnalités sont pourtant bien présentes, l’ensemble étant organisé de manière assez pratique pour convenir à la majorité des usages. On reste néanmoins dans ce que l'on attend d'un gestionnaire, et LastPass ne fait pas vraiment dans l'originalité.

Par ailleurs, LastPass n’est pas exempt de défauts, ou tout du moins pourrait être amélioré sur plusieurs points. L’entreprise a ainsi été attaquée à plusieurs reprises, la dernière remontant à juin 2015. À chaque fois, la société a demandé à ses utilisateurs de modifier le mot de passe maître. Certains considèrent d’ailleurs que changer le mot de passe maître ne devrait pas – hors exception – être autorisé, mais LastPass le permet. On peut ainsi le faire en se rendant simplement dans les paramètres, tout en bas de la barre latérale. 

Sur la question de la sécurité des données, il n’a été fait mention d’aucune fuite d’informations personnelles malgré ces attaques. Pourtant, LastPass n’est pas un produit open source, ce qui posera parfois problème, les recommandations de la CNIL étant très claires sur ce point. Par ailleurs, l’éditeur indique procéder à des audits réguliers de sécurité via des sociétés tierces, mais les résultats ne sont pas disponibles publiquement. Un manque de transparence qui, là encore, en agacera certains.

Si ces points ne vous gênent pas, les principales limites de LastPass se rencontreront, comme tous les autres gestionnaires de mots de passe, sur le terrain de la compatibilité. Certains sites ne seront ainsi pas pris en charge, mais il peut s’agir d’un choix assumé de l’éditeur. Cette question de compatibilité se retrouvera également dans d’autres fonctions, particulièrement celle pour changer automatiquement le mot de passe d’un site : non seulement elle n’est disponible que pour certains d’entre eux, mais elle peut également échouer, comme ce fut par exemple le cas pour nous sur Tumblr.

Évoquons enfin un problème manifeste et qui nous semble indigne de ce type de produit, particulièrement quand on propose une formule Premium payante : une traduction erratique. Il n’est pas normal qu’une interface puisse proposer de changer par exemple des « old mots de passe ». 

Ceux qui souhaitent se lancer sur LastPass pourront récupérer la mouture qui les intéresse depuis la page des téléchargements.

Notre dossier sur la gestion des mots de passe :

19

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

LastPass : présentation générale, interface et ergonomie

Sécurité et gestion des mots de passe

La création des mots de passe

Le Challenge sécurité, pour prendre le taureau par les cornes

Fonctions supplémentaires : on reste dans le classique

Applications mobiles : clients et Authenticator

LastPass : d'indéniables forces, mais également des faiblesses

Commentaires (19)


C’est sympa tous ces articles sur les gestionnaires, merci ! Même si je reste pour l’instant sur Keepass, si je décide de changer je saurai où regarder pour m’en choisir un nouveau.


J’utilise Lastpass depuis des années et je ne pourrais plus m’en passer. La complexité de mes mots de passe s’est considérablement améliorée grâce à ce gestionnaire de mot de passe. On constate, du coup, souvent que certain sites n’acceptent pas les mots de passe trop longs ou complexes..

En tout cas les 12$ sont bien investis et me font gagner un temps infini pour une sécurité accrue.


Oui, intéressantes ces analyses.


Un petit mot sur l’offre “entreprise” de LastPass, qui permet également, sans connaitre les mots de passe maître des collaborateurs, de partager des groupes de mots de passe selon pas mal de crtières, et de mettre en place de nombreuses autres fonctionnalités super sympas pour des déploiements et usages pros.

Liste non exhaustive :




  • Portail SSO

  • Console d’admin centralisée

  • Synchro AD/LDAP

  • Récap de sécurité par utilisateur

  • Rapport d’utilisation

  • Facturation centralisée

  • Transfert de licenses



    • API

    • Etc. 



      My 2¢.



Celui que j’utilise, vraiment pas à me plaindre, tout est fait pour être simple et pratique (sans ça les gens ne changeraient jamais leurs mdp). 



Une fois qu’on a un score de sécurité a 96 %, on se sent mieux. J’ai pas non plus de crainte sur les capacités de LP pour se défendre ou nous prevenir en cas d’attaque, ce qu’il a montré par le passé. 


Un outil très pratique et surtout abordable pour ceux qui n’ont pas envie de trop s’embêter (comme moi).



Seul bémol pour moi, le remplissage automatique sur Android qui est perfectible :




  • Via l’application, il semble que ça ne fonctionne par défaut que sur Chrome.

  • En passant par la zone de notification (copier-coller du mot de passe), ça ne fonctionne plus chez moi depuis le passage sur Nougat.


LastPass a été pour moi une excellente introduction au monde des gestionnaires de mots de passes. Le scan de mes mots de passes sauvegardés dans mes browsers m’ont fait prendre conscience qu’ils étaient vachement exposés, de les inventoriés et de supprimer certains comptes hyper vieux. Les challenges de sécurité m’ont permis de m’assurer que mon score était tout près du 100%. 



J’ai cependant passé à Keepass dernièrement, que je considère plus sécuritaire, même si les risques sont extrèmenent faible avec Lastpass et que les deux dernières brèches de sécurité étaient sommes toutes mineures et rapidement réparées. C’est un excellent gestionnaire pour n’importe quel utilisateur qui ne veut pas se prendre la tête. 


D’ailleurs, je me demandais… Comment on fait pour passer d’un gestionnaire de mots de passe à l’autre ? Il y a des outils de transfert ?








kalgan a écrit :



D’ailleurs, je me demandais… Comment on fait pour passer d’un gestionnaire de mots de passe à l’autre ? Il y a des outils de transfert ?





Je ne crois pas, sinon, cela serait peut-être (probablement?) dangereux en terme de sécurité. Puis, je ne crois pas que cela soit techniquement faisable puisque les mots de passe sont censé être chiffrés.



C’est bien les gestionnaires de mots de passe. Mais comment font il pour synchroniser sans stocker les mot de passe sur leur serveur? Comme c’est eu qui détiennent les clés, il ont accès à tout ? Non?

Il y a quelques choses que j’ai pas compris ?


Bien sur que si, il y a possibilité d’exporter ses logins et mots de passe dans plusieurs formats via les extensions navigateurs.


Pour tester, je suis passé récemment de Keepass 2.x à LastPass à travers le format xml d’export de Keepass et l’import intégré à LastPass : impeccable

Depuis la branche 4 de LastPass, l’ergonomie est vraiment passée un cran au dessus et la possibilité d’intégrer l’authentification multifacteurs pour l’ouverture d’un coffre fort se fait assez simplement (surtout avec l’outil LastPass Authentificator)


Avant tu pouvais migrer via un export, à voir si c’est toujours vrai:

http://www.crazyws.fr/kim/kim-2-keepass-2-19-migrer-de-lastpass-vers-keepass-KV4…



 Je les ai quitté suite à l’attaque de 2011 ou les mdp, les “salt” et quelques hashs étaient déjà partis dans la nature… Depuis je suis sur FF Sync pour les mdp secondaires et Keepass pour quelques mdp plus importants.


”‘l’éditeur ne possédant pas la clé maître”



il est précisé lors de la création du compte que si tu perd ton MDP maitre (celui qui ouvre le coffre fort), tu es dans le caca



pour ne pas prendre de risque, j’ai configuré mon numéro de téléphone portable sur mes différentes boites mails afin de pouvoir le reset sans difficultés.


Quelques précisions concernant l’application mobile (au moins sur iOS) : il est possible de renseigner les mots de passe sur les sites web directement depuis Safari en passant par l’extension de navigateur, pas besoin d’ouvrir l’application donc.

L’application permet également de remplir les champs de connexion directement dans les applications qui prennent en charge 1password.


“Comme on peut le voir dans la capture, on peut générer un mot de passe selon de multiples critères. Le premier est la taille, qui ici ira de 4 à 100 caractères. Peu de sites en accepteront autant, mais la longueur du mot influe directement sur sa force. ”



Je n’ai JAMAIS compris pourquoi les sites imposaient une taille maximum, c’est ridicule.



Pour le reste, j’utilise Lastpass et j’en suis très satisfait, mais j’aimerai quand même un client lourd. Les mots de passe enregistrés ne concernent pas forcement un site, et je suis obligé d’ouvrir mon navigateur et de me connecter pour les récup’, c’est chian !


Sans être pleinement satisfait je ne vois pas comment je pourrais aujourd’hui me passer de LastPass (enfin d’un gestionnaire de mdp en général).

Cependant je suis sur LastPass essentiellement parce que Dashlane n’est pas dispo sous linux (ce qui est bien dommage…), mais c’est vrai qu’aujourd’hui entre les deux il y a une sacré différence de prix qu’il n’y avait pas il y a quelques années, surtout quand la version gratuite de LastPass suffit.


De Lastpass, il est possible d’exporter une liste CSV de ses logins / mots de passes et Keepass, quant à lui, vient avec un importateur de CSV en fonction de la source (LastPass, Dashlane, 1Password, etc.). 


Parfait. plus de raisons de m’en passer alors. Merci !