LastPass est revenue récemment sur de nouveaux développements, toujours dans le sillage de la première fuite révélée en août dernier. Sa communication a depuis été analysée par plusieurs chercheurs, et on ne peut pas dire que l’entreprise en ressorte grandie. Tous pointent le manque de précision, quand ce n'est pas une communication volontairement trompeuse.
La semaine dernière, on apprenait que des données utilisateurs étaient finalement dans la nature. Un message très différent des précédents et qui impliquait cette fois des coffres-forts dans la nature. Certes, le chiffrement appliqué à ces données rendait virtuellement impossible leur récupération par force brute, à moins que le mot de passe maître soit trop court ou utilisé sur d’autres services, qui viendraient eux aussi à être piratés.
Pourtant, l’annonce de LastPass a depuis été passée au crible par des chercheurs en sécurité, qui en critiquent la forme et le fond. C’est notamment le cas de Wladimir Palant, connu entre autres pour sa participation au développement d’Adblock Pro. Dans un billet, il dénonce la communication de l’entreprise, « pleine d’omissions, demi vérités et purs mensonges », en analysant pratiquement chaque ligne des explications.
Avalanche de reproches
Il pointe par exemple « l’engagement pour la transparence » qui n’est autre qu’une obligation légale de communiquer sur ce type d’incident. Il souligne également une communication qui s’évertue à séparer la fuite d’août et les derniers développements. Selon le chercheur, nous sommes en face d’un cas classique de « mouvement latéral », ces développements n’ayant été rendus possibles que grâce aux informations volées en août.
Il cite d’autres éléments problématiques, comme le relevé des adresses IP, qui pourrait être suffisant pour créer des historiques propres à chaque client, ou encore l’absence de chiffrement pour les URL des sites, surtout quand ils sont accompagnés d’arguments.
L’un des plus gros reproches adressés à LastPass concerne sa communication sur le mot de passe. L’entreprise indique par exemple que cette information n’est jamais sue ni enregistrée de son côté, du fait de leur architecture Zero Knowledge. Mais pour Palant, ce n’est pas toujours vrai, car il arrive que l’extension pour navigateur communique avec le site principal pour certaines actions.
En outre, tout va bien pour le mot de passe maître, à condition que les utilisateurs aient suivi les bonnes pratiques. Pour le chercheur, LastPass se prépare tout simplement à « blâmer les victimes ». Il rappelle que le passage à 12 caractères minimum pour le mot de passe maître ne date que de 2018, et qu’aucune règle n’est venue imposer ce changement aux utilisateurs existants, qui ont toujours un mot de 8 caractères. Ils n’ont pas été prévenus, et encore moins invités à le changer.
Même chose pour les itérations PBKDF2. Dans notre article, nous avions souligné que les 100 100 itérations revendiquées par LastPass étaient un peu courtes face aux 310 000 recommandées par OWASP (Open Web Application Security Project). Ces 100 100 sont également arrivées en 2018, et LastPass n’en appliquait auparavant que 5 000.
Palant indique que son compte, créé juste avant ces changements en 2018, a toujours un mot de passe de 8 caractères et 5 000 itérations. Pour le chercheur, il est évident que de nombreuses autres personnes sont concernées. Il ajoute que LastPass aurait pu aisément renforcer la sécurité générale de l’ensemble, à la manière de 1Password, qui a ajouté une clé secrète pour le chiffrement des données, la rendant aussi nécessaire que le mot de passe maître pour déchiffrer les données.
Quant au conseil donné par LastPass de n’entreprendre aucune action particulière, il est qualifié de « négligence grossière » par Wladimir Palant : « Il y a assurément des actions recommandées à prendre, et pas seulement pour les personnes ayant un mot de passe maître beaucoup trop simple ou un nombre trop faible d’itérations. Des pirates suffisamment déterminés pourront décrypter les données de presque tout le monde. La question est de savoir si le jeu en vaut pour eux la chandelle ».
Palant recommande donc à toute personne ayant un profil de « haute valeur » – activistes, dissidents, journalistes, administrateurs d’entreprises… – de changer l’intégralité de ses mots de passe.
Passer à la concurrence
Palant recommande également de passer à la concurrence, en tout cas chez un prestataire prenant davantage au sérieux la sécurité des données lui étant confiées. Il n’est d’ailleurs pas le seul à le faire.
Le son de cloche est identique chez Jeremi Gosney, qui s’en prend violemment au « Zero Knowledge » de LastPass, qu’il qualifie de « mensonge éhonté ». Selon lui, l’entreprise a « à peu près autant de connaissance qu’un gestionnaire de mots de passe peut en avoir ». Sa recommandation est donc claire : il faut passer à la concurrence et prendre connaissance des pratiques de sécurité d’un acteur avant de lui confier des données aussi importantes.
À propos de concurrence, l’annonce de LastPass a été suffisamment remarquée pour que 1Password sorte de sa réserve. Jeffrey Goldberg, principal architecte sécurité, a ainsi publié hier un billet de réaction sur le blog de l’entreprise, dont le titre fait directement référence au communiqué de LastPass.
Dans ce dernier, on apprenait qu’avec les paramètres par défaut d’un compte LastPass, il faudrait jusqu’à un million d’années pour décrypter les données stockées dans le coffre-fort. Pour Goldberg, cette déclaration est « hautement trompeuse », car elle ne fonctionne que pour un mot de passe long d’au moins 12 caractères et parfaitement aléatoire. Cette dernière condition est loin d’être atteinte dans l’immense majorité des cas, à moins d’être passé par un générateur tiers ou d’avoir composé une phrase de passe. Donc en n’ayant pas suivi les recommandations de LastPass.
Si ce type de communication est rare au sein d’entreprises d’un même secteur – personne ne souhaite être à son tour fustigé en cas de problème – le billet aborde d’importants points techniques. Surtout, il met le doigt sur un élément de communication de LastPass critiqué par d’autres chercheurs : la volonté de minimiser les faits. Selon 1Password, cette stratégie ne sert à rien : il faut tout faire pour éviter une brèche, mais il faut aussi avoir un plan clair dans le cas où elle se produirait.
Notez qu’un auto-hébergement peut être une solution, qu’il s’agisse d’une base KeePass partagée ou d’une variante dédiée comme celle de BitWarden. Mais attention, car l’auto-hébergement peut engendrer ses propres difficultés et il vaut mieux savoir dans quoi on se lance.
