LastPass : analyse d’un gestionnaire de mots de passe qui joue l’ubiquité

Le dernier mot de passe, vraiment ? 19
Accès libre
image dediée
Securité
Vincent Hermann

Depuis plusieurs semaines, nous explorons le monde des gestionnaires de mots de passe. Après 1Password, KeePass et Dashlane, voici venu le tour de LastPass. Fonctionnalités, sécurité, stockage des données, prise en main : le tour complet d’une solution présente depuis longtemps sur le marché.

Nous abordons depuis quelque temps la problématique des mots de passe et de la meilleure manière de les gérer. Les nombreuses fuites de données ont montré à quel point la faiblesse générale de cette protection représente un vrai problème pour la sécurité des informations personnelles.

Les gestionnaires de mots de passe offrent théoriquement un moyen simple et efficace de s'en occuper, chacun avec ses avantages et inconvénients. LastPass est l'une des solutions les plus anciennes disponibles, et l'éditeur est présent presque partout.

LastPass : présentation générale, interface et ergonomie

LastPass existe depuis 2008, mais a été racheté en octobre dernier par LogMeIn pour 110 millions de dollars. Elle a bénéficié au cours des derniers mois d’une série d’améliorations qui ont fait beaucoup pour en augmenter sa visibilité. La version 4.0 a ainsi modernisé l’interface pour la rendre moins rébarbative et austère – une critique régulière à son encontre – surtout face à d’autres produits comme 1Password et Dashlane.

La grande force de LastPass, c’est clairement sa disponibilité sur un grand nombre de plateformes. Sur les ordinateurs, pas question de proposer un client lourd. Il suffit d’installer l’extension correspondante au navigateur utilisé, l’éditeur était pour ainsi dire partout. On retrouve donc Chrome, Firefox, Internet Explorer, Opera et Safari, jusqu’à Edge qui permet de s’en équiper depuis la récente Anniversary Update sur Windows 10.  

Côté mobile, on retrouve le client sous Android, iOS et Windows Phone, et même pour Firefox OS. Le modèle commercial de LastPass est simple et classique. Tant que vous n’utilisez que les extensions pour navigateurs, la synchronisation est gratuite. Tous les plugins sont liés par le compte, qui est donc obligatoire.

Par contre, dès que vous souhaitez utiliser l’une des applications mobiles, il faut passer par la formule Premium, facturée 12 dollars par an (débit en une seule fois). Or, ces applications mobiles peuvent se révéler rapidement nécessaires, pour une raison simple : il est pénible d'écrire des mots de passe forts sur un smartphone ou une tablette.

lastpass

Disponible en français, LastPass a vu son interface révisée à plusieurs reprises, mais la dernière version, lancée au début de l’année, a été largement remaniée et adoucie. L’interface générale de l’extension est simple, avec une colonne à gauche pour les différentes sections (sites, notes sécurisées, formulaires, centre de partage…) et à droite le contenu.

Le coeur de LastPass, c'est le Coffre-Fort, autrement dit la collection complète des sites dont le gestionnaire a gardé les identifiants. Lors de l’installation de l’extension, ce Coffre-Fort se remplit automatiquement (après validation de l’utilisateur) de tous les mots de passe trouvés dans le navigateur.

On peut donc à tout moment consulter la liste, inspecter le mot de passe, chercher un identifiant, etc. Les sites peuvent être rassemblés dans des dossiers pour les repérer plus facilement ensuite.

Sécurité et gestion des mots de passe

On entre désormais dans le vif du sujet : la gestion proprement dite des mots de passe. Commençons donc par leur enregistrement, ce qui est la fonction de base de tout gestionnaire.

Outre l’ajout initial des mots de passe stockés par le navigateur, LastPass va proposer de sauvegarder automatiquement tout nouvel identifiant utilisé sur un site. L’ensemble constitue la collection que l’on peut consulter dans le Coffre-Fort. Difficile de faire plus évident. Le stockage des données est chiffré localement (AES 256) puis synchronisé avec les autres extensions reliées au compte. Les communications sont chiffrées de bout en bout, l'éditeur ne possédant pas la clé maître. Sur ses serveurs, les données sont hachées et salées (100 000 dérivations PBKDF2-SHA256).

Par contre, les choses deviennent plus intéressantes avec les signalements opérés par LastPass une fois qu’il a analysé l’ensemble des données. La première utilisation de la solution peut d’ailleurs réserver un lot de mauvaises surprises pour l’utilisateur qui n’a jamais réellement fait attention à la conception de ses mots de passe.

LastPass fournit ainsi des alertes sur la base de plusieurs critères, dont la réutilisation sur plusieurs sites, la faiblesse de la séquence de caractères ou encore la publication de communiqués de sécurité par des sociétés victimes de piratages.

La création des mots de passe

Générer un mot de passe est l’autre grande fonction d’un gestionnaire de mots de passe. Il ne peut plus se contenter simplement de les stocker : il doit pouvoir montrer l’exemple en créant à partir de quelques règles des séquences aléatoires de caractères.

LastPass ne fait pas exception. Dans les formulaires, les champs de mot de passe font ainsi apparaître une petite icone permettant d’invoquer l’extension. De là, une fenêtre s’ouvre dans laquelle attend déjà un mot de passe. On peut le copier et le coller, ou simplement cliquer sur le bouton rouge en bas à droite, ce qui complètera automatiquement le formulaire.

lastpass

Comme on peut le voir dans la capture, on peut générer un mot de passe selon de multiples critères. Le premier est la taille, qui ici ira de 4 à 100 caractères. Peu de sites en accepteront autant, mais la longueur du mot influe directement sur sa force. Les options avancées permettent de choisir entre des suites aléatoires de caractères et des versions prononçables, que l’on évitera si possible. En-dessous, l’utilisateur pourra cocher/décocher les catégories de caractères : majuscules, minuscules, chiffres et caractères spéciaux.

Une taille moyenne de 16 caractères de tous les types est un bon compris, normalement pris en charge par la très grande majorité des sites. À moins que l’on ne puisse faire autrement, il n’est pas recommandé de descendre au-dessous de ce chiffre. Notez qu’une fois les règles définies pour créer un mot de passe, LastPass garde automatiquement ces paramètres par défaut pour les prochains, jusqu’à ce qu’ils soient changés. L’utilisateur a toujours la main dans un formulaire pour modifier ces règles.

Le Challenge sécurité, pour prendre le taureau par les cornes

La fonction la plus intéressante est le « Challenge sécurité », auquel on accède par le menu de la colonne de gauche. Il fournit un score correspondant à un pourcentage des sites considérés comme sécurisés car possédant des mots de passe forts et non réutilisés. En cliquant sur le lien, une page spéciale s’ouvre dans le navigateur. En cliquant sur « Voir mon score » et après validation du mot de passe maître, LastPass lance une analyse générale des mots de passe pour fournir des informations détaillées.

Dans le tableau qui va apparaître seront indiqués tous les sites qui, pour une raison ou une autre, seront signalés comme problématiques. La liste est complète, affichant au passage la force du mot de passe (0 % correspond à un mot de passe très faible, réutilisé ou verrouillant un site piraté par le passé) et la date de dernière modification. Des onglets permettent de n’afficher que les doublons, les sites compromis, les mots faibles, anciens voire vides.

Le but est évidemment de montrer à l’utilisateur l’ampleur de la « catastrophe ». Pour chaque site, un lien est fourni pour ouvrir la page associée, et ainsi se diriger vers le changement de mot de passe. De là, on pourra invoquer LastPass (une icône apparaît dans le champ de saisie) afin d’en créer un nouveau.

Notez que pour certains sites, tels qu’Amazon ou Tumblr, LastPass peut se charger automatiquement du changement, un script s’occupant d’aller ouvrir le site et de remplacer l’ancien mot de passe par un nouveau, choisi aléatoirement et enregistré.

lastpasslastpass

Fonctions supplémentaires : on reste dans le classique

Comme tout produit de ce genre, LastPass essaie de se différencier par plusieurs fonctionnalités. Certaines peuvent être très pratiques, là où d’autres seront plus anecdotiques.

La plus intéressante est la collection des notes sécurisées, même si Dashlane les propose aussi par exemple. Comme son nom l’indique, on peut créer et stocker ici tout un ensemble de notes écrites, que l’on pourra classer selon plusieurs catégories, chacune disposant d’une couleur.

Par défaut, LastPass collecte automatiquement tous les codes Wi-Fi qui ont été utilisés sur les appareils synchronisés par le même compte. Pratique, mais on pourra stocker bien d’autres informations : cartes bancaires, comptes emails, permis de conduire, clés SSH, passeports ou encore clés de produits pour les logiciels, avec la possibilité d’ajouter une pièce jointe à chaque fois. Le chiffrement se fait là encore en AES-256.

La zone Formulaires est de son côté assez classique. On y définit une fiche d’identité contenant un certain nombre de champs. Sur un site web, quand il devra compléter un formulaire, l’utilisateur pourra alors choisir celui qu’il veut appeler. LastPass fera alors de son mieux pour détecter les champs et les remplir automatiquement.

La fonction donne de bons résultats dans la plupart des cas, mais il y a des ratés, notamment quand le code de la page contient des erreurs, le gestionnaire s’emmêlant alors les pinceaux, en plaçant par exemple le nom de la ville dans le champ du code postal.

lastpasslastpass

Enfin, le centre de partage est une fonction qui ne servira pas à tout le monde. Dans la plupart des cas, l’utilisateur possède sa propre machine et gèrera donc son gestionnaire selon son propre gré. Mais s’il s’agit d’une machine partagée ou dans si l’on souhaite déléguer un accès à une autre personne, le centre permettra d’expédier un mot de passe ou même une collection à une ou plusieurs personnes. On peut également définir des dossiers dans lequel seront rangés les mots de passe partagés, LastPass permettant de revoir les accès à n’importe quel moment.

Notez que cette fonctionnalité est complétée par l’Accès d’Urgence. Il se paramètre depuis un lien en barre latérale. On peut y définir un accès temporaire complet pour un proche ou un membre de la famille, qui aura accès à la totalité du Coffre-Fort. L’utilisateur peut définir quand ces personnes peuvent y accéder. Notez que cet accès peut être créé avant et déclenché ensuite à l’envie.

Applications mobiles : clients et Authenticator

LastPass possède deux types d’applications mobiles : le gestionnaire lui-même et l’Authenticator. On a beaucoup parlé du second depuis le début de l’année. Il s’agit d’une application que l’on retrouve sur Android, iOS et Windows Phone et qui permet de fournir des codes à six chiffres dans le cas d’un accès au Coffre-Fort protégé par la double-authentification.

Plus récemment, cet Authentificator a été mis à jour pour lui faire bénéficier de deux améliorations. D’une part, la possibilité sur Android et iOS de se passer du code pour simplement réagir à la notification reçue, ce qui simplifie d’autant la connexion. D’autre part, l’élargissement de la prise en charge à d’autres services du genre, notamment ceux qui acceptent le Google Authenticator. Dans ce cas, le code à six chiffres et la validation de notification sont acceptées. L’application est gratuite et ne réclame pas d’abonnement.

Ce qui n’est pas le cas du gestionnaire, comme nous l’indiquions au début. L’application LastPass a des chances de déclencher l’envie d’un abonnement, et c’est sur ce point que se fonde une bonne partie du modèle commercial. Car si vous utilisez LastPass sur votre ordinateur, un nombre croissant de sites se retrouvera avec de longs mots de passe forts, complexes à entrer manuellement. Si vous vous rendez sur ces sites depuis un smartphone ou une tablette, l’authentification risque donc d’être pénible.

Ici, pas de mystère : si vous souhaitez utiliser les mots de passe définis par LastPass depuis votre appareil mobile, il faudra payer l’abonnement Premium, soit 12 dollars par an. Notez que l’on peut acheter jusqu’à dix ans d’un coup, mais que LastPass n’applique aucune réduction. Une fois le paiement effectué, la synchronisation peut s’étendre à un nombre illimité d’appareils. L’application donne alors accès à l’ensemble des mots de passe, dès que le compte a été renseigné. Sur les appareils compatibles, LastPass peut exploiter l’empreinte digitale pour déverrouiller ultérieurement l’accès.

Le fonctionnement de l’application passe par un navigateur intégré. On appuie alors sur un site puis sur « Lancer » et la page correspondante s’ouvre avec les champs d’authentification pré-remplis. Du moins dans la plupart des cas, car il y aura là aussi quelques ratés. Pour le reste, l’application dispose de la plupart des fonctionnalités du client classique, les notes sécurisées et formulaires étant disponibles.

lastpasslastpasslastpasslastpass

LastPass : d'indéniables forces, mais également des faiblesses

Globalement, LastPass est un bon gestionnaire de mots de passe, plus simple à prendre que par le passé, mais dont l’interface encore assez austère pourrait rebuter les débutants. Les fonctionnalités sont pourtant bien présentes, l’ensemble étant organisé de manière assez pratique pour convenir à la majorité des usages. On reste néanmoins dans ce que l'on attend d'un gestionnaire, et LastPass ne fait pas vraiment dans l'originalité.

Par ailleurs, LastPass n’est pas exempt de défauts, ou tout du moins pourrait être amélioré sur plusieurs points. L’entreprise a ainsi été attaquée à plusieurs reprises, la dernière remontant à juin 2015. À chaque fois, la société a demandé à ses utilisateurs de modifier le mot de passe maître. Certains considèrent d’ailleurs que changer le mot de passe maître ne devrait pas – hors exception – être autorisé, mais LastPass le permet. On peut ainsi le faire en se rendant simplement dans les paramètres, tout en bas de la barre latérale. 

Sur la question de la sécurité des données, il n’a été fait mention d’aucune fuite d’informations personnelles malgré ces attaques. Pourtant, LastPass n’est pas un produit open source, ce qui posera parfois problème, les recommandations de la CNIL étant très claires sur ce point. Par ailleurs, l’éditeur indique procéder à des audits réguliers de sécurité via des sociétés tierces, mais les résultats ne sont pas disponibles publiquement. Un manque de transparence qui, là encore, en agacera certains.

Si ces points ne vous gênent pas, les principales limites de LastPass se rencontreront, comme tous les autres gestionnaires de mots de passe, sur le terrain de la compatibilité. Certains sites ne seront ainsi pas pris en charge, mais il peut s’agir d’un choix assumé de l’éditeur. Cette question de compatibilité se retrouvera également dans d’autres fonctions, particulièrement celle pour changer automatiquement le mot de passe d’un site : non seulement elle n’est disponible que pour certains d’entre eux, mais elle peut également échouer, comme ce fut par exemple le cas pour nous sur Tumblr.

Évoquons enfin un problème manifeste et qui nous semble indigne de ce type de produit, particulièrement quand on propose une formule Premium payante : une traduction erratique. Il n’est pas normal qu’une interface puisse proposer de changer par exemple des « old mots de passe ». 

Ceux qui souhaitent se lancer sur LastPass pourront récupérer la mouture qui les intéresse depuis la page des téléchargements.

Notre dossier sur la gestion des mots de passe :


chargement
Chargement des commentaires...