LastPass, le gestionnaire de mots de passe, a récemment été victime de sa deuxième violation de sécurité cette année, mais un expert affirme que les gestionnaires de mots de passe offrent toujours les meilleurs avantages en termes de protection. Même en cas de violation, les gestionnaires de mots de passe disposent de systèmes de cryptage complexes qui peuvent encore vous protéger.
Alors que les violations de données deviennent de plus en plus courantes, les experts en cybersécurité suggèrent d’utiliser des mots de passe uniques et complexes pour chaque site. Le suivi de ces mots de passe peut rapidement devenir une corvée, c’est pourquoi les gestionnaires de mots de passe entrent en jeu pour les générer, les stocker et les gérer facilement. Mais que se passe-t-il lorsque, ironiquement, votre gestionnaire de mots de passe lui-même est victime de violations de données ?
La semaine dernière, le gestionnaire de mots de passe populaire LastPass a annoncé qu’il avait subi sa deuxième violation de sécurité en 2022. « Nous avons déterminé qu’une partie non autorisée, utilisant des informations obtenues lors de l’incident d’août 2022, a pu accéder à certaines informations de nos clients », a écrit le PDG Karim Toubba dans un billet de blog de l’entreprise, faisant référence à un incident antérieur survenu pendant l’été. Lors de cette violation, une partie non autorisée « a pris des parties du code source et certaines informations techniques exclusives de LastPass ».
LastPass n’est certainement pas le seul gestionnaire de mots de passe auquel les pirates ont réussi à accéder d’une manière ou d’une autre.
Alors, devons-nous faire confiance aux gestionnaires de mots de passe ou revenir à l’habitude d’écrire tous nos identifiants sur une feuille de papier ?
Tout expert en cybersécurité vous expliquera qu’un gestionnaire de mots de passe reste la meilleure option malgré les dernières nouvelles. « Même s’ils sont susceptibles d’être violés, ils restent l’un des meilleurs moyens de gérer vos mots de passe personnels ».
Les avantages d’un outil capable de générer automatiquement des mots de passe forts en votre nom et de les saisir pour vous lorsque vous accédez à des sites spécifiques augmentent considérablement la sécurité de ces sites individuels. De plus, si ces mots de passe sont ensuite stockés de manière cryptée, comme le fait LastPass sur ses serveurs, les mots de passe restent suffisamment forts et complexes, ce qui « minimise le risque qu’un pirate puisse inverser le cryptage et obtenir les mots de passe en clair ».
Lors des deux violations survenues cette année chez LastPass, l’entreprise a déclaré que les données des clients et les coffres-forts de mots de passe cryptés n’avaient pas été compromis. La question reste tout de même de savoir que faire si vous êtes victime d’une violation de données. Et comment savoir si vous avez été touché par une violation de données ?
Comme pour tout incident de violation de données, la première mesure à prendre consiste à modifier son mot de passe. Qu’il ait été confirmé ou non que les mots de passe ont été compromis, une fois que vous avez procédé au changement, le « mot de passe crypté » détenu par les malveillants devient inutile. Il est vivement recommandé d’utiliser une « phrase de passe robuste et unique » pour chaque mot de passe, en particulier pour un gestionnaire de mots de passe où vous n’avez qu’un seul mot de passe à retenir.
Après avoir effectué ces modifications, les utilisateurs devraient vérifier le « score de sécurité » affiché dans le tableau de bord de sécurité de leur gestionnaire de mots de passe et envisager les ajustements à apporter afin d’améliorer ce score. La plupart des solutions de gestion des mots de passe proposent des paramètres similaires, permettant aux utilisateurs d’évaluer l’impact global de leurs informations d’identification sur leur sécurité.
Malheureusement, il arrive que les utilisateurs ne se rendent pas compte qu’ils ont été victimes d’une violation de données. Pour déterminer rapidement si votre adresse e-mail ou votre numéro de téléphone ont été compromis, il est possible d’utiliser un site web populaire d’agrégation de violations, tel que https://monitor.firefox.com/. Des services de surveillance payants sont également disponibles, fournissant des alertes en temps réel aux utilisateurs concernant toute situation problématique. Les utilisateurs de gestionnaires de mots de passe devront peut-être accéder aux paramètres de leur compte et activer des fonctionnalités spécifiques pour recevoir des alertes concernant les violations de données liées à leur adresse e-mail.
Il est important de prendre chaque violation au sérieux, même si on vous a assuré qu’aucune information d’identification n’a été compromise. À chaque incident, il convient d’agir avec précaution afin de sécuriser tous les comptes susceptibles d’avoir été touchés. Assurez-vous d’utiliser l’authentification multi-facteurs et configurez des mots de passe solides et complexes pour tous les services qui le permettent, y compris votre gestionnaire de mots de passe.