Gestionnaires de mots de passe : un travail en cours malgré leur popularité
Fin 2022, LastPass a signalé un autre incident de sécurité, et alors que nous marquons une journée pour changer les mots de passe, Dan Raywood se demande si un autre logiciel de cybersécurité avait subi autant d'incidents de sécurité, les utilisateurs l'auraient-ils abandonné maintenant ?
Fin 2022, le fournisseur d'authentification LastPass a informé les utilisateurs et le monde entier d'un incident de sécurité où « une partie non autorisée a eu accès à un service de stockage tiers basé sur le cloud, que LastPass utilise pour stocker des sauvegardes archivées de… données de production ».
L'incident a fait la une des journaux du monde entier, notamment de Câble, qui a vivement critiqué les actions de LastPass – ou, pour être plus honnête – son manque de réponse aux questions essentielles, l'accusant de ne pas fournir « d'informations supplémentaires aux clients confus et inquiets ».
Violation de LastPass : quoi, quand et comment
L’incident s’est produit lorsqu’un acteur malveillant a accédé à un environnement de stockage basé sur le cloud, en exploitant les informations obtenues lors d’un incident qu’il avait précédemment divulgué en août 2022. « Bien qu’aucune donnée client n’ait été consultée lors de l’incident d’août 2022, certains codes sources et informations techniques ont été détectés. volé dans notre environnement de développement et utilisé pour cibler un autre employé, obtenant des informations d'identification et des clés qui ont été utilisées pour accéder et déchiffrer certains volumes de stockage au sein du service de stockage basé sur le cloud », a déclaré LastPass dans son communiqué.
Ces deux incidents liés ne sont pas la première fois que LastPass fait la une des journaux sur la sécurité. De retour 2015, la société a alerté les utilisateurs d'une « activité suspecte sur notre réseau », où « les adresses e-mail du compte LastPass, les rappels de mot de passe, les sels de serveur par utilisateur et les hachages d'authentification ont été compromis ».
Cela n'a pas pour but de cibler LastPass, car d'autres fournisseurs de gestionnaires de mots de passe en ont souffert. incidents de sécurité dans le passé, mais il s’agit plutôt de savoir si les gestionnaires de mots de passe seront adaptés à leurs besoins en 2023. Après tout, si un autre logiciel de cybersécurité avait subi autant d’incidents de sécurité, les utilisateurs l’auraient-ils déjà abandonné ?
Faut-il faire confiance aux gestionnaires de mots de passe ?
Dans une récente Sondage Twitter, nous avons demandé si, malgré des violations comme celle subie par LastPass, les utilisateurs considéreraient toujours un gestionnaire de mots de passe comme la meilleure méthode pour stocker les mots de passe en toute sécurité. Dans notre sondage, 96 personnes ont répondu, et 85 pour cent ont convenu que c'était la meilleure option. Les commentaires que nous avons reçus disaient que « la théorie derrière son fonctionnement est encore pour l'essentiel valable », car les coffres-forts sont toujours cryptés avec le mot de passe principal de l'utilisateur. Les options autour des gestionnaires de mots de passe varient entre locaux et basés sur le cloud, bien qu'il s'agisse « d'une option intéressante qui peut permettre d'économiser beaucoup de temps [et] de tracas, et qui est meilleure que de réutiliser des mots de passe ou simplement d'en choisir de mauvais ».
Per Thorsheim, fondateur de PasswordsCon, a déclaré que « la réponse très simple est oui, car les gestionnaires de mots de passe sont bons, et je les recommande absolument » lorsque nous lui avons demandé s'il pensait que les gestionnaires de mots de passe restaient la meilleure option malgré le nombre de violations que nous avons commises. avoir vu.
Cependant, Thorsheim met en garde contre le nombre de gestionnaires de mots de passe, car il estime que « bon nombre d'entre eux sont de l'huile de serpent en termes de sécurité, peuvent être coûteux et l'expérience utilisateur n'est peut-être pas aussi simple qu'on pourrait s'y attendre. .
Thorsheim a également déclaré qu'« un gestionnaire de mots de passe n'a pas besoin d'être une application distincte, multi-appareils ou de fournir une synchronisation multi-cloud instantanée entre les appareils. Un gestionnaire de mots de passe peut aussi être aussi simple qu'un cahier dans le tiroir de votre cuisine, en utilisant le bon vieux crayon pour y faire ces entrées importantes.
Bien entendu, nous parlons ici du format d’application d’un gestionnaire de mots de passe. Il existe un argument selon lequel un carnet de mots de passe écrits dans un endroit sécurisé de votre maison est plus sécurisé que n’importe quelle version numérique. Néanmoins, pour déterminer si les gestionnaires de mots de passe sont plus sécurisés, j'ai demandé à Wendy Nather, responsable du conseil RSSI chez Cisco, ce qu'elle pensait de leur état de sécurité.
Elle les appelle « un premier effort visant à placer une interface programmatique entre l'utilisateur et le système », qui est imparfaite mais peut protéger l'utilisateur du problème de mot de passe et peut être améliorée. Nather admet que nous en sommes actuellement aux premiers jours de la protection et de la protection de l'utilisateur dans le processus d'authentification. Technologies et normes sans mot de passe comme FIDO2 sont adoptés, et nous « constatons plus d’améliorations, de fiabilité et de cohérence, et tout ce qui manque à l’utilisateur, c’est de cohérence ».
On voit désormais souvent de nombreux navigateurs proposer d’enregistrer un mot de passe. Bien qu'il s'agisse d'une autre méthode potentielle d'activation d'une violation, une fonctionnalité est également ajoutée pour garantir que l'utilisateur est averti de l'endroit où ses mots de passe peuvent avoir été interceptés. violation de données.
Les gestionnaires de mots de passe constituent un pas en avant par rapport à leur écriture et à leur dépôt dans un endroit accessible ou même sur une autre application ou à l'utilisation du même mot de passe pour chaque service. Pourtant, il est clair qu’il s’agit d’un travail en cours en ce qui concerne leur sécurité globale. Thorsheim dit qu'il s'agit de les utiliser correctement, et "cela inclut de leur permettre de générer un mot de passe aléatoire pour chaque site Web que nous avons".
Pourtant, comme les gestionnaires de mots de passe disposent de différentes options pour sécuriser vos données et votre compte, Thorsheim a déclaré qu'il appartient souvent à l'utilisateur « de comprendre, configurer et utiliser bon nombre de ces options, et la plupart des gens ne lisent pas le manuel, et ils en sont sûrs. ne modifiez aucun paramètre par défaut ! »
Cela l'a amené à dire que trop d'utilisateurs ne comprennent pas comment ils utilisent un gestionnaire de mots de passe dans le navigateur, et que le principal problème est « la façon dont vous les utilisez est plus importante que celui que vous choisissez d'utiliser, à mon avis ».
Il se peut que les gestionnaires de mots de passe soient une technologie émergente dans la mesure où ils sont bien développés pour un usage public. Comme ils sont conviviaux sans instruction, alors que les entreprises qui les développent sont soumises aux mêmes attaques que tous les autres terminaux dans le monde. En fin de compte, ils constituent un trésor d’accès pour un acteur menaçant, et il est tout à fait logique qu’ils soient ciblés.
Bien que les violations durent depuis de nombreuses années, certaines plates-formes ont été affectées et d'autres mettent constamment en œuvre des protections pour garantir leur capacité à survivre à une violation de données ou à une attaque ciblée. Nous devons être réalistes quant au niveau de sécurité supplémentaire qu’ils offrent pour l’utilisation des mots de passe. Pendant trop longtemps, les gens ont réutilisé leurs mots de passe et se sont vu demander de changer leur mot de passe après un incident de sécurité ; à l'occasion de la Journée nationale du changement de mot de passe, il est peut-être temps de changer votre façon de penser les gestionnaires de mots de passe : utilisez-les, comprenez comment ils fonctionnent et en quoi vous êtes mieux avec eux que sans eux.
Renforcez la sécurité de vos informations dès aujourd'hui
Si vous souhaitez commencer votre voyage vers une meilleure sécurité des informations, nous pouvons vous aider.
Notre solution ISMS permet une approche simple, sécurisée et durable de la sécurité des informations et de la gestion des données avec ISO 27001 et plus de cinquante autres frameworks. Réalisez votre avantage concurrentiel dès aujourd’hui.
