Paranoïa ? LastPass remet à zéro les mots de passe

Le par  |  12 commentaire(s)
Cadenas

Le service de gestion de mots de passe suspecte une intrusion dans ses serveurs et préfère par précaution réinitialiser les mots de passe maîtres des utilisateurs.

CadenasAttaque ou pas attaque ? LastPass a en tout cas constaté quelque chose d'étrange dans ses logs. LastPass est un service gratuit de gestion des mots de passe qui permet de remplir de manière automatique les formulaires de connexion aux pages Web via un plugin pour navigateur. L'utilisateur n'a ainsi qu'à retenir un seul mot de passe pour se connecter au service ( voir vidéo en fin d'actualité ).

LastPass a remarqué mardi des anomalies sur son trafic réseau sans véritablement pourvoir en déterminer la cause. Comme l'une des ces anomalies a touché ses bases de données ( plus de trafic a été envoyé comparé à ce qui a été reçu sur le serveur ), LastPass assume son côté paranoïaque  ( effet Sony ? ) et de pousser les utilisateurs à changer leur mot de passe maître.

La possibilité existe en effet d'un vol d'adresses e-mails et de hashes de mots de passe salés. Même si LastPass estime que les hashes résisteront à une attaque par force brute, pour les mots de passe à la robustesse très faible, une attaque par dictionnaire pourrait réussir. LastPass présente donc ses excuses et oblige tout le monde à changer de mot de passe.

" Nous avons conscience que c'est peut-être une réaction exagérée et nous nous excusons pour la gêne que cela va occasionner, mais nous préférons être paranoïaques et légèrement dérangeants plutôt que d'être encore plus désolés plus tard "

, déclare LastPass qui va prochainement renforcer ses mesures de chiffrement.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patheticcockroach Hors ligne VIP 7663 points
Le #776501
Dans sécurité, il y a confidentialité, intégrité et disponibilité. Là il y a "peut-être possiblement" (probabilité = 0.01%? 0.00001%?) rupture de confidentialité, et pour cela on crée volontairement (probabilité = 100%) des soucis de disponibilité. Les nuisances du culte du risque zéro dans toute leur splendeur... Et si on laissait aux utilisateurs le pouvoir de faire eux-mêmes le choix des risques qu'ils prennent, pour une fois?
Le #776591

"probabilité = 0.01%? 0.00001%?"


Ce que vous savez de source sûre.
patheticcockroach Hors ligne VIP 7663 points
Le #776611
@Elyia: la probabilité est inconnue mais faible. C'était purement à titre illustratif. Pardon si ça te dépasse. Désolé aussi d'avoir employé une ponctuation qui te semble inconnue.
Par ailleurs, d'après la news en gros les seuls utilisateurs qui devraient éventuellement s'inquiéter sont ceux dont le mot de passe est peu robuste. C'est-à-dire encore une fois pas tout le monde. En résumé, on embête tout monde parce que peut-être qu'il y a un risque pour les rigolos dont le mot de passe est "password".
Le #776641
patheticcockroach >
Dans tous les cas c'est une bonne chose de changer ses pass de temps en temps et les utilisateurs de LastPass sont des utilisateurs qui sont plutôt sensibles à la sécurité et seront donc plutôt content de voir que le service est assez "parano"
Le #776661

"la probabilité est inconnue"


Vous progressez.


"mais faible"


Ah, non, en fait. Faudrait savoir : elle est inconnue, ou elle est faible ?
patheticcockroach Hors ligne VIP 7663 points
Le #776671
@Luchy: oui, tout à fait d'accord je suppose même que la décision d'imposer le reset des mots de passe relève en partie d'un coup de com' en ce sens.

@Elyia: ne pas connaître le valeur précise ne signifie pas ne pas connaître son ordre de grandeur. Par ailleurs il y a 2 éléments à prendre en compte: 1) la probabilité que les hashes aient été piqués et 2) à titre individuel la probabilité que le hash soit vulnérable à une attaque (qu'elle soit par dictionnaire ou autre). Si la première reste floue en dehors de son ordre de grandeur, la seconde pour un utilisateur donné est relativement limpide. Si mon mot de passe est "*wucre9&uVuvane£recuv%yacaz+cUd9eRuswuST5fakes5a44" elle tend vers zéro (en gros la proba d'une collision), alors que si mon mot de passe est "1234" elle tend vers 1 (mais probablement que c'était déjà tout autant vulnérable même quand mon hash était pas dans la nature).
Le #776691

"ne pas connaître le valeur précise ne signifie pas ne pas connaître son ordre de grandeur."


Le problème, c'est que vous ne connaissez pas non plus l'ordre de grandeur (vous le faites varier d'un facteur mille dans votre première intervention).

Evitez donc de prétendre le contraire, surtout de fonder votre raisonnement dessus : toute la confiture que vous ajouterez ne donnera jamais une bonne tartine si elle est posée sur du mauvais pain.
patheticcockroach Hors ligne VIP 7663 points
Le #776741
@Elyia: pour un matheux psychorigide, vous êtes étonnament peu doué pour multiplier 2 probabilités entre elles. Proba que les hash aient été piqués * proba qu'à titre personnel mon hash soit vulnérable = la proba qui compte. En sachant que la première est comprise entre 0+ et 1- (oui, je me rends compte qu'il y a encore un facteur 10000 avec la pseudo borne haute de l'ILLUSTRATION que j'ai initialement utilisée et à laquelle vous êtes tant attaché ) et que la seconde est +/- connue par l'utilisateur (fonction de la complexité du mot de passe), la 3e est dans certaines conditions estimable de façon satisfaisante (inférieure à la 2e). A savoir si mon mot de passe est "*wucre9&uVuvane£recuv%yacaz+cUd9eRuswuST5fakes5a44" il n'est pas nécessaire de le changer là maintenant tout de suite. Si mon mot de passe est "1234" en revanche je ne peux pas conclure donc il est sans doute plus raisonable de changer de mot de passe vite fait. Cela dit comme mon mot de passe est 1234 probablement que je m'en fiche qu'il soit vulnérable, pour commencer...
Le #776761

"ILLUSTRATION"


Mal choisie.


"la 3e est dans certaines conditions estimable de façon satisfaisante"


Une des conditions nécessaires étant de connaître les valeurs des deux autres, vous êtes mal barré.

Pourquoi n'admettez-vous pas que vous avez sorti un chiffre de votre chapeau uniquement pour pouvoir gueuler un coup contre les administrateurs de LastPass et les lusers hypothétiques ? C'est certes stérile, mais ça fait du bien et il n'y a pas de mal à ça.

Et c'est dans tous les cas moins pathétique que de répondre par des attaques personnelles ; le psychorigide illettré vous salue bien.
patheticcockroach Hors ligne VIP 7663 points
Le #778221
"Une des conditions nécessaires étant de connaître les valeurs des deux autres, vous êtes mal barré."
La condition nécessaire est que la seconde, qui est facilement estimable (complexité du mot de passe), soit suffisament faible. Pas besoin dans ce cas de connaître de la première plus de détails que "elle est inférieure ou égale à 1", ce qui devrait être facile à vérifier...

Bon, sinon reçu ce matin de LastPass:
"[...]
As you know, LastPass does not have access to your master password or your confidential data. To further secure your account, LastPass now requires you to verify your identity when logging in. You will be prompted to validate your email if you try to log in from a new location. This prompt will continue to appear until you change your master password or indicate that you are comfortable with the strength of your master password.
[...]"
Donc contrairement à ce qui est indiqué dans les titre et sous-titre de la news il n'est pas obligatoire de changer son mot de passe... Donc on oublie le culte du risque zéro-toussa...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]