Lastpass hack et gestionnaire de mots de passe

[elma]

Il me semblait qu'il y avait un topic sur ça...j'ai pas retrouvé. On refait le point ? C'est que les cryptos font souvent appel aux mots de passe et autre 2fa (on peut parler d'Authy et de son hack aussi) et c'est souvent assez critique, c'est pas comme perdre le mot de passe de la médiathèque du village où j'habite.

Pour rappel, Lastpass permet de sauvegarder tous ses mots de passe dans un coffre-fort stocké dans le cloud (hébergé par Lastpass). Il y a un mot de passe maître qui permet d'encrypter tous les mots de passe.
Ils sont donc stockés cryptés.
Lastpass s'est fait hacké sa base de données clients avec les url des sites pour lesquels il y a un mot de passe stocké.
A priori, il n'y a pas trop péril en la demeure si votre mot de passe maître est fort. Mais il y a des chances que beaucoup de monde ait choisi un mot de passe assez faible vu qu'il est souvent utilisé j'imagine (il doit falloir déverrouillé à chaque accès à un mot de passe, non ?) et en plus certains ont dû se dire que c'était en sécurité chez Lastpass.
Je vois bien les hackers cibler les comptes avec des url pointant vers des sites crytpos.

Quel est votre méthode pour vos mots de passe ?

Pour ma part:
- mot de passe courants et sans trop de risques financiers: j'utilise le gestionnaire de mots de passe de mon navigateur (Brave) + doublage avec bitwarden (stockage en local). Régulièrement, je fais un export de mes mots de passe Brave sur clé usb (clé usb cachée). Je ne fais pas confiance à Brave, il m'a perdu tous les mots de passe une fois ou deux.
- mots de passe critiques et infos importantes (crypto/email...): j'utilise le gestionnaire de mots de passe KeypassXC avec mot de passe maître fort avec exportation de la base de données sur clé usb régulièrement.

Je ne fais aucunement confiance au stockage dans le cloud, je reste en local. Un peu comme l'adage crypto "not your keys, not your coins", mes mots de passe sont chez moi.

[LeGaulois]

Crypto ou pas, on pourra dire que 2022 aura été une année noire sur les piratages.
Méme la CPAM, WTF!

Juste pour dire que ca utilise le protocole Zero Knowledge (preuve à divulgation nulle de connaissance), ce qui fait que les données (MDP et autres trucs) ne peuvent être déchiffrés qu’avec une clé de cryptage unique dérivée du mot de passe maître. Et celui ci n'est pas stocké dans un cloud étant donné que le chiffrement/déchiffrement se fait au niveau de ton appareil.

En vérité le risque est minime (mais pas inexistant) si la personne a choisit le mot de passe maître assez fort. Les risques se situent plutôt sur les tentatives de phishing (étant donné que les URLs ne sont pas chiffrées), ou si ces bandits réussissent a croiser ces données avec d'autres bases de données récupérées ailleurs

Les cryptographes continuent de tester et chercher des failles sur la norme AES.
Ainsi des attaques related-key attacks ou side-channel attack.
Dans cette dernière, l’attaquant écoute le son, les informations de synchronisation, les informations électromagnétiques ou la consommation d’énergie afin de recueillir des inférences de l’algorithme qui peuvent ensuite être utilisées pour le casser.

Actuellement, AES est toujours considéré comme sûr.
On peut donc continuer de l’utiliser pour sécuriser l’échange de données sensibles.

Le problème vient plutôt dans le choix de la clé de chiffrement.
Tant que vous choisissez une clé forte, AES-256 gardera vos fichiers en sécurité. Selon cette page Wikipédia, la meilleure attaque contre AES a été publiée en 2011 et pour casser AES-256, il fallait encore 2 ^ 254,4 opérations.

Il reste toutefois possible de casser par une attaque par bruteforce les mots de passe faibles

https://www.malekal.com/quest-ce-que-le-chiffrement-aes-et-comment-ca-marche/#AES_est-il_encore_sur

Je vais continuer de l'utiliser, je vais juste changer mon MDP maitre qui je l'avoue est faible et ne résisterait pas longtemps à une attaque par brute force. Ca sera ma bonne résolution de début d'année...

il doit falloir déverrouillé à chaque accès à un mot de passe, non ?

Pas spécialement. Tu peux régler pour que ton coffre se déconnecte au bout de xx minutes, ou tu peut choisir de ne jamais le déconnecter (c'est ce que je vais).

[elma]

Je vais continuer de l'utiliser, je vais juste changer mon MDP maitre qui je l'avoue est faible et ne résisterait pas longtemps à une attaque par brute force. Ca sera ma bonne résolution de début d'année...

Du coup, si j'ai bien compris, tu utilises Lastpass.
Changer le mot de passe maître va ré-encrypter tous tes mots de passe  stockés ou juste les nouveaux ?

[LeGaulois]

Je vais continuer de l'utiliser, je vais juste changer mon MDP maitre qui je l'avoue est faible et ne résisterait pas longtemps à une attaque par brute force. Ca sera ma bonne résolution de début d'année...

Du coup, si j'ai bien compris, tu utilises Lastpass.
Changer le mot de passe maître va ré-encrypter tous tes mots de passe  stockés ou juste les nouveaux ?

oui je l'utilise.

Tous.
Autrement tu ne pourrais plus avoir accès aux vieux MDPs, puisque tu ne pourrais plus prouver mathématiquement le défi/réponse
Ca serait dommage de perdre tout  chaque fois que le MDP maitre est changé

[F2b]

Il me semblait qu'il y avait un topic sur ça...j'ai pas retrouvé.

Ici peut-être ? (c'est le seul dont je me souviens... et il m'a fallu un moment pour le retrouver. Oui, je sais, j'ai rien de mieux à faire.)

Bon en tout cas, ça fait des années que je dois passer sur un (vrai) gestionnaire de mdp, et je me le dis de plus en plus ces derniers mois... mais je n'ai toujours pas franchi le pas. Procrastination, quand tu nous tiens...
En attendant, j'utilise le truc intégré à Chrome, avec backup sur papier.

@elma j'aime bien ton approche, je garde ça dans un coin de ma tête.
Sinon il existe pas des gestionnaires qui se synchronisent en P2P ? Ou au pire (ça c'est sûr ça existe) un gestionnaire où les mdp sont stockés (chiffrés bien sûr) sur un serveur dont tu as le contrôle au lieu d'un truc centralisé ? (mais dans ce cas faut être carré niveau sécurité)

[elma]

Il me semblait qu'il y avait un topic sur ça...j'ai pas retrouvé.

Ici peut-être ? (c'est le seul dont je me souviens... et il m'a fallu un moment pour le retrouver. Oui, je sais, j'ai rien de mieux à faire.)

Bon en tout cas, ça fait des années que je dois passer sur un (vrai) gestionnaire de mdp, et je me le dis de plus en plus ces derniers mois... mais je n'ai toujours pas franchi le pas. Procrastination, quand tu nous tiens...
En attendant, j'utilise le truc intégré à Chrome, avec backup sur papier.

@elma j'aime bien ton approche, je garde ça dans un coin de ma tête.
Sinon il existe pas des gestionnaires qui se synchronisent en P2P ? Ou au pire (ça c'est sûr ça existe) un gestionnaire où les mdp sont stockés (chiffrés bien sûr) sur un serveur dont tu as le contrôle au lieu d'un truc centralisé ? (mais dans ce cas faut être carré niveau sécurité)

Je ne sais pas ce que tu entends par P2P (pour moi moi le P2P c'est Emule en 2010 ).
En tout cas, KeypassXC peut être synchronisé entre différents appareils grâce au cloud: https://phokopi.fr/posts/gestionnaire-de-mots-de-passe-synchronise/#cr%C3%A9ation-dune-base-de-mots-de-passe-keepassxc.
Bitwarden permet ça aussi: https://korben.info/bitwarden-gestionnaire-mots-passe-heberger-vous-meme.html
Mais comme déjà dit, je reste éloigné de tout stockage en ligne même si un mot de passe maître fort doit empêcher tout vol de données.

[F2b]

Je ne sais pas ce que tu entends par P2P (pour moi moi le P2P c'est Emule en 2010 ).

Que les appareils se synchronisent entre eux sans passer par un serveur centralisé. Mais après réflexion ça m'a pas l'air terrible comme idée

Merci pour le reste de ta réponse, c'est précisément ce dont je parlais. Après, on est d'accord que pour les mdp importants c'est mieux d'éviter le stockage en ligne, mais bon c'est quand même bien pratique d'avoir ses mots de passe partout, et si le mdp maître est suffisamment fort normalement ça va.



Edit 18/03/23: Note à moi-même pour quand je reviendrai lire ce thread: ok, faut tester ces deux-là (Bitwarden / KeepassXC). Pour Bitwarden en auto-hébergé, utiliser vaultwarden côté serveur.

[paid2]

A priori, il n'y a pas trop péril en la demeure si votre mot de passe maître est fort. Mais il y a des chances que beaucoup de monde ait choisi un mot de passe assez faible vu qu'il est souvent utilisé j'imagine (il doit falloir déverrouillé à chaque accès à un mot de passe, non ?) et en plus certains ont dû se dire que c'était en sécurité chez Lastpass.
Je vois bien les hackers cibler les comptes avec des url pointant vers des sites crytpos.

Au sujet du hack de wallets en cours :

Quelqu'un a peut-être trouvé une explication qui tient la route.

https://twitter.com/PabloSabbatella/status/1648426382509346816

Seems to me users stored seed phrases in some kind of cloud storage or password manager that got hacked (lastpass?). Seems the most simple answer.

Il y a de bonnes chances que tu aies eu raison elma 

[F2b]

(pour moi moi le P2P c'est Emule en 2010 )

Et Bitcoin en 2009 Non vraiment, le peer to peer, c'est dépassé


Plus sérieusement, je commence enfin à me pencher sur la question des gestionnaires de mdp (c'est pas trop tôt !), et du coup il y a 2/3 choses qui me viennent en tête auxquelles je n'avais pas pensé.

Bon déjà, j'imagine que vous utilisez les mdp générés automatiquement par le gestionnaire de mdp (ie. des trucs bien aléatoires et bien longs), je me trompe ? Y a-t-il des cas dans lesquels vous utilisez encore vos propres mdp ?
Je pense par exemple au compte Microsoft : si vous l'utilisez pour déverrouiller votre Windows, impossible d'utiliser le gestionnaire de mdp.

Autre question : y a-t-il un moyen de gérer (relativement facilement) les situations où l'on utilise une autre machine que la sienne ? Là comme ça je ne vois pas (à part copier des dizaines de lettres aléatoires à la main), mais peut-être qu'il existe une solution.

[patrickus]

Bon déjà, j'imagine que vous utilisez les mdp générés automatiquement par le gestionnaire de mdp (ie. des trucs bien aléatoires et bien longs), je me trompe ?

J'utilise effectivement pas mal de mdp générés automatiquement, en particulier pour les sites importants (les exchanges par exemple)

Y a-t-il des cas dans lesquels vous utilisez encore vos propres mdp ?

oui :
- pour les sites pas importants
- pour Microsoft
- pour les rares sites que j'utilisent via mon mobile, par exemple le site de la SNCF.

y a-t-il un moyen de gérer (relativement facilement) les situations où l'on utilise une autre machine que la sienne ?

Bizarrement je n'ai jamais eu à le faire.


J'ajoute que mes seeds ne sont pas dans mon gestionnaire de mdp, évidemment.

[F2b]

Merci pour ta réponse.

J'ajoute que mes seeds ne sont pas dans mon gestionnaire de mdp, évidemment.

Naturellement.
Celà dit, dans le cas où l'on a une seed + une passphrase, j'ai déjà entendu dire qu'on pouvait éventuellement se servir d'un gestionnaire de mdp pour la passphrase. Cette dernière n'ayant pas toujours besoin d'être aussi bien cachée que la seed.
C'est un peu hors-sujet, mais la question mérite d'être creusée.


Bon, je n'ai toujours rien testé (ça vient, ça vient), mais je vais laisser 2/3 traces de mes recherches ici, au cas où quelqu'un (dont moi-même) passerait par là plus tard.

Dejà, comme écrit plus haut, actuellement je ne considère que KeepassXC et Bitwarden.

y a-t-il un moyen de gérer (relativement facilement) les situations où l'on utilise une autre machine que la sienne ?

Pour KeepassXC, non. La seule solution que j'ai pour le moment, c'est de générer une passphrase (avec des vrais mots), de les afficher en clair sur le PC qui a KeepassXC et de les copier à la main. Il va sans dire que qu'afficher un mdp en clair dans un lieu public par exemple, c'est pas top (en plus de ne pas être pratique).

Pour Bitwarden, vu que la base de données est synchronisée (soit chez Bitwarden, soit chez moi), il est apparemment possible d'accéder aux mdp via un simple portail web.
Bien sûr il faut s'assurer que la machine n'est pas compromise, vu qu'il faut entrer le mdp maître.


Autre précision, pour le 2FA:
- KeepassXC ne semble accepter que le 2FA via clé physique, ou via un fichier se trouvant sur la machine
- Bitwarden dans sa version gratuite n'accepte que les TOTP (Authenticator & co) et les codes envoyés par email (sinon faut payer) (Edit : il semblerait que Vaultwarden n'ait pas cette limitation et permette également d'utiliser un jeton physique)

[F2b]

Y a-t-il des cas dans lesquels vous utilisez encore vos propres mdp ?

La réponse devient beaucoup plus évidente lorsque l'on se rend compte que changer 250+ mdp, en 5 minutes par mdp, ça fait plus de 20 heures de boulot