Dès que l'on télécharge une application ou que l'on utilise un nouveau site, il est quasiment toujours nécessaire de créer un nouveau compte, avec un mot de passe associé. Le moyen le plus simple pour gérer tous ces identifiants sans recourir à la réutilisation de mots de passe faibles est de télécharger un gestionnaire de mots de passe. Ces services sont également utilisées pour d'autres fonctionnalités : génération de mots de passe sécurisés, remplissage automatique des identifiants sur les pages web, synchronisation des données entre tous les appareils, création et stockage de notes sécurisées...
- moodVersion gratuite limitée
- databaseStockage illimité
- browse_activityNotification de fuite
- lockChiffrement XChaCha20
Si vous vous êtes intéressés aux gestionnaires de mots de passe ces dernières années, vous avez sûrement vu passer des recommandations pour LastPass. Un temps plébiscité, le service a vu son image souffrir suite à des incidents de sécurité en 2022. Et, depuis, de nombreux gestionnaires offrent désormais les mêmes fonctionnalités que LastPass. Certains sont même plus avancés avec des mises à jour et ajouts plus réguliers.
Désormais, LastPass est un service assez limité dont la sécurité est remise en question, mais il existe de nombreuses alternatives, comme NordPass, Dashlane ou encore Bitwarden pour ne citer qu'eux. La bonne nouvelle, c'est qu'il est assez simple de passer d'un gestionnaire à un autre, grâce à l'export et l'import de mots de passe. On vous explique comment faire !
- moodVersion gratuite limitée
- databaseStockage illimité
- browse_activityNotification de fuite
- lockChiffrement AES-256
LastPass, un gestionnaire de mots de passe limité
Un système piraté
En août 2022, LastPass a indiqué avoir été victime d'un incident de sécurité. Selon le CEO de l'entreprise, les pirates avaient réussi à "accéder à des parties de l'environnement de développement de LastPass par le biais d'un seul compte de développeur compromis". Mais à l'époque, l'entreprise assurait qu'il n'y avait pas matière à s'inquiéter : ses environnements de développement sont séparés des environnements de production et les attaquants n'avaient pas eu accès aux informations des clients ou à leurs coffres-forts chiffrés. LastPass utilisant un modèle zero-knowledge, les mots de passe maîtres des utilisateurs ne sont de toute façon pas stockés sur leurs serveurs.
Mais, en novembre 2022, l'entreprise a de nouveau alerté sur une brèche de sécurité. Cette fois, une activité suspecte dans un service de stockage cloud tiers utilisé par LastPass, mais également les autres services de la maison mère GoTo, avait été détectée. Pire, il s'est avéré que les attaquants avaient utilisé des données récupérées lors de l'incident d'août pour pouvoir réaliser cette nouvelle attaque. Cette fois, LastPass a indiqué que les pirates avaient pu accéder à certains éléments d'informations de ses clients, tout en confirmant que les mots de passe stockés étaient en sécurité grâce à l'architecture zero-knowledge de l'entreprise.
Des données clients volées
En décembre 2022, l'entreprise a apporté des précisions supplémentaires. Les attaquants ont visé un ingénieur de l'entreprise, l'un des quatre à avoir accès aux clés de déchiffrement nécessaires pour accéder aux sauvegardes de l'entreprise stockées sur le service cloud. Ainsi, les pirates ont pu récupérer de nombreuses informations, dont des données clients : les noms des entreprises, des utilisateurs, adresses mail, numéro de téléphone et adresses IP. Ils ont également obtenu une copie de la sauvegarde des données de coffres-forts des clients, qui contiennent à la fois des données chiffrées, comme les identifiants, mots de passe et notes, et non chiffrées, comme les URL des sites associés aux identifiants stockés.
Comme le mot de passe maître n'est pas stocké par LastPass, il ne leur était pas possible de récupérer l'ensemble des informations nécessaires pour déchiffrer ces coffres. Cependant, ils avaient désormais la possibilité de tenter de les ouvrir en utilisant des mots de passe révélés lors de brèches précédentes ou à l'aide d'attaques brute force. Mais, en plus de ça, en ayant accès aux URL des sites utilisés par les clients de LastPass, ils avaient également tout le nécessaire pour tenter du credential stuffing ou du phishing pour les piéger.
Des millions de dollars de crypto-monnaies volés
En 2023, la saga ne s'est pas arrêtée là. Les vols de crypto-monnaies se multipliaient et, contrairement à d'autres attaques du genre, il ne semblait pas y avoir d'indication que le compte mail ou le numéro de téléphone des victimes aient été compromis auparavant. Les victimes elles-mêmes étaient des personnes assez au fait des bonnes pratiques de sécurité.
À force d'enquêter sur ce phénomène étrange, les chercheurs ont bien fini par découvrir un point commun entre quasiment l'ensemble des victimes : à un moment, elles avaient stocké les données liées à leurs portefeuilles de crypto-monnaies sur LastPass. À partir de là, il n'était pas compliqué d'arriver à la conclusion que l'attaque sur LastPass et le vol des coffres-forts des clients avaient permis ces attaques, et que les pirates avaient réussi à casser le chiffrement de certains coffres, notamment ceux des comptes les plus anciens, qui n'ont pas forcément profité des mesures de sécurité renforcées introduites par LastPass au fil des années.
Les premières étapes avant le transfert
S’assurer que LastPass soit à jour
Pour s'assurer que le transfert se déroulera de la meilleure façon, il est important de vérifier que LastPass est bien à jour. Pour cela, vous pouvez aller dans le menu du gestionnaire, cliquer sur "Compte" et sélectionner l'option "À propos de LastPass". Vous y trouverez plusieurs informations sur le gestionnaire, dont le numéro de version, à comparer avec les notes de mises à jour pour s'assurer que vous possédez bien la dernière version. Si ce n'est pas le cas, vous pouvez vous rendre sur le site officiel de LastPass pour télécharger la version la plus récente pour votre appareil.
Se connecter sur LastPass et exporter en format CSV
Vous pouvez exporter vos mots de passe sauvegardés sur LastPass à partir de l'extension ou de l'interface web. Pour le faire à partir de l'extension, ouvrez le menu de celle-ci et allez dans le menu Compte. Cliquez sur "Corriger un problème par vous-même" et sur "Exporter les éléments du coffre-fort". Enfin, choisissez "Exporter les données à utiliser ailleurs".
Si vous souhaitez passer par l'interface web, dans votre extension de navigateur LastPass, cliquez sur le bouton pour ouvrir votre coffre-fort. Ensuite, allez dans le menu "Options avancées" et cliquez sur "Exporter". Le gestionnaire vous demandera de valider votre mot de passe maître avant de créer un fichier en format CSV, un format compatible avec la plupart des gestionnaires. Il est important de noter que vos mots de passe ne sont pas chiffrés à cette étape, il est donc nécessaire de faire très attention à ce fichier et à ce que vous en faites.
Comment exporter vos mots de passe sur NordPass ?
- moodVersion gratuite limitée
- databaseStockage illimité
- browse_activityNotification de fuite
- lockChiffrement XChaCha20
NordPass est un très bon gestionnaire de mots de passe sans fioritures. Il assure le service qu’on lui demande : gérer ses mots de passe et quelques données sensibles. Ce service est simple, efficace et il bénéficie d’une politique de cybersécurité plus que correcte. Cependant, il manque peut-être d’ambition en ne proposant pas de fonctionnalités innovantes pour se démarquer de la concurrence. Par exemple, LastPass permet de gérer les codes d’accès et mot de passe de vos applications installées sur Windows tandis que la version Premium de Dashlane intègre un VPN.
- Interface claire et efficace
- Niveaux de sécurité
- Authentification biométrique
- Importation des données
- Version Premium un peu chiche
- Pas de fonctionnalités qui sortent du lot
Avant d'importer vos mots de passe LastPass sur NordPass, il faut noter plusieurs choses. Premièrement, pour le moment, NordPass ne prend pas en charge les imports de secrets TOTP, même si l'entreprise indique travailler dessus. Également, certaines catégories d'éléments dans LastPass, comme les clés SSH, les éléments personnalisés et les comptes bancaires, sont importés en tant que notes sécurisées dans NordPass.
Pour importer vos données dans NordPass, vous avez plusieurs choix. Vous pouvez le faire instantanément, sans avoir à passer par un fichier CSV, en passant par l'application desktop. Il vous suffit de vous rendre dans les paramètres et de sélectionner l'option d'import d'éléments, de sélectionner LastPass et de rentrer vos identifiants de connexion à LastPass pour que l'import puisse se faire directement.
Sinon, vous pouvez utiliser votre fichier CSV téléchargé préalablement sur l'extension NordPass ou la version pour ordinateur de bureau. Ouvrez les paramètres, descendez jusqu'à trouver l'option pour importer des éléments, sélectionnez "LastPass" dans la liste des gestionnaires de mots de passe pris en charge puis sélectionnez votre fichier CSV sur votre ordinateur. Vos mots de passe sont désormais disponibles sur NordPass.
Comment exporter vos mots de passe sur Bitwarden ?
- moodVersion gratuite limitée
- databaseStockage illimité
- browse_activityNotification de fuite
- lockChiffrement AES-256
Bitwarden est facile à utiliser, compatible avec Android et iOS et ses tarifs sont vraiment abordables. C’est aussi l’un des gestionnaires de mots de passe les plus sûrs, car son code source est accessible à tout le monde. Sa version gratuite offre les fonctionnalités de base dont vous avez besoin, y compris la possibilité de synchroniser autant de mots de passe que vous le souhaitez entre tous vos appareils, la prise en charge de l’authentification multiple (via une application ou une clé physique de type « Universal 2 Factor », YubiKey, Duo) et le partage. Dommage que sa version Premium n’intègre pas l’option « personne de confiance ».
- Politique de sécurité exemplaire
- Hébergement sur un NAS
- Offre Premium bon marché
- Synchronisation multiple
- Application de bureau basique
- Pas de chat en direct
- Pas de documentation en français
L'importation d'éléments de LastPass dans Bitwarden fonctionne de manière similaire à NordPass. Là aussi, il est possible d'ajouter ses éléments à Bitwarden directement, sans avoir à obtenir le fichier CSV auparavant. Ouvrez l'extension de navigateur ou la version pour ordinateur de bureau et allez soit dans les paramètres dans le premier cas, soit dans le menu "Fichier" puis "Importer des données".
Après avoir rempli les différents champs, vous pourrez choisir entre importer directement de LastPass ou importer depuis un fichier CSV. Si vous choisissez la première option, vous devrez entrer l'adresse mail et le mot de passe maître que vous utilisez sur LastPass. Sinon, sélectionnez votre fichier CSV pour que l'import puisse se faire.
L'importation de données peut également être réalisée à partir de l'interface web, en allant dans le menu Outils et en sélectionnant "Importer des données".
Comment exporter vos mots de passe sur pCloud Pass ?
- moodVersion d'essai limitée
- databaseStockage illimité
- browse_activityPas de notification de fuite
- lock256-bit AES, AES CTR et HMACSHA256
pCloud Pass est un des petits nouveaux dans le domaine de la gestion de mots de passe, et s'impose comme une solution de choix sur le marché grâce à un forte emphase apportée à la sécurité notamment grâce à la norme AES 256 bits de chiffrement et une politique de confidentialité stricte. Le service bénéficie par ailleurs d'une interface et d'une ergonomie allant droit au but, ce qui simplifie grandement son utilisation et le rend particulièrement aisé à prendre en main pour les novices, et pratique à employer pour les vétérans.
- Une solution simple et aisée à prendre en main
- Une sécurité au poil
- Authentification biométrique
- Téléchargement multiplateforme
- Peu de fonctionnalités additionnelles
- Un paiement unique un peu excessif
pCloud Pass propose l'importation de mots de passe à partir d'un fichier CSV, que vous utilisiez l'extension de navigateur, l'application de bureau ou l'interface web. Il suffit d'aller dans le menu "Ajouter" et sélectionner l'option "Importer de". pCloud Pass vous proposera une liste de gestionnaires, dont fait partie LastPass. Choisissez LastPass et ajoutez votre fichier CSV pour accéder à vos données sur pCloud Pass.
Comment exporter vos mots de passe sur Dashlane ?
- moodVersion gratuite limitée
- databaseStockage illimité
- browse_activityNotification de fuite
- lockChiffrement AES-256
Dashlane est un gestionnaire de mots de passe réputé pour ses performances et l'ergonomie de sa solution. Compatible avec les différents systèmes d'exploitation d'ordinateur et de smartphone, il propose une extension pour la majorité des navigateurs. La confidentialité de vos comptes est renforcée par différentes solutions d'authentification à multiples facteurs. Très complète, son offre premium intègre aussi un VPN afin de limiter les risques de piratage lorsque vous vous connectez à vos sites depuis une borne Wi-Fi. On regrette cependant que Dashlane ait décidé de limiter à nouveau son offre gratuite, qui devient inutilisable au quotidien.
- Offre complète.
- VPN intégré (premium).
- Support technique en français.
- Offre Famille un peu chère.
- Surveillance du dark web réservée à la version premium.
- Version gratuite très limitée.
Pour pouvoir importer des données sur Dashlane, il est nécessaire de passer par l'application web. Une fois que vous êtes connecté sur celle-ci, allez dans les paramètres et sélectionnez "Importer". Dashlane vous demandera la source de vos données, qui est ici LastPass. Il vous suffit d'ajouter votre fichier CSV pour que l'importation se fasse.
Dashlane précise que l'importation comprendra les identifiants, les notes sécurisées et les méthodes de paiement. Les autres informations seront présentes dans la section "Note" des identifiants. Quant aux dossiers LastPass, ils sont transférés en tant que collections Dashlane.
Tous les gestionnaires dont nous parlons ici sont adaptés pour accueillir vos données LastPass. Si certains facilitent l'opération en récupérant directement les données sans avoir besoin d'utiliser un fichier CSV, il reste assez simple de changer de gestionnaire de mots de passe. Pas besoin de devoir modifier le fichier CSV pour coller à un template donc.
Peu importe votre choix de nouveau gestionnaire, il y a toujours des types de données qui ne sont pas pris en compte et il est possible que les doublons ne soient pas repérés. Après un import, vérifiez bien que toutes vos informations sont présentes dans votre nouveau gestionnaire et faites un peu de nettoyage dans votre coffre-fort si nécessaire.
Nos autres contenus sur NordPass :
- NordPass Family : Comment configurer ce forfait famille ?
- NordPass vs Dashlane : quel est le meilleur en termes de sécurité ?
- Interview avec NordPass : le jeune gestionnaire de mots de passe, plein de promesses et de potentiel
- Bitwarden VS NordPass : Quel gestionnaire de mots de passe faut-il choisir ?
Nos autres tutoriels sur la même thématique :
- Comment modifier un mot de passe enregistré sur Safari ?
- Comment modifier un mot de passe enregistré sur Firefox ?
- Comment changer son mot de passe Outlook ?
- Comment protéger un fichier PDF avec un mot de passe ?
- Comment modifier un mot de passe enregistré sur Google Chrome
- Comment changer son mot de passe Gmail ?
- Comment créer un QR code pour votre mot de passe Wi-Fi ?
- Comment retrouver ses mots de passe oubliés sur iPhone ?
- Comment retrouver ses mots de passes oubliés sur Mac ?