LastPass propose désormais de vous prévenir si vos mots de passe ont été publiés sur le darkweb

Par Nathan Le Gohlisse, Spécialiste Hardware.

Publié le 06 août 2020 à 15h45

De manière proactive, le gestionnaire de mots de passe LastPass peut désormais vous avertir si vos identifiants ont été compromis suite à des fuites de données. Une fonctionnalité pertinente, mais, sans surprise, réservée aux seuls abonnés du service.

À une époque où les systèmes de protection de mots de passe sont sujets à de potentielles failles et que les bases de données des géants du web sont susceptibles d'être, tôt ou tard, victimes d'intrusions (Twitter en a récemment fait la douloureuse expérience), vos mots de passe peuvent être compromis en un claquement de doigts. À défaut de pouvoir y remédier, LastPass veut vous avertir automatiquement et de manière proactive si vos données sont concernées.

Une fonctionnalité intégrée à un nouveau dashboard

Cette nouveauté, réservée aux abonnés de LastPass, arrive sur le service à travers un nouveau dahboard de sécurité. Comme l'indique The Verge, ce dernier est entre autres conçu pour donner aux utilisateurs une meilleure idée de la robustesse de leurs mots de passe.

Pour procéder à cette vérification et vous prévenir en cas de mot de passe compromis, LastPass utilise un outil de « surveillance du dark web » qui compare vos mots de passes avec les identifiants compromis recensés par la base de données Enzoic (anciennement PasswordPing, partenaire de LastPass depuis 2017, précise le média américain). Si l'outil de LastPass identifie l'un de vos mots de passe dans ladite liste, vous êtes automatiquement prévenu. Le mot de passe concerné est alors précisé, au même titre que le site sur lequel il a été compromis.

Le nouveau Dashboard, lui, est gratuit

Si cette fonction d'avertissement est réservée aux membres payants, le nouveau dashboard, lui, est disponible gratuitement à l'ensemble des utilisateurs. Il informe notamment sur les mots de passe faibles ajoutés au gestionnaire, attire votre attention sur ceux qui ont déjà été utilisés ou encore sur les identifiants qui présentent un risque.

Cet outil vient remplacer un ancien système qui permettait déjà d'obtenir une vérification des mots de passe depuis la liste fournie par Enzoic, mais qui devait alors être effectuée manuellement.

LastPass indique que ces nouvelles fonctionnalités sont d'ores et déjà disponibles sur la version de bureau de son service. L'application mobile de LastPass en héritera dans les prochaines semaines.

Télécharger LastPass

Source : The Verge

Par Nathan Le Gohlisse

Spécialiste Hardware

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Articles de Nathan Le Gohlisse

Cybersécurité

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (8)

Baxter_X

Je trouve cela un peu inquiétant quelque part. Ok pour signaler les noms d’utilisateur , adresses mail. Mais les mot de passe, cela signifie que l’appli est capable de les lire et les comparer sur d’autres sites. Cela me semble assez intrusif et ambiguë pour le coup.

juju251

Une fonction de ce genre existe également sur Firefox « Firefox Monitor », qui se trouve dans le menu lié au compte Firefox.

telemap

C’est d’autant plus bizarre que normalement les mots de passe sont encryptés avec AES 256 bits.

Update : sur leur site ils indiquent qu’ils recherchent les adresses mail et non les mots de passe.

juju251

Il faudrait voir exactement comment cela marche, mais je pense qu’en réalité seules les adresses mails ou logins sont utilisés pour faire la détection.

flonc

A Baxter_X

Évidemment que l’appli peut lire les mots de passe, sinon elle ne pourrait rien faire. Ce qu’il faut éviter c’est que le service cloud y ait accès en clair. Le problème a résoudre est:

les mots de passe compromis sont connus De tous
l’adresse e-mail est connu de l’appli et du service
les mots de passe stockés dans le gestionnaire ne sont connus que par l’appli.

Tu as plein de solutions pour mettre en place une feature qui n’expose pas les mots de passe du gestionnaire au service cloud. Pourquoi pars tu du principe que ce n’est pas le cas?

Baxter_X

Je pars du principe que c’est le cas, et heureusement que l’appli peu lire les mot de passe. Mais de la à aller les comparer avec « l’extérieur », c’est cela qui m’inquiète un peu. Même si je comprends l’idée derrière. Mais pour moi cela pourrait être exploitable d’une façon ou d’une autre.

exoje

Ce ne sont que les adresses e-mail, Dashlane intègre cette feature depuis longtemps déjà.

jvachez

Ce ne sont que les adresses mail donc ça peut très bien être bidon. Quelqu’un peut récupérer des adresses mail et mettre des faux mot de passe en face, LastPass croira au piratage.
S’ils ne stockent pas en clair les mots de passe, ils pourraient au moins afficher les mots de passe trouvés sur le darknet afin que l’on puisse les comparer. Il y a le même problème avec haveibeenpwned qui ne fournit pas les mots de passe qui sont la preuve indispensable du piratage.