Lastpass, quand trépasse le « pass », hélas

Hack - Posté on 19 Juin 2015 at 11:44 par cnis-mag

Marvin (PA) copieUn opérateur Cloud qui se fait « intruser », ça fait nécessairement du bruit. Dame, le premier argument de l’informatique dans les nuages, économie d’échelle mise à part, n’est-il pas la sécurité absolue du procédé ? Mais lorsque cet opérateur intrusait avait mission d’offrir un service de stockage des mots de passe, autrement dit le sésame de millions de systèmes d’information ou d’accès à des données, ce n’est plus la Bérézina, c’est l’apocalypse. Et c’est très exactement ce qui est arrivé à LastPass. El Reg se contente de relater succinctement l’affaire et conseille aux usagers de « changer le mot de passe principal » de leurs coffres forts à identifiants, comme le conseille d’ailleurs le prestataire. Brian Krebs, pour sa part, s’étend sur les risques techniques d’un tel piratage, explique les vertus du salage, précaution prise par l’opérateur en question, et Graham Clueley, faisant probablement référence à la trilogie en 5 volumes du Guide du Routard Galactique, conclut par un « DON’T PANIIIIIIIC !!!… and change your masterpassword ». Ce à quoi Robert Graham d’Errata Sec renchéri par un « même pas peur » argumenté avec force explications techniques. Même chanson, même refrain de la part du HNS.

Pourtant, aucun de ces gourous ne pose une simple question : est-il vraiment sage de confier à une entreprise extérieure, étrangère pour nous-autres Européens, les clefs de nos armoires numériques ? D’autre part, les tentatives d’explications de MM Krebs et Graham, de par leur technicité, sont-elles bien comprises par tous les usagers d’un tel service ? Le chiffrement à fins de protection est une science totalement ésotérique pour la majorité des humains, qui ne comprendront jamais les subtilités de ses principes techniques et les mots en « isme » qui émaillent les propos des gourous du domaine.

Laisser une réponse