Se protéger sur un ordinateur compromis

La semaine dernière, les chercheurs en sécurité Martin Vigo et Alberto Garcia ont montré comment un système compromis peut potentiellement mettre en péril votre compte LastPass. La bonne nouvelle est que leur recherche nous a été signalé il y a plus d’un an, et notre équipe a immédiatement pris les mesures nécessaires pour mettre en œuvre des protections supplémentaires. Nous accordons de l’importance aux recherches qui nous aident à améliorer et renforcer LastPass. Nous avons mis en place de nouvelles options de sécurité, comme l’expiration des appareils de confiance tous les 30 30 jours sur les applications pour mobile et navigateurs, le renforcement de la récupération de compte avec une option de récupération via SMS, et des avertissements plus clairs concernant l’utilisation de l’option “se souvenir de mon mot de passe”

Bien que nous continuions à faire tout notre possible pour renforcer LastPass , nous voulons également aider les utilisateurs de LastPass à mieux comprendre non seulement t les options de sécurité que nous offrons, mais aussi comment protéger de la meilleure manière leurs appareils des programmes malveillants et autres menaces.

Voici nos recommandations pour garder LastPass, et vos autres technologies, plus en sécurité :

  • Utilisez l’option “Se souvenir de mon mot de passe” avec prudence. Si le scénario selon lequel un logiciel malveillant compromettrait votre ordinateur vous inquiète, n’utilisez tout simplement pas cette option.
  • Installez la version binaire de LastPass. Utiliser la version “binaire” de LastPass offre une protection supplémentaire. La composante “binaire” permet d’attribuer plus de sécurité et de fonctionnalité en communiquant directement avec le système d’exploitation. Rendez-vous sur l’icône LastPass > Outils > A Propos…, si le statut binaire est marqué comme “faux”, utilisez le bouton pour l’activer, soit à ou utilisez l’installateur pour télécharger LastPass.
  • Utilisez la récupération via SMS. Cela ajoute une couche supplémentaire de protection en demandant une étape d’authentification supplémentaire avant que le mot de passe maître de votre compte LastPass puisse être réinitialisé.
  • Activez l’authentification à double facteur. Même si quelqu’un dérobe votre mot de passe maître, il ne pourra toujours pas accéder à votre compte sans les données de l’additionnelle identification à double facteur.
  • Augmentez les itérations de votre mot de passe à 5000 ou plus. Nous pouvons incrémentalement améliorer la sécurité en augmentant le nombre d’itérations utilisées pour renforcer l’encryptage des comptes utilisateurs. Rendez-vous sur l’onglet “Paramètres de compte” à partir de votre coffre-fort LastPass, et vérifier qu’elles ont été augmentées à 5,000. Cela se produit automatiquement si vous mettez à jour votre mot de passe maître.
  • Désactivez la récupération de votre compte, si vous préférez. Désactivez-la dans le menu préférences de votre extension pour navigateur LastPass (cela doit être fait pour chaque navigateur) ou avec une politique de sécurité à l’échelle de l’organisation si vous utilisez LastPass Enterprise.
  • Utilisez une adresse mail de sécurité. Si vous souhaitez éviter l’utilisation de la récupération via SMS mais aussi atténuer le risque lié à la compromission de votre compte mail, configurez une adresse , email secondaire de “sécurité” dans vos paramètres de compte. Les mails de récupération de compte ou pour désactiver l’authentification forte seront envoyés sur cette adresse, plutôt que sur votre compte mail principal.
  • Restreignez l’accès à des pays de confiance. Dans vos paramètres de compte, restreignez l’accès au(x) endroit(s) où vous utilisez régulièrement LastPass.
  • Désactivez l’accès via TOR. TOR est utilisé pour communiquer anonymement sur internet, il est donc souvent utilisé par les hackeurs. Désactivez l’accès via TOR dans vos paramètres de compte LastPass.
  • Respectez les bonnes pratiques de sécurité :
    • Utilisez un mot de passe maître unique , et fort. Ne réutilisez jamais votre mot de passe maître,  jamais.
    • Maintenez une machine propre en la scannant régulièrement avec un antivirus.
    • Gardez vos logiciels à jour, cela inclut vos navigateurs et extensions.
    • Méfiez-vous des attaques par phishing et d’ingénierie sociale.
    • Ne téléchargez pas d’applications, documents, ou extensions venant de personnes non fiables, ou même de personnes fiables si cela semble arriver de nulle part ou sans contexte.
    • Utilisez le challenge de sécurité LastPass afin d’éliminer les mots de passe dupliqués et d’améliorer la sécurité de vos mots de passe.

Comme toujours, nous nous dévouons à l’amélioration de la sécurité de LastPass à mesure que de nouvelles menaces et recherches émergent. Notre mission permanente est de mettre à disposition le plus sécurisé des gestionnaires de mots de passe pour pouvoir sauvegarder de manière sûre sa vie en ligne, et nous continuons d’investir toutes nos ressources dans le renforcement de LastPass.