LastPass met à jour les comptes. Voici pourquoi.

Vous avez peut-être remarqué que ces derniers temps, nous avons demandé à nos clients d’effectuer quelques modifications sur leurs comptes LastPass. Dans le cadre de ces modifications, nous demandons à nos clients de changer la longueur et la complexité de leur mot de passe maître pour suivre les bonnes pratiques recommandées, et nous les invitons à se réinscrire à l’authentification multifacteur (MFA), entre autres choses. Ces modifications ayant pour but d’augmenter la sécurité de nos clients, nous souhaitons vous fournir davantage d’informations sur l’évolution des cybermenaces qui motive nos demandes, afin que les client comprennent mieux POURQUOI ces modifications sont importantes. Pour cela, nous allons nous pencher sur certaines de ces modifications récentes, présenter les menaces qui en sont à l’origine et expliquer pourquoi les mises à jour sont utiles. Exigences concernant la modification du mot de passe maître Pourquoi faisons-nous cela ? Quand il s’agit de sécurité des mots de passe et de cyber-résilience, la force est dans le nombre. Mais ce n’est que le premier pas. La force des mots de passe est une notion complexe qui dépend de plusieurs facteurs, dont la longueur, la complexité et l’imprévisibilité. Le NIST (National Institute of Standards and Technology) recommande actuellement que les mots de passe générés par des humains comprennent au moins 8 caractères (NIST 800-3B). Cependant, au vu des récentes avancées dans les technologies et techniques de piratage de mots de passe et d’attaque par force brute, et compte tenu de la tendance humaine à créer des mots de passe prévisibles et faciles à mémoriser, il est recommandé d’utiliser un mot de passe encore plus long. Les nouvelles exigences de LastPass en matière de longueur du mot de passe maître ne sont qu’une partie d’un ensemble d’initiatives progressives visant à aider nos clients à mieux se protéger contre les cybermenaces actuelles et émergentes. Au niveau historique, bien qu’un mot de passe maître de 12 caractères soit le paramètre par défaut de LastPass depuis 2018, les clients pouvaient encore ignorer la recommandation par défaut et choisir de créer un mot de passe maître comprenant moins de caractères s’ils le souhaitaient. En exigeant désormais l’usage d’un mot de passe maître de 12 caractères minimum, couplé à l’augmentation du nombre d’itérations de PBKDF2 réalisée plus tôt cette année, nous aidons activement nos clients à créer des clés de chiffrement plus robustes et résilientes pour accéder aux données de leur coffre-fort et les chiffrer. Les nouvelles exigences en détail Depuis avril 2023, tous les nouveaux clients de LastPass, ainsi que tous les clients existants ayant réinitialisé leur mot de passe maître, ont été obligés d’utiliser au moins 12 caractères pour créer ou modifier leur mot de passe maître. À partir de janvier 2024, tous les clients de LastPass devront utiliser un mot de passe maître d’au moins 12 caractères. Cette nouvelle exigence d’un minimum de 12 caractères nécessite que les clients se connectent d’abord à leur compte LastPass afin de suivre l’un de ces deux scénarios :

• Pour les clients confirmant que leur mot de passe maître comprend déjà 12 caractères ou plus, aucune action n’est nécessaire car ils sont déjà en conformité avec les nouvelles règles.
• Les clients qui ne sont pas encore en conformité avec les nouvelles règles seront invités à créer un nouveau mot de passe maître comprenant 12 caractères ou plus.

Pour les clients devant modifier leur mot de passe maître, voici une liste de bonnes pratiques à prendre en compte :

• utilisez un minimum de 12 caractères, mais il est conseillé d’utiliser des caractères supplémentaires ;
• utilisez au moins un caractère appartenant à chacun de ces types : majuscule, minuscule, caractère numérique et caractère spécial ;
• choisissez un mot de passe mémorable, mais pas facile à deviner, comme une phrase secrète ;
• assurez-vous que le mot de passe est unique et n’appartient qu’à vous ;
• n’utilisez pas votre adresse e-mail comme mot de passe maître ;
• n’utilisez aucune information personnelle dans votre mot de passe maître ;
• n’utilisez pas de caractères séquentiels (par exemple, « 1234 ») ou répétés (par exemple, « aaaa » ;
• assurez-vous de ne pas réutiliser votre mot de passe maître pour un autre compte ou une autre application.

Pourquoi ne m’a-t-on pas encore invité(e) à modifier mon mot de passe maître ? Les nouvelles conditions seront implémentées par phases successives au sein de notre clientèle. Les premières notifications par e-mail seront envoyées à nos clients Free, Premium et Families. Viendra ensuite le tour de nos clients Teams et Business vers la fin de janvier 2024. Pour le confort de nos utilisateurs finaux, LastPass permet aux clients de choisir la fréquence à laquelle ils sont invités à modifier leur mot de passe maître avant de s’identifier. En raison de ces paramètres d’identification personnalisables, nous ne sommes pas en mesure d’estimer le temps que cette initiative prendra pour être adoptée par 100 % de notre clientèle. Configurer la récupération de votre compte avant de modifier le mot de passe maître Comment changer votre mot de passe maître Vérification croisée des nouveaux mots de passe sur le dark web Le mois prochain, LastPass commencera également des contrôles immédiats des mots de passe maîtres (nouveaux ou modifiés) en les comparant à une liste connue d’identifiants compromis, afin de vérifier qu’ils n’ont pas été précédemment exposés sur le dark web. Si le mot de passe a été compromis par le passé, un « avertissement de sécurité » indiquera au client que le mot de passe a déjà été exposé, auquel cas le client sera invité à choisir un autre mot de passe avant de continuer. Pourquoi faisons-nous cela ?  La réponse est simple : les mots de passe déjà exposés sont faciles à pirater. Les outils modernes de piratage de mots de passe peuvent incorporer des listes de mots de passe connus dans leur base de données, ce qui réduit drastiquement le temps requis pour déchiffrer les identifiants de connexion d’un compte. En demandant à nos clients de choisir un mot de passe qui n’a pas déjà été exposé, nous rendons le piratage bien plus difficile. La surveillance du dark web Comment activer la surveillance du dark web dans LastPass Réinscriptions à l’authentification multifacteur (MFA) En mai 2023, LastPass a lancé son initiative pour simplifier la réinscription à la MFA des clients Business non-fédérés utilisant des authentificateurs comme Microsoft Authenticator, Google Authenticator ou LastPass Authenticator. La réinscription à l’authentification Grid arrive prochainement et les clients pourront se réinscrire avec Microsoft ou Google. Pourquoi faisons-nous cela ?  Comme nous l’avons indiqué dans notre communiqué sur les incidents de sécurité de mars 2023, une réinitialisation de la MFA est nécessaire car elle permet de mitiger efficacement les risques restants causés par l’exposition passée de la base de données sauvegardée de LastPass MFA/Federation. Si vous ne l’avez pas déjà fait, lancez une réinscription manuelle à la MFA pour les clients non-fédérés. Vous trouverez pour cela des instructions précises dans notre bulletin de sécurité. Conclusion En résumé, ces modifications sont implémentées en raison de l’évolution constante des cybermenaces et ont pour but de renforcer la sécurité de nos clients. Chez LastPass, nous ne vous demanderons pas d’agir ou d’effectuer des modifications sans but précis, et nous tâcherons toujours de rendre nos intentions transparentes. Abonnez-vous à nos publications sur le blog de LastPass Labs pour rester au courant de nos futures modifications et des menaces planant sur les méthodes d’authentification, sur notre industrie et sur nos clients.