LastPass va chiffrer les URL. Voici ce que cela signifie pour les utilisateurs et les administrateurs.
LastPass est un gestionnaire de mots de passe plébiscité par des millions d’utilisateurs et des centaines de milliers d’entreprises du monde entier. Assurer la sécurité et la confidentialité des données de nos clients est au cœur de notre mission, et au cours des 18 derniers mois, nous avons investi du temps et des efforts considérables pour renforcer notre sécurité, sans sacrifier l’expérience utilisateur, toute en améliorant l’ensemble des opérations de sécurité et la protection de la vie privée.
Ces efforts se poursuivent aujourd’hui avec le chiffrement des URL dans les coffres-forts LastPass.
Pourquoi ce changement, et pourquoi maintenant ? Lisez la suite pour en savoir plus sur le chiffrement des URL, son fonctionnement, et pour savoir pourquoi nous pensons que cela permettra à nos utilisateurs de mieux protéger leurs coffres-forts.
Le cheminement vers le chiffrement des URL
Aujourd’hui, à chaque fois que vous utilisez LastPass, l’URL du site web que vous visitez dans votre navigateur doit être comparée aux sites enregistrés dans votre coffre-fort LastPass, afin de déterminer si les champs peuvent et doivent être préremplis. Pour ce faire, les URL de votre navigateur sont comparées aux URL non chiffrées qui sont stockées dans votre coffre-fort. En cas de correspondance, la magie de LastPass opère.
Si jusqu’ici, les URL n’étaient pas chiffrées dans les coffres-forts, c’est parce qu’à la création de LastPass en 2008, les technologies étaient radicalement différentes de celles d’aujourd’hui. Le déchiffrement demandait beaucoup de puissance de calcul et de mémoire, ce qui taxait les PC de base et les appareils mobiles, et se traduisait par une expérience utilisateur poussive et une consommation excessive de la batterie sur les appareils mobiles.
Pour maximiser les performances et l’expérience utilisateur, LastPass ne chiffrait pas les URL dans les coffres-forts. Au fil du temps, d’autres fonctionnalités de comparaison d’URL, comme la fonction de domaines équivalents, ont été intégrées au code.
Et heureusement, les contraintes de puissance de calcul et de mémoire ne sont plus d’actualité sur la plupart des appareils modernes. LastPass peut désormais chiffrer tous les champs liés aux URL dans votre coffre-fort sans effet néfaste sur l’expérience utilisateur.
Quel est l’intérêt du chiffrement des URL ?
Les URL peuvent contenir des informations sur la nature des comptes associés aux identifiants stockés (banque, e-mail, réseaux sociaux, etc.).
En chiffrant les URL associées à vos comptes, comme le sont les autres champs privés du coffre-fort LastPass, nous élargissons notre architecture zéro connaissance et renforçons la confidentialité, tout en limitant davantage les risques en veillant à ce que les URL associées aux comptes et services enregistrés dans le coffre-fort des utilisateurs restent privées.
L’ajout du chiffrement des URL nous a obligés à remanier LastPass et à revoir le fonctionnement de presque tous les composants côté client et côté back-office. Des changements d’une telle envergure ne se réalisent pas du jour au lendemain, mais nous avons fait des progrès significatifs et sommes ravis de commencer à déployer le chiffrement des URL, qui nécessite toutefois une intervention de nos clients.
À quoi doivent s’attendre nos clients ?
La mise en œuvre du chiffrement des URL se déroulera en deux phases : La première phase devrait s’achever en juin, avec un début de déploiement en juillet. Les utilisateurs particuliers et les administrateurs professionnels recevront alors des e-mails détaillant la suite des événements, puis nous commencerons à chiffrer automatiquement le champ d’URL principal des comptes stockés dans les coffres-forts, ainsi que dans tous les comptes ajoutés ou modifiés. Nous en profiterons pour supprimer un ancien champ d’URL en double devenu inutile.
La phase suivante, qui devrait s’achever au cours du second semestre 2024, se concentrera sur le chiffrement automatique des six autres champs liés aux URL dans les coffres-forts de LastPass. Vous trouverez la liste complète des huit champs liés aux URL ici.
Il est important de noter qu’aucune intervention n’est requise de la part des clients et des administrateurs pour l’instant. Au cours des prochains mois, nous enverrons des instructions détaillées aux utilisateurs des formules personnelles et professionnelles, décrivant comment déclencher le chiffrement des URL et se préparer au chiffrement des autres champs du coffre-fort plus tard dans l’année. Nous fournirons également des consignes aux administrateurs concernant des fonctionnalités propres à la formule LastPass Business.
Notre engagement en faveur de la sécurité
Le chiffrement des URL est un jalon important de plus dans notre quête perpétuelle pour renforcer et sécuriser notre coffre-fort de gestion des mots de passe sans sacrifier l’expérience utilisateur. Cela dit, nous savons que la cybersécurité est un cheminement, pas une destination, et nous nous sommes déterminés à poursuivre le développement d’un LastPass axé sur l’innovation, la sécurité, la confidentialité et la confiance.
Pour en savoir plus sur l’engagement de LastPass en faveur de la sécurité, lisez l’ajout récent à l’article « Qu’avons-nous fait pour sécuriser LastPass ? » ici.
