LastPass a annoncé qu’il commencerait à crypter les URL stockées dans les coffres-forts des utilisateurs pour une confidentialité accrue et une protection contre les violations de données et les accès non autorisés.

Le fournisseur du populaire gestionnaire de mots de passe note également que cette nouvelle fonctionnalité de sécurité est une étape importante vers le renforcement de son engagement à mettre en œuvre une architecture à connaissance nulle dans le produit, de sorte qu’il ne s’agit pas seulement de protéger les données contre les menaces externes.

Valeur des URL cryptées
Lorsque les utilisateurs visitent un site Web, LastPass compare l’URL à une entrée dans le coffre-fort de mots de passe de l’utilisateur pour déterminer s’ils ont stocké des informations d’identification, puis propose de les saisir automatiquement.

LastPass dit qu’en raison des restrictions de puissance de traitement en 2008, lorsque ce système a été créé, ses ingénieurs ont décidé de laisser ces URL non cryptées, réduisant ainsi la pression sur les PROCESSEURS et minimisant l’empreinte énergétique du logiciel.

La plupart des contraintes de performances matérielles du passé ayant maintenant été levées, LastPass peut désormais commencer à chiffrer/déchiffrer ces valeurs d’URL à la volée sans que l’utilisateur ne remarque de problème de performances du navigateur tout en bénéficiant d’une sécurité ultime des données.

LastPass affirme que cela est fait pour améliorer la sécurité des utilisateurs et se conformer à l’architecture à connaissance nulle de l’entreprise.

« Il est possible que les URL contiennent des détails sur la nature des comptes associés à vos informations d’identification stockées (par exemple, banque, e-mail, réseaux sociaux) », explique Lastpass.

« Le chiffrement des URL associées à vos comptes, comme tous les autres champs privés du coffre-fort LastPass, étendra notre architecture à divulgation nulle de connaissance et améliorera la confidentialité des clients, tout en contribuant à atténuer davantage les risques en garantissant que les URL liées à des services ou comptes spécifiques enregistrés dans leur coffre-fort restent privées. »

La sécurité à divulgation nulle de connaissance de LastPass repose sur le principe que toutes les données des clients doivent être cryptées, et donc inaccessibles à LastPass et aux pirates informatiques susceptibles de violer son service.

En 2022, LastPass a subi deux violations qui ont finalement permis aux auteurs de menaces de voler du code source, des données client et des sauvegardes de production, y compris des coffres-forts de mots de passe cryptés.

Karim Toubba, PDG de LastPass, a déclaré à l’époque que seuls les clients connaissaient le mot de passe principal requis pour déchiffrer les coffres-forts. Cependant, les données volées comprenaient des mots de passe maîtres cryptés, qui, selon LastPass, pourraient être décryptés s’ils étaient faibles.

Les données volées comprenaient également des URL non cryptées associées à des entrées de mot de passe, fournissant des informations précieuses sur les coffres-forts de mots de passe pouvant être ciblés pour voler des informations d’identification à des services financiers, tels que des échanges de crypto-monnaie.

Il a été révélé plus tard que les acteurs de la menace déchiffraient certains de ces mots de passe maîtres plus faibles et utilisaient les informations d’identification stockées pour violer les échanges de crypto-monnaie et voler plus de 4 millions de dollars de fonds.

Déploiement du chiffrement
LastPass indique que le cryptage des URL les oblige à refactoriser les fonctionnalités des composants client et back-end, un travail qui progresse déjà bien.

La première phase de la mise en œuvre du cryptage des URL aura lieu le mois prochain (juin 2024), cryptant automatiquement les champs d’URL primaires pour tous les comptes existants et nouveaux.

Au cours de cette étape, les champs d’URL en double et hérités du coffre-fort seront supprimés, tandis que les comptes personnels et professionnels recevront des e-mails les informant des modifications.

La deuxième phase aura lieu au cours du second semestre de l’année, lorsque les six champs restants liés aux URL stockés dans les coffres-forts LastPass seront également automatiquement chiffrés.

Ces six valeurs concernent les URL de domaine équivalentes, les URL génériques, les URL de redirection, les URL personnalisées définies par l’utilisateur, les URL stockées dans les notes utilisateur et les URL historiques.

Actuellement, les utilisateurs n’ont aucune action à entreprendre, mais LastPass enverra par e-mail aux comptes concernés des instructions étape par étape sur la façon dont ils peuvent en tirer parti lorsque le déploiement commencera le mois prochain.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *