Obtenir Obtenir LastPass Free
Sécurité

Rapports de sécurité LastPass

Engagement en faveur de la sécurité

Chez LastPass, la sécurité est notre priorité, ce qui implique également de réagir rapidement aux signalements de bugs et de vulnérabilités. Si LastPass parvient à offrir un niveau de sécurité élevé à ses utilisateurs, c'est aussi grâce à la mise à l'épreuve de nos technologies par la communauté. Nous apprécions le travail important effectué par la communauté des chercheurs en sécurité, ainsi que la divulgation responsable des problèmes. En outre, nous estimons que lorsque le processus de sécurité fonctionne comme prévu, tout le monde en bénéficie.

Remarque : si vous êtes un utilisateur LastPass et craignez que votre compte a été piraté, compromis ou exposé d'une manière ou d'une autre, veuillez contacter l'équipe d'assistance LastPass. Nous examinerons et transmettrons votre problème de façon appropriée.

Envoyer un rapport de sécurité

Si vous êtes un chercheur en sécurité qui pensez avoir trouvé une vulnérabilité ou un bug de sécurité dans LastPass, veuillez procéder de la manière suivante :

  1. Lisez la FAQ sur la sécurité LastPass pour vérifier que votre problème n'a pas déjà été traité.
  2. Envoyez votre rapport via notre programme de récompense Bug Bounty sur BugCrowd.
  3. Si possible, intégrez un exemple de code et un enregistrement vidéo qui documente la faille.
  4. Montrez clairement comment le bug ou la vulnérabilité affecte les données utilisateur ou les systèmes LastPass.
  5. Accordez-nous suffisamment de temps pour examiner votre rapport et y répondre, et collaborez avec nous pour évaluer la situation et approuver une éventuelle publication de vos conclusions.
  6. Évitez de consulter, modifier ou voler les données des utilisateurs, ou de perturber la disponibilité de LastPass (y compris via une attaque DDoS).

Lorsque vous signalez un problème potentiel, veuillez nous fournir suffisamment d'informations pour que nous puissions le reproduire. Il peut s'agir des étapes précises pour reproduire le bug, des liens sur lesquels vous avez cliqué, des pages que vous avez visitées, d'URL et des adresses e-mail des comptes affectés. Merci d'inclure un exemple de code et des images ou un enregistrement vidéo qui documente clairement la faille que vous avez potentiellement identifiée.

Pour chiffrer les informations sensibles, vous pouvez utiliser cette clé publique :

afficher la clé publique

 

Remarque : si vous utilisez des outils automatisés pour détecter des vulnérabilités, sachez qu'ils signalent souvent des faux positifs.

Réponse aux rapports

Une fois que nous recevons un rapport, nous prenons des mesures pour l'analyser et évaluer sa gravité. Si nous tentons de corriger le problème identifié, en fonction de sa gravité, nous sommes susceptibles de vous contacter pour obtenir des informations complémentaires. Nous déploierons les correctifs nécessaires auprès des utilisateurs concernés en fonction de la gravité du problème et de son impact potentiel. Nous clôturerons le rapport une fois le problème résolu ou traité de manière jugée satisfaisante.

FAQ sur la sécurité LastPass

L'authentification multifacteur de LastPass est activée, mais LastPass a rempli mes identifiants sur un site avant que je n'entre mon jeton multifacteur. Est-ce un problème de sécurité ?

Pour valider votre jeton multifacteur, l'authentification multifacteur nécessite de disposer d'une connexion Internet : si vous ne nous transmettez pas un jeton multifacteur correct, LastPass ne diffusera jamais vos données chiffrées. Cependant, LastPass dispose également d'un « mode hors ligne » : il conserve une copie chiffrée dans un cache local sur votre appareil afin que vous puissiez accéder en permanence à vos données, même si vous n'avez pas accès à Internet. Lorsque vous vous connectez à LastPass, nous vous connectons d'abord hors ligne à la copie locale en cache de vos données et nous essayons ensuite de vous connecter en ligne. Par conséquent, il peut y avoir des cas où LastPass remplit les identifiants avant que vous nous fournissiez votre jeton LastPass multifacteur. Si vous ne souhaitez pas que ce comportement se produise, vous pouvez utiliser les étapes suivantes :

  1. Connectez-vous à LastPass
  2. Navigateur - Icône LastPass - Plus d'options - Paramètres avancés - Vider le cache local
  3. Déconnectez-vous de LastPass
Cliquez ici pour plus d'informations.

Mon programme antivirus m'a averti que LastPass est un virus/cheval de Troie/logiciel suspect. Est-ce que je devrais m'inquiéter ?

La plupart des programmes antivirus actuels s'appuient sur un réseau de confiance pour déterminer si un fichier représente une menace. Par conséquent, même si nous signons tous les fichiers que nous distribuons à l'aide d'un certificat numérique, à chaque publication d'une nouvelle version de notre logiciel des programmes antivirus le notent habituellement comme suspect jusqu'à ce qu'il soit distribué à des milliers d'utilisateurs ou jusqu'à ce que les utilisateurs finaux actualisent leurs définitions de virus. Si vous rencontrez ce problème, veuillez suivre les étapes suivantes :

  1. Téléchargez à nouveau les fichiers qui posent problème depuis la page de téléchargement de LastPass.
  2. Envoyez les fichiers suspects à Virus Total, un service qui analysera les fichiers en utilisant des dizaines des meilleurs moteurs antivirus du secteur de la sécurité. À moins que les résultats n'indiquent que plusieurs des meilleurs moteurs d'antivirus considèrent que les fichiers sont infectés, ils sont probablement sûrs.
  3. Effectuez un clic droit sur les fichiers et sélectionnez « Propriétés » dans le menu contextuel, et choisissez ensuite l'onglet « Signatures numériques ». Vérifiez que les fichiers disposent d'une signature numérique valide et qu'ils ont été signés par « LastPass » et, si nécessaire, affichez le certificat. Cela vous confirmera que les fichiers ont été créés par LastPass et n'ont pas été modifiés par un tiers malveillant.
  4. Si, après les étapes précédentes, vous continuez à penser que les fichiers sont infectés ou qu'ils n'ont pas été créés par LastPass, n'hésitez pas à nous contacter à security@lastpass.com

Quelqu’un m'a partagé un site et a laissé « Permettre au destinataire de voir le mot de passe » non cochée, mais j'ai trouvé un moyen d'afficher le mot de passe.

Dès qu'un mot de passe quitte LastPass et est utilisé pour remplir les informations d'identification dans un navigateur, nous ne pouvons plus le protéger. Pour cette raison, si un utilisateur utilise LastPass pour enter un mot de passe partagé dans, par exemple, Google Chrome, nous ne pouvons plus garantir sa sécurité. Elle peut être compromise par le navigateur, par un virus ou par le réseau, ou même par le site web final auquel il est envoyé. Cela est également mentionné dans notre documentation.
L'idée d'utiliser LastPass pour protéger des identifiants partagés a une portée bien plus importante : si vous utilisez LastPass pour partager des mots de passe avec des employés ou des amis, et que vous révoquiez ensuite ces identifiants, LastPass vous donne la possibilité d'actualiser rapidement et facilement ce mot de passe par la suite. Par conséquent, même si nous ne pouvons pas protéger entièrement les identifiants à l'extérieur de LastPass (parce que nous n'avons aucun pouvoir sur ce qui se passe dans le navigateur ou au-delà), nous pouvons aider à les sécuriser en vous permettant de les changer rapidement et en faisant en sorte que ce changement se propage automatiquement à toutes les personnes avec lesquelles vous les avez partagés.