Commencé en tant que gestionnaire de mots de passe autonome, LastPass est devenu un gestionnaire de mots de passe multiplateforme basé sur Internet et un coffre-fort desservant plus de 10 millions d’utilisateurs dans le monde. Bien qu’elle ait été entachée par plus d’une demi-douzaine de failles de sécurité au cours de la dernière demi-décennie, l’équipe de sécurité de LastPass a réussi à garder les données de leurs utilisateurs pratiquement intouchables.
Ce gestionnaire de mots de passe/coffre est doté de fonctionnalités qui manquent certainement à leurs concurrents. Outre la gestion des mots de passe et le coffre-fort, LastPass a la possibilité de stocker des notes, des adresses, des détails de compte bancaire et des détails de portefeuille numérique en plus de quelques autres choses intéressantes. La facilité d’accès depuis n’importe où sur la planète à partir d’un appareil de confiance ou authentifié (de confiance) est ce qui a attiré notre attention. La centralisation de l’accès qu’un utilisateur gratuit obtient n’est pas ce que la plupart de leurs concurrents proposent dans leurs versions gratuites.
Il convient de mentionner que LastPass a un score TrustPilot de 1,8, ce qui est médiocre.
Conclusion
Le leader de l’industrie LastPass a coché toutes les bonnes cases en termes de fonctionnalités pour ses utilisateurs gratuits, ce qui les a certainement aidés à gagner en popularité sur le marché et à faire passer la bonne parole. Malgré leurs primes de bogues et leurs audits de sécurité réguliers, ils ont été la cible de compromis de sécurité. De meilleurs programmes de bug bounty devraient aider leur cas, pour commencer. Augmenter la taille du personnel de sécurité peut être ou non la meilleure voie à suivre.
Avantages et inconvénients de LastPass
Avantages
Riche en fonctionnalités pour les utilisateurs gratuits
Sécurité augmentée
Facile à utiliser l’extension de navigateur
Peu coûteux
Inconvénients
La réponse du support est plus lente que celle de leurs concurrents
1.1 Accès universel – Synchronisation entre les appareils
C’est une fonctionnalité que beaucoup de leurs concurrents ne choisissent pas d’offrir gratuitement. LastPass est un coffre-fort de mots de passe basé sur Internet qui a décidé de supprimer le besoin d’un client de bureau lors de l’acquisition de Xmarks, une extension de navigateur Web qui permettait la synchronisation des mots de passe entre les navigateurs.
La synchronisation entre les appareils supprime le besoin de stocker les mots de passe sur un appareil particulier. Vous bénéficiez de la mobilité et de la portabilité d’un coffre-fort de mots de passe que vous pouvez emporter avec vos outils et vos identifiants de connexion LastPass. Emportez vos identifiants avec vous lors de vos déplacements. Connectez-vous à votre compte LastPass depuis n’importe où dans le monde et accédez à vos informations d’identification, notes et autres données que vous pouvez stocker. Avant 2016, cela n’était pas possible pour les utilisateurs gratuits. LogMeIn, la société mère de LastPass, a annoncé la disponibilité de cette fonctionnalité pour les utilisateurs gratuits, qui était auparavant réservée aux membres payants.
1.2 Importer et exporter des mots de passe
Juste après l’installation du client de bureau LastPass et la connexion, l’option d’importation de mots de passe à partir d’autres navigateurs et gestionnaires apparaît dans la fenêtre de l’assistant d’installation. Vous pouvez importer des mots de passe à partir de divers navigateurs Web, de plus de deux douzaines d’autres gestionnaires de mots de passe de toutes sortes et de documents CSV, entre autres.
L’option d’importation de mots de passe à partir de navigateurs est également accessible ultérieurement en exportant les mots de passe des navigateurs vers un document CSV, puis en les important à partir du panneau Web, sous Paramètres avancés.
Pour Firefox, reportez-vous à cette extension gratuite et les utilisateurs de Chrome peuvent consulter celle-ci pour exporter leurs informations d’identification dans un document au format CSV générique.
Dans tous les cas, si vous passez à un autre gestionnaire de mots de passe pour une raison quelconque, exportez les informations d’identification de l’utilisateur au format CSV. Pour ce faire, connectez-vous à votre panneau Web et dirigez-vous vers la barre latérale rétractable sur le côté gauche. Cliquez sur les trois points avec plus d’options écrites juste à côté d’eux. Une longue liste d’options apparaîtra dans un menu vertical. Cliquez sur exporter et une boîte de dialogue apparaîtra. Enregistrez le document dans un emplacement sécurisé sur votre ordinateur de bureau/ordinateur portable.
1.3 Plusieurs options de récupération de mot de passe principal
Dans le cas malheureux où vous oubliez ou perdez votre clé principale, LastPass a quelques options pour la récupérer.
Envoyer un indice de mot de passe
Lorsque vous configurez le mot de passe principal pour la première fois, il vous invite à configurer un indice qui peut être utilisé pour mémoriser votre mot de passe ou offrir un indice sur l’emplacement du mot de passe si vous l’avez stocké dans un endroit sûr.
Accédez à la pageMot de passe oublié. Entrez votre e-mail enregistré et cliquez sur le gros bouton rouge envoyer un indice. LastPass enverra l’indice par SMS au numéro de téléphone que vous avez fourni pour votre compte.
Si vous ne l’avez pas déjà fait, vous pouvez configurer un indice en vous rendant dans les paramètres du compte situés dans la barre latérale à gauche. Sous l’onglet Général, faites défiler jusqu’à la section Récupération SMS. Ajoutez votre numéro de téléphone, y compris le code du pays, et terminez le processus de vérification OTP. Remarque : fournissez uniquement un numéro de téléphone que vous prévoyez de conserver pendant longtemps.
Récupération de compte à l’aide d’un mot de passe à usage unique
Le mot de passe à usage unique est utilisé pour réinitialiser votre mot de passe principal au cas où vous l’auriez égaré ou que vous ne vous en souveniez plus. La récupération par SMS permet aux utilisateurs d’entrer leurs adresses e-mail sur la page de récupération et de recevoir l’OTP. Cependant, si vous ne l’avez pas activé mais que l’e-mail de sécurité est en place, un e-mail contenant des instructions de récupération sera envoyé à l’e-mail désigné à cet effet. L’e-mail contient un lien qui vous dirigera vers une page où le nouveau mot de passe principal peut être défini.
Revenir à un ancien mot de passe
Si vous vous souvenez de votre ancien mot de passe principal mais pas de l’actuel, vous pouvez l’utiliser pour vous connecter au coffre-fort. Cependant, il y a un hic à cela. L’ancien mot de passe principal vous amènera à la version de votre coffre-fort avec les données présentes dans le coffre-fort au moment où le mot de passe principal a été modifié. Remarque – Si votre mot de passe principal a été modifié au cours des 30 derniers jours, cette option ne fonctionnera pas.
1.4 Authentification en un clic
Pour être juste, une couche de sécurité supplémentaire est quelque chose dont personne ne se plaindrait. S’inquiéter que quelqu’un découvre votre mot de passe principal peut passer au second plan. L’authentification en un clic permet de vérifier le mot de passe par SMS, notification push automatisée ou code d’accès généré à 6 chiffres. Dès que vous essayez de vous connecter à partir de l’un de vos appareils avec les bonnes informations d’identification, un processus de vérification d’authentification démarre, en utilisant l’une des méthodes ci-dessus définies par l’utilisateur.
Pour activer la vérification basée sur les notifications push, vous devrez installer l’application d’authentification LastPass sur votre smartphone.
1.5 Règles d’URL et domaines équivalents
Certains sites Web peuvent ne pas prendre en charge l’option de remplissage automatique dans leurs formulaires de connexion de manière compatible. L’ajout d’entrées à l’onglet Jamais d’URL des paramètres du compte crée des exceptions pour lesquelles LastPass est ensuite désactivé. Des règles d’URL peuvent également être configurées pour réduire le nombre d’identifiants de connexion pour des utilisateurs similaires.
2. Application de bureau (collection d’extensions de navigateur)
Il n’y a pas d’application de bureau comme celle que nous avions dans RememBear ou 1Password. Le programme d’installation universel de LastPass fournit une collection d’extensions pour les principaux navigateurs Web tels que Chrome, Firefox, Safari et Opera. Des extensions autonomes peuvent également être installées si vous le souhaitez pour un navigateur Web particulier. Cependant, avant d’oublier, l’installateur universel a également la possibilité d’installer une extension pour le navigateur de votre choix (à partir de la liste ci-dessus).
Le panneau principal de la toile et de l’extension a une barre latérale pliable sur le côté gauche.
L’interface utilisateur d’inspiration minimaliste de l’extension est conviviale et dispose d’une fonctionnalité de recherche simple et rapide. La fonction de recherche fonctionne plutôt bien, en utilisant la méthode de combinaison de caractères pour trouver les éléments stockés. Le seul inconvénient que nous avons pu constater était que les notes jointes aux éléments n’étaient pas indexées pour la recherche. Cela pourrait être une petite touche supplémentaire bien que nous comprenions que des notes allongées pourraient nuire à la précision et à l’efficacité des résultats de la recherche.
En descendant, vous pouvez voir l’option Ouvrir mon coffre-fort qui vous amène au panneau Web de LastPass si vous souhaitez gérer vos informations d’identification. Le panneau est identique au panneau Web utilisé après la connexion via leur URL officielle.
Ensuite, il y a l’option Tous les éléments qui contient des mots de passe, des adresses, des notes, des cartes de paiement et des coordonnées bancaires. L’option permettant de modifier l’une des informations d’identification se trouve juste à côté de chacune d’entre elles. Lorsque vous cliquez sur le bouton d’édition, un nouvel onglet s’ouvre avec la boîte de dialogue d’édition. Cela peut être utile dans les cas où un grand nombre d’informations d’identification sont impliquées.
L’ajout d’un nouvel élément ne nécessite que quelques clics. L’option Ajouter un élément peut être utilisée pour ajouter toutes sortes d’informations d’identification proposées par LastPass, allant du permis de conduire aux informations de la base de données. La gestion des mots de passe représente beaucoup de travail avec la charge supplémentaire de créer de nouveaux mots de passe sécurisés pour les identifiants de connexion pour les nouvelles authentifications. Le générateur de mot de passe sécurisé est là pour alléger ce fardeau.
Les mots de passe générés peuvent contenir jusqu’à 99 caractères avec la possibilité d’inclure des chiffres, des minuscules et des majuscules, etc. Ce que nous avons manqué dans le générateur de mot de passe LastPass était l’option de mot de passe mot/phrase. Vous pouvez accéder à la plupart des paramètres (à l’exception de l’authentification et de la sécurité) à partir des options du compte. Récemment utilisé affiche la liste des informations d’identification récemment consultées/modifiées. Dès que vous cliquez sur l’option Comptes dans l’onglet de contrôle des extensions, il faut 5 à 6 secondes pour que les paramètres apparaissent. À certaines occasions, il ne s’est pas affiché et l’onglet s’est figé et nous avons dû actualiser l’onglet du navigateur.
3. Application mobile
L’application est disponible pour Android et iOS. Vous pouvez obtenir le lien de téléchargement en entrant votre identifiant de messagerie sur leur page de téléchargement si vous n’aimez pas passer par les magasins d’applications officiels.
L’application mobile possède toutes les fonctionnalités présentes sur le panneau Web, telles que la recherche, la possibilité d’ajouter de nouveaux éléments et de modifier les éléments existants, à l’exception d’un navigateur Web intégré. Le navigateur Web, appelé InBrowser, est en phase bêta. Il dispose d’une fonctionnalité de navigation basée sur des onglets, qui peut être désactivée pour une expérience générique à fenêtre unique à partir des paramètres.
L’apparence et la convivialité sont similaires à celles de Google Chrome. Vous avez la possibilité d’enregistrer les informations d’identification sur une URL particulière en visitant le site Web et en utilisant l’option d’enregistrement du site à partir du bouton vertical à trois points dans le coin supérieur droit de la barre standard du navigateur. Vous pouvez demander la version de bureau d’une page Web si la version mobile semble inadéquate pour une raison quelconque.
Les formulaires de site Web peuvent également être remplis à partir de l’option du bouton vertical. L’option Remplir les formulaires répertorie toutes les informations d’identification Web que vous avez stockées. Les développeurs de LastPass ont promis de renforcer la sécurité de leur navigateur intégré à l’application. Chaque fois que vous réduisez ou quittez l’application ou le navigateur, il vous invite à effacer l’historique du navigateur. Cependant, cela peut être désactivé en fonction de vos préférences. Les chances d’intrusions non sollicitées dans l’application sont faibles. La présence de la minuterie, de l’inactivité, de l’inactivité et du verrouillage de l’écran réduit au minimum les risques d’intrusion au cas où votre téléphone traînerait quelque part déverrouillé.
L’authentification de l’application est suffisamment augmentée pour tenir à distance les intrusions de tiers. La connexion par empreinte digitale, pour laquelle les informations d’identification sont extraites des informations d’authentification par empreinte digitale par défaut du téléphone, est un bonus. Il n’est pas nécessaire d’entrer le mot de passe principal. Ouvrez l’application et authentifiez votre identité avec votre empreinte digitale. Remarque – L’authentification basée sur la numérisation d’empreintes digitales nécessite que votre téléphone soit équipé d’un lecteur d’empreintes digitales. Vérifiez auprès du fabricant de votre smartphone si vous n’êtes pas sûr.
4. Sécurité
La sécurité est de la plus haute importance pour les utilisateurs. Par le passé, LastPass a été victime de plusieurs incidents de sécurité. Cependant, ils ont toujours remédié à leur retour. Les données sont stockées à l’aide du cryptage AES 256 bits, ce qui signifie que les pirates et les voleurs de données auront beaucoup de mal à pénétrer le cryptage sans la clé de cryptage. D’autres gestionnaires de mots de passe comme 1Password et RememBear s’appuient également sur ce niveau de cryptage. La sécurité du mot de passe est renforcée grâce à la fonction de dérivation de clé basée sur un mot de passe (PBKDF2). Le cryptage SHA-256 fourni avec PBKDF2 crypte le mot de passe principal et crée un hachage de connexion à l’aide de ce dernier.
Demander de ressaisir les mots de passe pour des actions spécifiques lors de la saisie des mots de passe d’accès, des notes, etc. est bénéfique dans les cas où le panneau Web est laissé sans surveillance pendant une minute ou deux par l’utilisateur.
Cependant, si l’utilisateur est pressé et préfère un accès ininterrompu à ses données, il peut le désactiver dans les prochaines 24 heures à partir de la fenêtre de réinvite qui apparaît, demandant de confirmer l’identité. Lorsque nous l’avons testé, il y avait un retard et un décalage dans la fenêtre contextuelle de réinvite du panneau Web. De plus, il n’apparaissait pas à de nombreux endroits et il fallait parfois de 8 à 10 secondes pour apparaître sur notre connexion Internet fibre 50 Mbps.
L’authentification multifacteur est l’endroit où LastPass a vraiment amélioré son niveau de sécurité par rapport à tous ses concurrents. L’authentification multifacteur ajoute une couche de sécurité supplémentaire qui oblige l’utilisateur qui s’authentifie à vérifier son identité avec une deuxième étape de connexion. En règle générale, cela nécessite l’approbation de la notification push ou un mot de passe à usage unique sur votre smartphone ou une clé USB (fonctionnalité premium), entre autres moyens d’authentification proposés par LastPass.
La version gratuite propose 8 types d’authentificateurs différents, dont l’authentificateur de LastPass, l’authentificateur Google, etc.
Vous pouvez ajouter des appareils de confiance qui ne nécessiteront pas d’authentification multifacteur. Ceci est valable pendant 30 jours, après quoi vous devez ajouter à nouveau l’appareil de confiance.
5. Convivialité
Le niveau de convivialité est supérieur à la moyenne sinon excellent. Le score le plus bas peut être attribué au grand nombre de fonctionnalités offertes par LastPass. Plein de points pour les extensions, qui sont assez faciles à utiliser. Toutes les fonctionnalités sont là avec une option de recherche complémentaire.
La visite du coffre-fort sur le panneau Web pourrait avoir du contenu supplémentaire pour aider l’utilisateur à se familiariser avec toutes les fonctionnalités et tous les paramètres clés. Une courte visite du coffre-fort suivie d’une option pour « explorer plus loin » serait une bonne idée. Pour résumer, LastPass obtient des notes décentes en termes de convivialité et peut être amélioré dans les futures mises à jour. Ils peuvent s’inspirer de RememBear, qui est un nouveau venu prometteur dans le quartier.
6. Support
La section base de connaissances de leur site officiel contient une grande quantité d’informations concernant les opérations, le dépannage et les fonctionnalités. D’autres requêtes peuvent être transmises à l’équipe d’assistance.
Les utilisateurs gratuits doivent attendre jusqu’à 72 heures pour une réponse de l’équipe d’assistance. Nous ne pouvons pas leur en vouloir car ils ont une large base d’utilisateurs et donner la priorité aux clients premium est ce qui les maintient à flot sur ce marché concurrentiel. Une fois que vous avez créé un ticket depuis leur section d’assistance, un e-mail de confirmation avec l’identifiant du ticket est envoyé à votre adresse e-mail dès qu’ils reçoivent votre message. La section d’assistance pour les utilisateurs connectés comprend une section complète pour la communication avec le personnel d’assistance. Le ticket expire dans 4 jours si vous ne répondez pas à leur message.
Leur compte d’assistance Twitter @LastPassHelp est assez actif pour fournir une assistance et une escalade des tickets au personnel d’assistance.
7. Avantages du compte premium
7.1 Affacturage multiple supplémentaire
Il existe 4 options de multi-factorisation supplémentaires en plus des 8 que vous obtenez dans la version gratuite. Ces options supplémentaires incluent l’authentification Yubico par clé USB, ainsi que des capteurs d’empreintes digitales et des lecteurs de cartes.
7.2 Accès d’urgence
Avec l’accès d’urgence, vous pouvez choisir de donner à une personne de confiance l’accès à notre coffre-fort en cas d’urgence lorsque vous ne pouvez pas y accéder. Il y a un délai d’accès qui est défini par l’utilisateur. Le délai d’accès fonctionne de la manière suivante :
L’UTILISATEUR A ajoute un DE CONFIANCE B à la liste de confiance
L’UTILISATEUR A fixe un délai de 2 heures pour l’accès
DE CONFIANCE B essaie d’accéder au coffre-fort. Il doit attendre 2 heures avant de pouvoir accéder au coffre-fort. Au moment où DE CONFIANCE B essaie d’accéder au coffre-fort, un e-mail est envoyé pour avertir l’UTILISATEUR A.
L’UTILISATEUR A peut refuser l’accès dans les 2 heures pour une raison quelconque s’il le souhaite. Ne pas le faire donnera à DE CONFIANCE B l’accès au coffre-fort tel que désigné et prévu par l’UTILISATEUR A.
Remarque – Si votre forfait premium expire et qu’un contact d’urgence est en place, il continuera à fonctionner. Cependant, aucun utilisateur/contact ne peut être ajouté.
7.3 Partage d’objets
Vous avez la possibilité de partager des éléments d’identification d’utilisateur et même des dossiers avec d’autres par e-mail, leur accorder l’accès est ce que vous obtenez dans les plans premium. Une fonctionnalité similaire est gratuite dans le gestionnaire de mots de passe de TunnelBear, RememBear, où un lien d’autodestruction est créé pour partager les informations d’identification.
7.4 IE Anywhere
Les utilisateurs qui sont toujours en mouvement et doivent souvent faire face à des connexions Internet non fiables préféreraient utiliser cette fonctionnalité à la place. Avec IE Anywhere, vous pouvez transporter vos informations d’identification sur votre clé USB. Vous devrez installer l’extension IE Anywhere de LastPass sur la clé USB et accéder à vos éléments de coffre-fort à partir de celle-ci. Il n’est pas nécessaire d’installer des extensions de navigateur ou d’accéder au panneau Web. Remarque – Le coffre-fort USB peut contenir un maximum de 5 000 éléments et les performances commencent à se dégrader après 2 500 éléments, comme indiqué dans leur manuel d’assistance.
Marcus est un analyste en cybersécurité spécialisé dans les services VPN et proxy. En tant que fondateur et force motrice d'un important site Web de VPN et de proxy, Private Proxy Guide, Marcus s'est imposé comme une autorité de confiance dans le domaine numérique. Passionné par l'évolution des cybermenaces, il a joué un rôle essentiel dans l'éducation des particuliers et des entreprises et leur a donné les moyens de protéger leur présence en ligne.
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional
Toujours activé
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
