Un chercheur en sécurité recommande de ne pas utiliser LastPass après avoir découvert 7 trackers dans l’application

Un chercheur en sécurité recommande de ne pas utiliser le gestionnaire de mots de passe LastPass après avoir découvert sept trackers dans l’application Android. Bien que rien n’indique que les trackers, qui ont été analysés par Mike Kuketz, transfèrent les mots de passe ou les noms d’utilisateur réels d’un utilisateur, il dit que leur présence est une mauvaise pratique pour une application de sécurité critique traitant des informations aussi sensibles que les mots de passe des utilisateurs.

Les utilisateurs peuvent se désinscrire dans le menu des paramètres avancés

En réponse à cette découverte un porte-parole de LastPass affirme que la société recueille des données limitées « sur la façon dont LastPass est utilisé » pour aider la société à « améliorer et optimiser le produit ». Il est important de noter que LastPass indique qu’ « aucune donnée sensible d’utilisateur personnellement identifiable ou d’activité de la chambre forte ne peut passer par ces traqueurs » et que les utilisateurs peuvent se désengager des analyses dans la section « Vie privée » du menu « Paramètres avancés ».

Quatre des trackers de LastPass proviennent de Google qui s’occupent de l’analyse et des rapports d’incidents, ainsi qu’un d’une société appelée «Segment », qui recueillerait des données pour les équipes de marketing. Mike Kuketz a analysé les données transmises et a découvert qu’elles comprenaient des informations sur la marque et le modèle du smartphone, ainsi que des informations indiquant si un utilisateur a activé la sécurité biométrique. Même si les données transmises ne sont pas personnellement identifiables, le simple fait d’intégrer ce code tiers introduit potentiellement des vulnérabilités de sécurité.

Si vous utilisez effectivement LastPass, je vous recommande de changer le gestionnaire de mots de passe. Il existe des alternatives qui n’envoient pas en permanence des données à des tiers et n’enregistrent pas le comportement des utilisateurs.

Mike Kuketz

LastPass n’est pas le seul gestionnaire de mots de passe à inclure des traqueurs comme celui-ci, mais il semble en utiliser plus que de nombreux concurrents populaires. L’alternative gratuite Bitwarden n’en a que deux selon Exodus Privacy, tandis que RoboForm et Dashlane en ont quatre, et 1Password n’en a aucun.

Ce rapport fait suite à l’annonce faite par LastPass de limiter fortement les fonctionnalités de son niveau gratuit. Alors que les utilisateurs gratuits peuvent actuellement stocker un nombre illimité de mots de passe sur tous les appareils sans limitation, ils devront bientôt choisir le type d’appareil sur laquelle ils pourront visualiser et gérer leurs mots de passe : “Mobile” ou “Ordinateur” sinon il faudra passer à la version payante. Ces changements entreront en vigueur le 16 mars.