Lastpass est un gestionnaire de mot de passe gratuit (ou payant) très connu, que j’utilise depuis des années et dont je vais vous parler aujourd’hui.
Ce que j’aime chez certains gestionnaires de mot de passe, c’est qu’on peut les oublier. C’est-à-dire qu’ils ne deviennent pas un frein à l’accès de nos mots de passe. Grâce aux extensions, à l’application en elle-même…etc., l’expérience est fluide. Et c’est le cas, ici avec LastPass.
Principe de fonctionnement
LastPass est un coffre-fort numérique protégé par un chiffrement costaud qui permet de stocker tous vos identifiants, mais également vos notes personnelles, vos cartes bancaires, vos comptes en banque, vos adresses, ou toute autre information personnalisée. C’est vous qui choisissez.
Les données que vous entrez dans LastPass sont ensuite envoyées de manière sécurisée sur leurs serveurs, ce qui permet de synchroniser plusieurs de vos appareils ou de récupérer votre coffre-fort de mots de passe depuis n’importe quelle machine neuve.
Les fonctionnalités
Les fonctionnalités sont nombreuses. Lorsque vous saisissez un nouvel identifiant dans LastPass, vous pouvez par exemple pour chacun d’entre eux activer ou désactiver le remplissage automatique dans les formulaires. Ou encore forcer la connexion automatique, c’est-à-dire que les identifiants seront entrés automatiquement et que la connexion s’effectuera dans la foulée sans action de votre part.
Vous pouvez aussi pour certains identifiants, redemander le mot de passe maître à chaque fois que vous voulez les utiliser. Cela permet de renforcer la sécurité de certains éléments.
J’aime bien aussi la fonctionnalité des Notes qui permet de remplacer des logiciels comme Evernote en beaucoup plus basique et qui offre également la possibilité d’y adjoindre des pièces jointes. Moi je réserve ça à de la documentation personnelle un peu sensible que je ne veux pas voir traîner.
Le fait d’y saisir d’autres données comme un numéro de CB, le numéro de TVA de votre entreprise, votre adresse, votre nom…etc. vous permet de remplir en un clin d’oeil et en un clic droit, tous les champs de formulaire sur vos sites préférés, y compris e-commerce. Rien que pour la CB, comme je passe ma vie à perdre mon portefeuille, c’est super pratique de l’avoir sous forme numérique.
Pour quels OS ?
LastPass est un outil qui fonctionne sous macOS, Windows, Linux, mais également sur mobile avec des versions pour iOS (iPhone + iPad), Android et Windows Phone (oui oui).
Les clients lourds fonctionnent très bien, mais je les trouve un peu moches graphiquement.
Les extensions pour navigateurs
Le plus souvent, les gestionnaires de mots de passe fonctionnent de concert avec une extension pour le navigateur, ce qui leur permet de remplir automatiquement les champs sur les sites web, mais également d’enregistrer de nouveaux identifiants lorsque vous vous créez un compte par exemple.
LastPass propose des extensions pour Firefox et Chrome évidemment, mais également pour Safari, Microsoft Edge, Opera.
L’abonnement LastPass
L’offre LastPass se décline en 3 versions. Une version entreprise qui démarre à 3 $ par utilisateur avec des options en plus comme la gestion par équipe ou l’authentification multi facteur, une version pour les particuliers qui démarre également à partir de 3$ par mois avec plus de stockage, ou encore du partage familial.
Et la 3e possibilité, c’est la version 100% gratuite qui supporte un utilisateur unique et l’ensemble des options à part le partage des mots de passe avec les amis et la famille et le 1 Go de stockage.
Honnêtement, je l’ai utilisé pendant des années en version gratuite et à aucun moment, je ne me suis senti bloqué. Donc je vous conseille de rester là-dessus, sauf évidemment, si vous voulez partager vos mots de passe avec votre famille.
Mise à jour février 2021 : Lastpass vient d’annoncer sur son blog que la version gratuite de son outil allait subir quelques modifications à partir du 16 mars 2021.
À compter de cette date, il ne sera plus possible de bénéficier du support par email ni de gérer ses mots de passe conjointement sur ordinateur et sur téléphone. Il faudra faire un choix. Je précise que cette restriction n’est pas limitée à une seule machine. Si vous optez pour le mode mobile vous pourrez installer Lastpass sur votre Android perso, sur votre iPhone pro, sur une smartwatch ou un iPad, etc., mais pas sur votre Windows de bureau ou votre laptop Linux. À l’inverse, si vous optez pour le mode desktop, vous pourrez accéder à votre compte depuis vos ordinateurs de bureau, votre navigateur et vos laptops, mais pas depuis votre mobile.
Important : ce sera votre première connexion au service, dès le 16 mars à minuit, qui va décider du mode appliqué par défaut (mobile ou desktop). Il sera possible de modifier ce choix jusqu’à 3 fois, mais ensuite vous serez bloqué.
Source
Les générateurs de LastPass
Comme avec la plupart des gestionnaires de mots de passe, vous pouvez générer vos mots de passe avec différents critères comme la longueur, le type de caractères (majuscules, minuscules, chiffres, symboles) et là en plus, vous pouvez également choisir si vous voulez des mots de passe facile à prononcer.
LastPass propose également la même chose pour la génération des noms d’utilisateur, ce qui peut être également un moyen de renforcer la sécurité de votre compte, en changeant systématiquement de pseudo pour chacun de vos comptes…
Ces générateurs sont intégrés à LastPass, mais la beauté de la chose, c’est qu’ils sont également disponibles en version web pour tous. Donc vous pouvez vous en servir même si vous n’êtes pas utilisateur de LastPass.
La sécurité au sein de LastPass
Comme la plupart des services similaires, LastPass utilise du chiffrement de bout en bout pour sécuriser votre coffre-fort de mots de passe.
Il s’agit d’un chiffrement AES 256 bits couplé à un algo de dérivation de clé PBKDF2.
Concernant les failles de sécurité, LastPass dispose de son programme de bug bounty, et il est arrivé par le passé que LastPass se fasse « pirater ». C’est arrivé une seule fois en 2015 et aucun client n’a été menacé grâce justement à la politique Zero Knowledge mis en place qui fait que seul l’utilisateur a connaissance de sa propre clé de chiffrement et lui seul pour déchiffrer le contenu de son coffre. Donc, même si demain, un attaquant emporte 100% de ce qu’il y a sur les serveurs de LastPass, il n’aura jamais accès au contenu chiffré. C’est assez rassurant.
La double authentification
LastPass propose également une application gratuite de type Authenticator pour gérer l’ensemble de vos codes de double authentification. Ce qui est intéressant avec cette app, c’est que vos codes sont également stockés dans votre coffre-fort donc si vous formatez votre smartphone, vous pouvez les restaurer à partir de votre compte.
Évidemment, si quelqu’un a accès à l’ensemble de votre coffre fort parce que vous avez été négligent, il peut potentiellement, avoir aussi accès à vos codes 2FA. Donc à vous de voir ce que vous faites avec ça.
Le partage familial
Bien que ce soit une option payante comme dans Sticky Password, le partage familial est quand même super pratique, car cela permet d’échanger des accès avec d’autres personnes (amis ou famille). Et le truc est plutôt bien pensé, car vous pouvez choisir si vous autorisez ou pas la visualisation du mot de passe à la personne à qui vous partagez l’accès. L’autre fonctionnalité super intéressante, c’est pour la transmission de votre coffre-fort. Vous pouvez choisir un membre de votre famille comme légataire de vos mots de passe. Et ensuite une durée au bout de laquelle vos accès lui seront transmis. Ainsi, en cas de décès de votre part, votre contact de confiance pourra faire une demande d’accès à votre portefeuille. De votre côté, vous recevrez un email qui vous informe de la demande.
Si vous êtes toujours vivant, vous cliquez et la demande sera déclinée, mais si vous être mort, au bout d’un temps que vous aurez défini, par exemple 15 jours, votre contact récupérera alors l’accès complet à votre coffre-fort. Pratique pour assurer ses arrières en termes de vie numérique post-mortem.
L’évaluation de votre coffre-fort
LastPass ne se contente pas de stocker uniquement vos mots de passe, mais est également capable d’analyser votre coffre-fort pour vous dire si vos mots de passe sont redondants, s’ils sont suffisamment costaud ou encore s’il y a eu des fuites sur le darknet ou autres de vos identifiants.
Bref, LastPass propose une veille active de nos comptes et cela permet de réagir rapidement et d’améliorer la sécurité de ses accès, ce qui n’est pas négligeable.
Et en cas de mot de passe perdu ?
Et bien là, c’est à vous de préparer le terrain en amont. Vous pouvez faire une demande de mot de passe perdu, mais cela passera par un numéro de téléphone tiers utilisé pour la récupération du compte.
Conclusion
En conclusion, je dirai que LastPass est un gestionnaire de mots de passe très complet, avec un excellent niveau de sécurité. Il est parfaitement utilisable en version gratuite et cela depuis des années. LastPass n’a pas une politique commerciale agressive. Si vous êtes en version gratuite, vous ne serez pas harcelé avec des messages publicitaires pour basculer sur la version payante.
Toutefois, c’est une solution hébergée par un tiers, donc à vous de voir ce que vous préférez. Gérer vous-même votre coffre-fort avec un outil comme Bitwarden hébergé sur votre serveur, au risque de faire des erreurs en termes de sauvegardes et de sécurité. Ou utiliser ce genre de service hébergé et géré par des gens plus compétents que vous ou qui ont plus de temps que vous pour s’en occuper.