Dernier passage<\/p>\n
En ce qui concerne la s\u00e9curit\u00e9 des comptes, l’utilisation d’un gestionnaire de mots de passe est g\u00e9n\u00e9ralement une bonne id\u00e9e<\/a>. Mais que se passe-t-il si ce gestionnaire de mots de passe suit ce que vous faites et ne vous le dit m\u00eame pas\u00a0? Selon le chercheur en s\u00e9curit\u00e9 Mike Kuketz<\/a>, l’application Android LastPass dispose de sept trackers int\u00e9gr\u00e9s, et LastPass peut ne pas savoir quelles donn\u00e9es ils collectent.<\/p>\n Comme rep\u00e9r\u00e9 pour la premi\u00e8re fois par The Register, Kuketz a utilis\u00e9 les outils d’ Exodus Privacy<\/a> pour examiner l’application Android LastPass et a d\u00e9couvert sept trackers int\u00e9gr\u00e9s dans son code :<\/p>\n Bien qu’Exodus Privacy confirme la pr\u00e9sence de trackers, cela ne garantit pas qu’ils fassent quoi que ce soit. Kuketz a donc suivi la surveillance du r\u00e9seau tout en cr\u00e9ant un nouveau compte LastPass. Il a d\u00e9couvert que l’application atteignait presque tous les serveurs de trackers sans demander la permission au pr\u00e9alable.<\/p>\n Une inspection plus approfondie ne sugg\u00e8re pas que les traceurs ont transf\u00e9r\u00e9 des donn\u00e9es de nom d’utilisateur ou de mot de passe, mais il semble savoir quand l’utilisateur cr\u00e9e un mot de passe et quel type. Kuketz dit que l’inclusion d’un code de suivi de ce type dans un gestionnaire de mots de passe (ou une application similaire ax\u00e9e sur la s\u00e9curit\u00e9) n’est pas acceptable, car les d\u00e9veloppeurs ne peuvent pas \u00eatre pleinement conscients de ce que le code de suivi collecte. En effet, les trackers utilisent souvent un code propri\u00e9taire qui n’est pas ouvert \u00e0 l’inspection.<\/p>\n La quantit\u00e9 de donn\u00e9es semble \u00eatre importante, r\u00e9v\u00e9lant des informations sur l’appareil utilis\u00e9, l’op\u00e9rateur de t\u00e9l\u00e9phonie mobile, le type de compte LastPass et l’identifiant publicitaire Google de l’utilisateur (utilis\u00e9 pour connecter les donn\u00e9es de l’utilisateur entre les applications). Il y a suffisamment de donn\u00e9es pour cr\u00e9er un profil d\u00e9taill\u00e9 autour des informations les plus priv\u00e9es que vous stockez.<\/p>\n Selon Exodus Privacy, les autres gestionnaires de mots de passe n’utilisent pas autant de trackers. Bitwarden en a deux<\/a>, RoboForm<\/a> et Dashlane<\/a> en ont quatre et 1Password<\/a> n’en a aucun. Pourquoi LastPass en utilise autant n’est pas clair.<\/p>\n Dans une d\u00e9claration \u00e0 The Register, un porte-parole de LastPass a d\u00e9clar\u00e9: \u00ab\u2026 aucune donn\u00e9e d’utilisateur personnellement identifiable ou activit\u00e9 de coffre-fort ne peut \u00eatre transmise par ces trackers.\u00bb Le porte-parole a poursuivi en disant que vous pouvez d\u00e9sactiver les analyses dans le menu des param\u00e8tres. Pourtant, entre ce rapport et la r\u00e9cente modification apport\u00e9e par LastPass pour obliger les utilisateurs du niveau gratuit \u00e0 choisir entre la synchronisation sur ordinateur et sur mobile<\/a>, il est peut-\u00eatre temps de passer \u00e0 une autre alternative comme Bitwarden<\/a> ou 1Password<\/a>.<\/p>\n\n