LastPass piraté : comment réagit la concurrence
Des incitations chez certains, des ressources de migration globalement très hétérogènes... Comment les concurrents de LastPass se positionnent-ils après le piratage de ce dernier ?
Après le piratage de LastPass, faut-il changer de gestionnaire de mots de passe ? Les principaux concurrents se gardent de le suggérer... pour la plupart.
Keeper fait figure d'exception. Ces dernières semaines, il a multiplié les incitations, sous la forme de billets de blog. À commencer, le 5 décembre, par « Comment supprimer votre compte LastPass ». Le 23 a suivi « Piratage de LastPass : ce que vous devriez savoir ». Puis, le 27, « Comment identifier les mots de passe importés depuis LastPass à mettre à jour ».
Cette série de publications n'est qu'une facette d'une démarche notablement agressive vis-à-vis de la concurrence. La rubrique « Keeper comparé à », en bas de la page d'accueil du site, en est un autre symbole. LastPass y est le premier listé, suivi de Dashlane, 1Password, KeePass et Bitwarden.
RoboForm aussi a publié son « comparatif »... qui commence à dater (janvier 2019). Sa documentation en ligne le complète, avec un article « Comment importer depuis LastPass ». Le processus est mis en images. RoboForm a choisi, comme véhicule, l'extension navigateur de LastPass. Tout en précisant que l'exportation est aussi possible par l'intermédiaire de l'interface web et de l'application de bureau.
Chez Bitwarden, la documentation est plus précise. Elle donne la marche à suivre autant pour l'extension LastPass que pour la version web. Et surtout, un aperçu des problèmes qui peuvent se poser au moment du basculement. Par exemple, la création de doublons. Ou la nécessité d'importer manuellement certains éléments, comme les pièces jointes, la corbeille et l'historique des mots de passe.
LastPass Enterprise : une migration potentiellement plus délicate
Bitwarden propose une documentation spécifique à la migration depuis LastPass Enterprise. Et là, les choses se compliquent un peu plus. En particulier pour transférer les dossiers partagés. Une manoeuvre qui peut exiger plusieurs exportations ou bien l'assignation temporaire de tous les dossiers à un utilisateur unique.
Vidéo à l'appui, la documentation de 1Password aborde aussi la question des dossiers partagés. Avec un renvoi vers l'assistance de LastPass pour des utilisateurs finaux qui ne disposeraient pas de toutes les permissions nécessaires.
Il y est aussi question de ce que deviennent les éléments importés. On découvre, entre autres, que certains types d'enregistrements LastPass comme les clés SSH et les comptes de messagerie instantanée atterrissent dans le réceptacle « par défaut » des « notes sécurisées ».
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Le principe des notes sécurisées se retrouve chez Dashlane. Qui précise, en particulier, que l'importation LastPass n'est disponible que sur ses applis web et Android. Comme chez Bitwarden, il existe une autre section de documentation consacrée aux versions payantes.
Des procédures spécifiques
Chez Norton, pas de « double documentation », mais une page réunissant toutes les sources prises en charges pour l'importation. LastPass y figure aux côtés de Dashlane, 1Password, McAfee TrueKey et le duo Chrome-Firefox. Différence est faite entre les versions de LastPass avec ou sans le composant binaire. La première peut exporter des fichiers CSV. La seconde ouvre les données dans une page web.
Pour la partie exportation, Trend Micro se contente de rediriger vers la documentation de LastPass. Laquelle comprend des procédures spécifiques pour, entre autres, les mots de passe Wi-Fi, les éléments de formulaires et les identités définies dans le coffre-fort.
Enpass a aussi intégré une vidéo dans sa documentation. Il n'y aborde qu'une option d'exportation, par la version web de LastPass. L'option application de bureau fait l'objet d'une page d'aide distincte. Le tout s'assortit d'un billet de blog « comparatif » de février 2021.
Le dernier post de Keeper comporte un renvoi vers un guide que l'éditeur avait publié en juin dernier. Il y présente essentiellement sa procédure de migration automatisée, idéale lorsque les utilisateurs finaux transfèrent eux-mêmes leurs mots de passe.
En complément, Keeper fait un lien vers un article à propos des « cas avancés ». Dans les grandes lignes, ceux qui impliquent l'intervention d'administrateurs. Il leur est recommandé de passer par l'outil en ligne de commande Keeper Commander. Et de veiller à certaines subtilités, notamment pour faire la correspondance entre types d'enregistrements.
Illustration principale © Rawpixel.com - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité