Faut-il prendre ses distances avec LastPass ? Un chercheur en sécurité le recommande. Voilà deux semaines qu’il a publié un billet à charge contre le gestionnaire de mots de passe. La démarche a eu un certain retentissement.
Que dénonce l’intéressé ? Le recours à des modules de suivi. D’après les mesures du Guardian Project, ces trackers se comptent au nombre de sept dans la dernière version de LastPass pour Android.
Dans l’absolu, c’est plus que chez les principaux concurrents : quatre chez Dashlane, deux chez Bitwarden, aucun chez 1Password, etc. Le chercheur y voit surtout autant de risques non seulement pour la confidentialité, mais aussi pour la sécurité. Et pour cause : le code de ces trackers se retrouve généralement intégré directement dans les applications.
Une analyse du trafic réseau a permis de caractériser tous ces modules – qui s’activent tous, à une exception près, immédiatement après le lancement de LastPass. Quatre d’entre eux sont liés à Google. Les trois autres, respectivement à AppsFlyer, Mixpanel et Segment, des plates-formes marketing.
Le tracker Mixpanel transmet essentiellement des données techniques relatives à l’appareil et à l’application. Cela va du fabricant à la définition d’écran en passant par le statut de l’identification biométrique (active ou non).
Celui d’AppsFlyer transmet des informations similaires, en ajoutant des éléments comme l’opérateur et l’identifiant publicitaire Google. Celui de Segment s’enclenche à la création d’un compte.
Pendant l’utilisation de l’application, certains trackers communiquent des métadonnées supplémentaires. Par exemple pour faire état de la création d’entrées (mots de passe, URL…) ou de l’écran affiché.
Que rétorque LastPass ? Trois éléments en particulier :
Sur le Play Store, la déclaration de LastPass relative à la protection des données ne spécifie qu’un partenaire : Google.
La politique de confidentialité de la maison mère LogMeIn nomme aussi Adobe… et c’est tout. « Nous partageons vos données personnelles […] avec des prestataires de services tiers couverts par des obligations appropriées de confidentialité et de sécurité », peut-on lire.
Les conditions générales d’utilisation des services LogMeIn laissent aussi la porte ouverte à des transferts vers des tiers. L’entreprise y rappelle son « besoin » de disposer de données de diagnostic pour assurer la prestation, l’exploitation et l’amélioration de ses services.
En toile de fond, la date du 16 mars 2021. À partir de là, les utilisateurs de la version gratuite de LastPass devront choisir : protéger soit leurs ordinateurs, soit leurs appareils mobiles. Mais plus les deux à la fois.
Photo d’illustration © Rawpixel.com – stock.adobe.com
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…