LastPass : la sécurité malgré les trackers ?

Faut-il prendre ses distances avec LastPass ? Un chercheur en sécurité le recommande. Voilà deux semaines qu’il a publié un billet à charge contre le gestionnaire de mots de passe. La démarche a eu un certain retentissement.

Que dénonce l’intéressé ? Le recours à des modules de suivi. D’après les mesures du Guardian Project, ces trackers se comptent au nombre de sept dans la dernière version de LastPass pour Android.

Dans l’absolu, c’est plus que chez les principaux concurrents : quatre chez Dashlane, deux chez Bitwarden, aucun chez 1Password, etc. Le chercheur y voit surtout autant de risques non seulement pour la confidentialité, mais aussi pour la sécurité. Et pour cause : le code de ces trackers se retrouve généralement intégré directement dans les applications.

Une analyse du trafic réseau a permis de caractériser tous ces modules – qui s’activent tous, à une exception près, immédiatement après le lancement de LastPass. Quatre d’entre eux sont liés à Google. Les trois autres, respectivement à AppsFlyer, Mixpanel et Segment, des plates-formes marketing.

Le tracker Mixpanel transmet essentiellement des données techniques relatives à l’appareil et à l’application. Cela va du fabricant à la définition d’écran en passant par le statut de l’identification biométrique (active ou non).
Celui d’AppsFlyer transmet des informations similaires, en ajoutant des éléments comme l’opérateur et l’identifiant publicitaire Google. Celui de Segment s’enclenche à la création d’un compte.

Pendant l’utilisation de l’application, certains trackers communiquent des métadonnées supplémentaires. Par exemple pour faire état de la création d’entrées (mots de passe, URL…) ou de l’écran affiché.

LastPass : des partenaires passés sous silence ?

Que rétorque LastPass ? Trois éléments en particulier :

• L’ensemble des trackers sont des outils standard destinés à collecter des données relatives à l’utilisation du service.
• Aucune donnée personnelle sensible n’est envoyée.
• On peut désactiver le suivi dans les paramètres de l’interface web.

Sur le Play Store, la déclaration de LastPass relative à la protection des données ne spécifie qu’un partenaire : Google.
La politique de confidentialité de la maison mère LogMeIn nomme aussi Adobe… et c’est tout. « Nous partageons vos données personnelles […] avec des prestataires de services tiers couverts par des obligations appropriées de confidentialité et de sécurité », peut-on lire.

Les conditions générales d’utilisation des services LogMeIn laissent aussi la porte ouverte à des transferts vers des tiers. L’entreprise y rappelle son « besoin » de disposer de données de diagnostic pour assurer la prestation, l’exploitation et l’amélioration de ses services.

En toile de fond, la date du 16 mars 2021. À partir de là, les utilisateurs de la version gratuite de LastPass devront choisir : protéger soit leurs ordinateurs, soit leurs appareils mobiles. Mais plus les deux à la fois.

Photo d’illustration © Rawpixel.com – stock.adobe.com