Faut-il prendre ses distances avec LastPass ? Un chercheur en sécurité le recommande. Voilà deux semaines qu’il a publié un billet à charge contre le gestionnaire de mots de passe. La démarche a eu un certain retentissement.
Que dénonce l’intéressé ? Le recours à des modules de suivi. D’après les mesures du Guardian Project, ces trackers se comptent au nombre de sept dans la dernière version de LastPass pour Android.
Dans l’absolu, c’est plus que chez les principaux concurrents : quatre chez Dashlane, deux chez Bitwarden, aucun chez 1Password, etc. Le chercheur y voit surtout autant de risques non seulement pour la confidentialité, mais aussi pour la sécurité. Et pour cause : le code de ces trackers se retrouve généralement intégré directement dans les applications.
Une analyse du trafic réseau a permis de caractériser tous ces modules – qui s’activent tous, à une exception près, immédiatement après le lancement de LastPass. Quatre d’entre eux sont liés à Google. Les trois autres, respectivement à AppsFlyer, Mixpanel et Segment, des plates-formes marketing.
Le tracker Mixpanel transmet essentiellement des données techniques relatives à l’appareil et à l’application. Cela va du fabricant à la définition d’écran en passant par le statut de l’identification biométrique (active ou non).
Celui d’AppsFlyer transmet des informations similaires, en ajoutant des éléments comme l’opérateur et l’identifiant publicitaire Google. Celui de Segment s’enclenche à la création d’un compte.
Pendant l’utilisation de l’application, certains trackers communiquent des métadonnées supplémentaires. Par exemple pour faire état de la création d’entrées (mots de passe, URL…) ou de l’écran affiché.
Que rétorque LastPass ? Trois éléments en particulier :
Sur le Play Store, la déclaration de LastPass relative à la protection des données ne spécifie qu’un partenaire : Google.
La politique de confidentialité de la maison mère LogMeIn nomme aussi Adobe… et c’est tout. « Nous partageons vos données personnelles […] avec des prestataires de services tiers couverts par des obligations appropriées de confidentialité et de sécurité », peut-on lire.
Les conditions générales d’utilisation des services LogMeIn laissent aussi la porte ouverte à des transferts vers des tiers. L’entreprise y rappelle son « besoin » de disposer de données de diagnostic pour assurer la prestation, l’exploitation et l’amélioration de ses services.
En toile de fond, la date du 16 mars 2021. À partir de là, les utilisateurs de la version gratuite de LastPass devront choisir : protéger soit leurs ordinateurs, soit leurs appareils mobiles. Mais plus les deux à la fois.
Photo d’illustration © Rawpixel.com – stock.adobe.com
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.