LastPass est un gestionnaire de mots de passe américain créé en 2008. Il évolue désormais dans le giron de GoTo, une entreprise spécialisée dans les produits SaaS (« Software as a Service » ou « logiciel en tant que service » en français) depuis plus de 20 ans, fondée en Hongrie, mais opérant surtout sur le sol américain.
En 2019, GoTo a été racheté par un fonds d’investissement américain, Francisco Partners et, deux ans plus tard, LastPass a acquis un statut d’indépendance en sein de l’organigramme tentaculaire de l’entreprise. L’idée étant d’accélérer le développement du gestionnaire de mots de passe, affirmait le communiqué de presse de l’époque.
En bref : notre avis sur LastPass
Le verdict
On a aimé
- Version gratuite pour un appareil
- « Gamification » des premiers pas
- Interface mobile claire, moderne et rapide
On a moins aimé
- Pas d’appli de bureau dédiée
- Impossible de stocker des fichiers
- Interface vieillotte
LastPass est un gestionnaire de mots de passe assez simple, d’aucuns diraient basique. Mais il est aussi l’un des rares à proposer une version totalement gratuite, suffisante pour enregistrer des identifiants sur un ordinateur, par exemple. Dès que l’on souhaite synchroniser ses mots de passe sur différents appareils, la version payante devient obligatoire. Mais, pour le prix, on ne peut pas vraiment dire qu’on en a pour son argent.
C’est que LastPass souffre de la comparaison avec des services concurrents, comme le très abordable Bitwarden ou l’impeccable 1Password. Les fonctionnalités additionnelles sont chiches, l’interface globalement datée et, surtout, LastPass s’est tristement illustré ces dernières années pour des fuites de données qui ne donnent pas matière à lui accorder sa confiance pour gérer nos mots de passe — par définition ultrasensibles.
En définitive, LastPass est donc une solution à privilégier lorsqu’on n’a aucune envie de dépenser le moindre centime dans un gestionnaire. Mais cela devra donc se faire à vos risques et périls. Notre avis ? Il est préférable de dépenser quelques euros tous les mois dans un logiciel dans lequel vous pouvez avoir une confiance aveugle que de parier sur une solution gratuite, mais imparfaite.
Prise en main de LastPass : une interface un peu datée, sans appli PC
LastPass est un gestionnaire de mots de passe assez particulier en cela qu’il ne dispose pas d’application sur ordinateur. Tout se passe via l’extension, disponible sur tous les grands navigateurs du marché.
Le gestionnaire propose malgré tout une interface plutôt complète, même si elle paraît datée.
Pratique : le volet à droite permet de prendre connaissance des premières étapes pour bien paramétrer son compte. Cela prend la forme d’actions que l’on pourrait qualifier de « gamifiées ». À chaque étape franchie, on engrange des points qui, à terme, permettront de profiter d’une remise de 10 % sur le prix de l’abonnement Premium.
Même si elle n’est pas de dernière fraîcheur, l’interface de LastPass reste fonctionnelle. On accède rapidement à toutes les fonctionnalités souhaitées via le panneau latéral gauche, qui regroupe nos identifiants, notes et contacts. Celui-ci permet de se rendre dans le panneau de contrôle de la sécurité que nous détaillons plus bas.
Après avoir importé ses premiers mots de passe, la connexion à un site web est très simple. Il suffit de se rendre sur l’interface de connexion idoine, de s’assurer de sa bonne connexion à son compte LastPass et de sélectionner le compte souhaité dans la fenêtre d’autocomplétion.
À l’inverse, lorsqu’on désire créer un nouvel identifiant pour un site web inconnu, il faut aussi passer par l’extension de navigateur. Un simple clic sur le bouton « + » de l’interface fait apparaître le menu permettant de saisir les différentes informations de connexion et de générer un mot de passe robuste.
Notez qu’il est possible d’ajouter des informations de connexion depuis l’interface générale. On accède à davantage d’options par ce biais.
Sur mobile, l’application LastPass est tout aussi soignée et fonctionnelle. Sans fioriture, elle se présente dans un mode clair ou sombre et donne un accès immédiat aux identifiants, notes et autres types d’items enregistrés.
Une fois défini comme gestionnaire de mots de passe prioritaire dans les options de son smartphone, LastPass permet de se connecter très facilement à ses différents comptes, aussi bien sur le navigateur du téléphone que via les applis.
Créer un mot de passe et enregistrer un nouvel identifiant est également possible en quelques secondes.
Quel intérêt d’avoir LastPass ? Les principales caractéristiques
Comme les gestionnaires de mots de passe concurrents, LastPass réunit toutes les fonctionnalités courantes et prend en charge Android et iOS. Son extension existe sur Chrome, Firefox et Safari. Comptez également un espace de stockage sécurisé de 1 Go, un outil maison pour la double authentification et le support des passkeys, annoncé pour la fin 2023.
| Fonctionnalité attendue | Réponse |
|---|---|
| Existe-t-il une offre gratuite ? | ✓ |
| Gère-t-il et stocke les documents sensibles et personnels (pièce d’identité, CB…) ? | X |
| Remplit-il automatiquement les formulaires, y compris sur mobile ? | ✓ |
| Est-ce que l’on peut importer les mots de passe du navigateur ? | ✓ |
| Est-ce que l’on peut importer les mots de passe des gestionnaires de mots de passe concurrents ? | ✓ |
| Analyse-t-il la robustesse et la récurrence des mots de passe ? | ✓ |
| Est-ce que le gestionnaire de mots de passe est sécurisé avec la double authentification (2FA) ? | ✓ |
| Est-il possible de partager des mots de passe et des données à des tiers ? | ✓ |
| Alerte-t-il en cas de fuite de mot de passe ? | ✓ |
Comment se passe l’expérience LastPass pour un nouvel utilisateur ?
Au premier démarrage de LastPass, une invite nous propose immédiatement d’importer des mots de passe déjà hébergés sur d’autres services comme Google Chrome, iCloud, Bitwarden ou d’autres gestionnaires de mots de passe.
Virtuellement, tous les gestionnaires sont pris en charge, au sens où LastPass se repose en réalité sur le fichier .csv qu’il est possible d’obtenir depuis n’importe quel service du genre.
Une fois que l’on a importé le fichier .csv souhaité, une nouvelle page nous montre les identifiants et mots de passe qui s’apprêtent à être ajoutés à LastPass. L’occasion de vérifier que tout est en ordre avant de finaliser la procédure.
Authenticator, stockage, accès d’urgence : quels sont les atouts de LastPass face à la concurrence ?
Le Security Dashboard pour vérifier ses mots de passe
Le Security Dashboard de LastPass est l’endroit idéal pour passer en revue la sécurité des comptes enregistrés dans le gestionnaire de mots de passe.
En un clin d’œil, on obtient une vue d’ensemble sur les mots de passe jugés trop peu sécurisés ou utilisés en double. Les identifiants concernés peuvent rapidement être modifiés afin de refaire passer la jauge dans le vert.
Le stockage chiffré pour des notes, jusqu’à 1 Go
Chaque compte LastPass s’accompagne d’un gigaoctet de stockage permettant d’enregistrer des notes de façon chiffrée dans le coffre-fort. L’utilitaire de rédaction de notes est plutôt sommaire et n’autorise aucune mise en page particulière. Il n’est même pas possible de créer une liste ou d’appliquer du gras à des parties du texte.
Contrairement à d’autres gestionnaires de mots de passe, LastPass ne permet pas de stocker et de partager des fichiers (autre que des notes donc).
LastPass Authenticator pour l’authentification à deux facteurs
En complément du gestionnaire de mots de passe, LastPass publie également une application baptisée Authenticator qui, comme son nom le suggère, permet de gérer les authentifications à double facteur (appelés OTP pour One Time Password).
Il s’agit d’une application séparée, pouvant être utilisée gratuitement par tout un chacun. Un bon complément à l’utilisation d’un gestionnaire de mots de passe, même si l’on trouve un peu dommage que les OTP ne soient pas directement proposés dans le coffre-fort principal de LastPass. Il est indispensable de se munir de son smartphone pour accéder à un compte protégé par une double authentification. 1Password ou Bitwarden, pour ne citer qu’eux, prennent en charge nativement les codes OTP.
Accès d’urgence pour donner au compte s’il y a un problème
Dans sa version payante uniquement, LastPass permet de donner procuration à un tiers pour accéder à son compte. Cela peut se révéler pratique dans certaines situations (hospitalisation, absence du domicile familial…), et LastPass a le bon goût de permettre de définir une durée pendant laquelle la personne de confiance doit patienter avant de pouvoir profiter d’un accès total au compte.
Quelle est la sécurité de LastPass ?
Réputation
Le gestionnaire de mots de passe de GoTo a vu sa réputation écornée à plusieurs reprises. Étant l’un des rares à profiter d’une version gratuite, il est fatalement la cible de nombreuses attaques, qui n’ont guère épargné les utilisateurs et utilisatrices. Heureusement, si des coffres-forts ont pu être dérobés, les pirates n’ont pas pu les ouvrir en l’absence de la clé d’accès correspondante. De là à être rassurés, il y a un gouffre par-delà lequel nous ne nous risquerions pas à sauter.
Depuis 2015, LastPass aurait ainsi subi des fuites de données à pas moins de cinq reprises. C’est beaucoup, même pour un logiciel aussi populaire. Étant donné la sensibilité des données stockées sur un gestionnaire de mots de passe, c’est selon nous un gigantesque drapeau rouge nous invitant à opter plutôt pour une autre solution.
Protection des données personnelles
En ce qui concerne la protection des données personnelles, LastPass n’est pas tout à fait irréprochable non plus. En particulier, certaines URL associées à des identifiants seraient mal chiffrées, et celles-ci peuvent laisser apparaître des points de données sensibles. Bien sûr, cela demanderait à des hackers des efforts considérables et une détermination sans faille pour parvenir à leurs fins. Mais on attend d’un gestionnaire de mots de passe une exemplarité en matière de sécurité et de protection des données.
Audits
En matière de consultation externe sur sa sécurité, LastPass fait aussi le minimum syndical. Le dernier audit en date, paru au mois d’août 2021, garantissait que le gestionnaire offrait une sécurité interne satisfaisante en termes de sécurité et de confidentialité. Mais GoTo pourrait aller beaucoup plus loin et faire auditer davantage de couches de son service, comme son code source. Un relatif manque de sérieux qui, conjugué aux attaques abordées plus haut, n’envoie pas un bon signal pour un utilisateur encore indécis.
Bug bounty
Pour ce qui est de la chausse aux bugs (bug bounty dans le jargon), LastPass passe par la société Bug Crowd, et offre jusqu’à 5 000 dollars de récompense — la prime dépend du degré de criticité de la vulnérabilité découverte.
Quel est le prix d’un abonnement à LastPass ?
LastPass est un gestionnaire de mots de passe très accessible. La tarification proposée est claire, et l’offre d’essai de 30 jours sans avoir à sortir la carte bancaire est appréciée. On a ainsi tout le temps de se faire une idée avant de franchir le pas.
D’ailleurs, les personnes qui n’utilisent qu’un seul appareil n’auront même pas besoin de passer à la caisse. En effet, le principal atout de la formule payante consiste à pouvoir synchroniser ses mots de passe avec plusieurs appareils.
- Abonnement Premium : 2,90 euros par mois, soit 34,80 euros par an
- Abonnement Familles : 3,90 euros par mois, soit 46,80 euros par an
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
Certains liens de cet article sont affiliés. On vous explique tout ici.
