Le gestionnaire de mots de passe transmet tout un tas d’informations à des tiers. Il partage notamment la catégorie de chaque nouveau mot de passe créé, ce qui est assez intrusif.
Si vous utilisez LastPass, sachez que cet éditeur a l’indélicatesse d’intégrer dans son application Android pas moins de sept mouchards, comme ont pu les chercheurs d’Exodus Privacy au travers d’analyses automatisées. Mais quelles données sont réellement exfiltrées ?
Le chercheur en sécurité, Mike Kuketz, a voulu en savoir plus et a intercepté le trafic sortant de cette application mobile. Il constate que presque tous les sept mouchards s’activent immédiatement à chaque démarrage du logiciel, transmettant de nombreuses informations sur l’appareil et le compte utilisateur, et notamment l’identifiant publicitaire Google Advertising ID.
Mais ce n’est pas tout. Chaque action réalisée par l’utilisateur est également transmise, qu’il s’agisse de l’enregistrement d’un nouveau compte ou la création d’un nouveau mot de passe.
Le contenu de la base de données n’est évidemment pas accessible aux mouchards, mais ces derniers peuvent quand même savoir la catégorie (banque, loisirs, e-mail, etc.) du mot de passe créé. Des données sans doute très utiles pour créer des profils marketing des utilisateurs.
Mike Kuketz estime qu’un gestionnaire de mots de passe ne devrait pas transmettre ce genre d’informations. Malheureusement, LastPass n’est pas le seul fournisseur de cette catégorie à procéder de la sorte. Dashlane, Keeper, Bitwarden et McAfee TrueKey embarquent également des mouchards. En revanche, les applications 1Password et KeepassDX n’en ont pas, ce qui est tout à leur honneur.
source : 01net