Est-ce que LastPass est vulnérable aux attaques FireSheep?

En général, non. En plus de leurs serveurs, vos mots de passe sont stockés sur votre machine locale dans un état chiffré, et lorsque vous envoyez votre mot de passe à leur serveur, il est chiffré avec du chiffrement AES 256 bits (c'est-à-dire vraiment bon) avant de quitter votre machine. De même, lorsque vous récupérez votre mot de passe de leur serveur, il est dans son état chiffré, et seul votre mot de passe principal peut le décrypter. Si vous vous connectez à un site sans SSL (c'est-à-dire HTTPS), alors ce mot de passe particulier est vulnérable, mais votre mot de passe principal restera sécurisé. Vous utilisez bien un mot de passe différent pour votre mot de passe principal, n'est-ce pas?

De plus, lorsque vous êtes connecté sur leur site, vous serez dans une session sécurisée, ce qui signifie que toute information échangée entre vous et LastPass est (théoriquement) sécurisée.

Étant donné que LastPass ne stocke aucun mot de passe en clair (surtout votre mot de passe principal, que je ne pense pas qu'ils stockent du tout), la seule vulnérabilité serait si quelqu'un parvenait à obtenir leur sel de chiffrement et au moins un mot de passe principal. Cela réduit le temps nécessaire pour craquer un autre mot de passe principal (n'oubliez pas qu'ils n'ont peut-être pas encore les informations de connexion) de l'âge de l'univers au carré à plusieurs millions d'années, en supposant que la clé de chiffrement est générée uniquement à partir du mot de passe principal et du sel, ce qui n'est pas le cas pour LastPass, je suis assez certain que c'est plus robuste.

En résumé, vous n'avez à vous inquiéter que si vous vous connectez à un site qui est déjà peu sécurisé, et même dans ce cas, votre mot de passe principal est en sécurité. Sans LastPass, vous utiliseriez probablement le même mot de passe bidon que pour tous les autres sites, ce qui signifierait une sécurité moindre dans l'ensemble.