Ce jeudi, LastPass a fait de nouvelles révélations autour de l’importante faille de sécurité qu’a connue le service en août dernier. Alors que l’entreprise se voulait rassurante il y a quelques semaines, l’enquête semble prendre une nouvelle tournure qui ne devrait pas plaire aux utilisateurs du gestionnaire de mot de passe.
Les données des utilisateurs massivement copiées
L’enquête lancée par LastPass autour du piratage dont a été victime la société avance. La version initiale rapportait le piratage d’un développeur de l’entreprise qui avait compromis certaines parties de l’environnement de développement, laissant fuiter « des parties du code source et certaines informations techniques propriétaires de LastPass ». Aujourd’hui, on apprend que la fuite serait un peu plus importante que ça…
Ainsi, LastPass révèle dans un nouvel article de blog que les pirates ont finalement eu accès aux informations personnelles et aux métadonnées associées. Ces dernières concernent les noms d’utilisateurs finaux, ceux des sociétés utilisant le service, mais aussi les adresses de facturation, les emails, les adresses IP et les numéros de téléphone des clients.
Les informations volées ne s’arrêtent malheureusement pas là. En effet, les pirates seraient également parvenus à faire des sauvegardes des données se trouvant dans les coffres-forts des clients. Ils contenaient notamment des données chiffrées telles que les identifiants et mots de passe de site web, les URL des sites en question ainsi que les notes de sécurités et les données de formulaires.
Karim Toubba, PDG de LastPass, précise que les données restent sécurisées :
« Ces champs chiffrés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être déchiffrés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l’aide de notre architecture Zero Knowledge. »
Pour rappel, cette architecture fait que le mot de passe principal n’est pas connu de LastPass ni stocké par l’entreprise. Ainsi, le chiffrement et le déchiffrement des données sont effectués au niveau de l’appareil et non des serveurs.
LastPass prend de nouvelles mesures de sécurité (et vous aussi)
Après cette fuite massive de données, LastPass a pris la décision de renforcer sa sécurité en mettant hors service les développements en cours auxquels ont eu accès les pirates, pour recommencer à partir de zéro. Toutes les informations d’identification et certificats qui auraient pu être touchées par ce hack ont également été mises hors service.
- Sur le même sujet : L’application Android de LastPass vous espionne à votre insu
Les données des utilisateurs sont donc pour l’instant sécurisées dans la mesure où il faudrait un nouveau piratage massif de données pour pouvoir les décrypter et les utiliser à des fins malveillantes. Un scénario qui n’est malheureusement pas à écarter compte tenu de l’ingéniosité des hackers.
Si vous êtes un utilisateur de LastPass, on ne peut que vous conseiller de changer votre mot de passe principal ainsi que tous ceux qui se trouvent dans votre coffre-fort. Veillez à utiliser des mots de passe forts et suffisamment longs composés de chiffres, de lettres et de caractères spéciaux. Les meilleurs gestionnaires de mot de passe peuvent en générer automatiquement.
Redoublez par ailleurs de vigilance si vous recevez des emails de la part de LastPass, il pourrait s’agir d’une tentative d’hameçonnage de la part d’acteurs malveillants cherchant à récupérer vos informations sensibles.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : LastPass
Faire confiance et utiliser un gestionnaire de mots de passe, développé et géré par une entreprise, c’est un peu faire confiance au loup dans la bergerie.. Un jour ça coincé.
En banque de mot de passe, privilégiez keepass. C’est un logiciel opensource et gratuit dont le fichier contenant les mots de passe est chiffrée et est non pas envoyé sur un serveur mais est stocké localement.
J’ai copié le fichier sur mon téléphone et une application dédié peut le déchiffrer au besoin.
De plus tout mes services Web sont relié à une clé YubiKey.
Une authentification à deux facteurs avec une clé physique qu’on doit insérer dans l’ordinateur.
Suite à cette incursion, je vois beaucoup de recommandations pour passer à un autre gestionnaire. Mais quelle différence y a-t-il entre un logiciel en open source et LastPass pour lequel les hackers ont eu accès au code de l’application ?
Mon entreprise a opté pour Lastpass il y’a quelques semaines de ça, alors qu’avant les mots de passes étaient gérés localement sur l’ordi, et avec une carte à puce comme mot de passe principal. L’ironie est que le gestionnaire de mdp avant lastpass a été créé par ma propre entreprise. Pourquoi changer quelque chose propriétaire qui marche depuis 5ans? Justement pour se faire hacker tient ! Bienvenue en France, pays de mer*** ! (oui 3 *, car j’ai mis le mot au pluriel ^^).