LastPass piratée pour la 2e fois cette année, vos mots de passe toujours en sécurité ?

Publié le 01 décembre 2022 à 12h18

La direction du célèbre gestionnaire a indiqué avoir « immédiatement » lancé une enquête. Elle a tenu à rassurer, expliquant qu'aucun mot de passe n'était en danger.

Nouveau coup dur pour LastPass et sa maison mère Goto. Un service utilisé conjointement par les deux sociétés serait au cœur de la brèche.

Les mots de passe ne sont pas compromis

Ce 30 novembre, LastPass a déclaré avoir détecté une « activité anormale » au niveau d'un « service de stockage dans le cloud ». Des informations des clients ont pu être consultées par les auteurs de l'attaque. Mais le P.-D.G. de la firme, Karim Toubba, reste pour l'heure plutôt vague quant à leur nature.

« Nous travaillons […] pour évaluer la portée de l’incident et identifier les informations précises qui ont été consultées », a-t-il déclaré dans un billet de blog. Impossible, donc, d'en savoir plus sur le service incriminé ni sur la quantité de données touchées.

L'entreprise a toutefois tenu à vite rassurer ses utilisateurs : « Les mots de passe de nos clients restent chiffrés et sécurisés grâce à l’architecture Zero Knowledge. » Cette méthode garantit que seul l'utilisateur peut lire les informations qu'il stocke dans son propre coffre-fort.

LastPass a également indiqué avoir mandaté la société spécialiste en cybersécurité Mandiant, dans le cadre de son programme de gestion des risques, et prévenu les forces de l'ordre de cet accès malveillant. « Comme toujours, nous vous tiendrons informés dès que nous en saurons plus », a-t-elle ajouté.

Une attaque qui en exploite une autre

C'est la seconde fois en 2022 que le gestionnaire de mots de passe est victime d'un piratage. Cette fois-ci, les hackers ont tiré parti d'un vol de données du mois d'août dernier. Il avait été rendu possible par l'intrusion dans le code source de l'application, grâce à l'utilisation frauduleuse du poste de travail d'un développeur.

Or, pour des raisons de sécurité évidentes, LastPass sépare ses environnements de développement et de production. Ce qui avait permis de drastiquement circonscrire les possibilités d'un sabotage massif…

Sources : LastPass, Bleeping Computer, The Guardian

Par Alexandre Fiannaca

Aucun résumé disponible

Articles d'Alexandre Fiannaca

Piratage / Cybercriminalité

Logiciels & services

Gestionnaire de mot de passe

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

radeon4ever

faut vraiment être barge pour stocker ses mots de passe dans le cloud, quelque soit la solution …

Loposo

Pourquoi, votre browser Firefox Chrome etc n’est pas plus sécurisé, il y a juste à voir les mots de passe facile a affiché si quelqu un pas 2 min sur votre pc, la facilité pour d’autres browser de copier les mots de passes,…

Il faut juste jamais enregistrer sa carte bleue, perso j’utilise bitwarden, juste, il faut enregistrer manuellement le mot de passe nouveau ( ou je n’ai pas trouvé l’option)

artik1024

Je sais pas… Je pense qu’il y a deux niveaux. Les mots de passe dangereux, que je stock pas dans le cloud, et les autres, ou même si quelqu’un se connecte bah… m’en fou un peu. Et c’est justement ces derniers qui sont bien pratiques à auto remplir en utilisant un gestionnaire sur mobile ou desktop

_Dorsoduro

Au début je pensais comme toi. Après quand j ai vu que mon anti virus Kaspersky était capable de faire (via une option je ne sais plus trop) j’ai dejanté
En 1 click il a récupérer tout mes mots de passe sauvegarder en local où je ne sais où. Je ne sais pas trop comment il a pu être aussi efficace. Bcq d’entre eux était oublié et non sauvegardé de mon firefox. Je devais les retaper.
Depuis j’ai désinstallé cet antivirus et changé tt les mots de passe. C ultra dangereux en vrai. J’ai réalisé que n’importe application de confiance ou pas peut se permettre de faire de mm.
anti virus, pilote , un vpn, ton navigateur internet lui mm. les cloud ne sont qu’un moyen de plus.

_Dorsoduro

En vrai tu as raison. Il faut partir du principe. Qu’il est facile de c faire voler c mot de passe. Il faut surtout ne sauvegarder sa carte bleu et limiter au max les abonnements avec renouvellement automatique.

gemini7

Je n’utilise pas le Cloud et surtout pas pour y mettre mes MDP.
Mais apparemment, les navigateurs ne sont pas assez sécurisés non plus.

alabifr

Quand je défendais keepass sur un sujet à propos des gestionnaires de mots de passe, on se moquait de moi parce qu’il n’avait pas la possibilité (native) de stocker les données sur le cloud. Ma sauvegarde sur le pc et sur une clef usb me convient très bien. Quel effort, que de copier le fichier, par exemple sur téléphone pour actualiser les données du téléphone .

enrico69

Je lis les critiques de certains et je ne comprends pas tout. Intrusion et vol de données ne signifient pas forcément que tous vos mots de passe se baladent en clair non ? Les MDP sont chiffrés, donc si tu n’a pas le mot de passe maître (qui lui doit être hashé), tu ne peux rien faire, même dans le cas hypothétique où ils ont accès au code source non ?

enrico69

De plus, rappelons que l’utilisation du 2FA pour les sujets sensibles (banques, Paypal…) n’est plus option mais un devoir

stefane

Les solutions cloud permettent, entre autre, de partager les mots de passe au sein d’une équipe, d’une famille, etc … et d’avoir des mots de passe plus complexes que ceux qu’on peut voir dans la news à ce sujet « 123456 » ou « azerty »

Les solutions « locales » sont très bien, mais elles sont locales et donc limitées à la seule personne qui la possède