Oups ! Vous utilisez LastPass ? Des hackers ont sans doute des informations vous concernant...

Par Mathieu Grumiaux, Expert maison connectée.

Publié le 23 décembre 2022 à 16h00

Le piratage subi par le gestionnaire de mots de passe en août 2022 a été bien plus large qu'annoncé, et des mots de passe se baladent dans la nature.

LastPass, qui nous avait réservé une mauvaise surprise de Noël, vient de poster sur son blog de nouvelles informations quant au nombre de données récupérées lors du piratage subi il y a quelques mois.

Les mots de passe chiffrés des utilisateurs ont été compromis

Si LastPass avait souhaité se montrer rassurante à l'époque, en indiquant qu'aucune donnée critique n'avait été dérobée, bien que les pirates aient pu avoir accès aux adresses de facturation, aux noms des clients et des entreprises ainsi qu'aux adresses mail et aux numéros de téléphone.

Il n'en était finalement rien, puisque LastPass annonce aujourd'hui que les hackers ont pu « copier les sauvegardes des coffres-forts clients contenant à la fois des données chiffrées et des données non chiffrées ». En clair, des mots de passe et les sites associés ont été récupéré lors de l'intrusion.

LastPass s'excuse et rappelle les bonnes pratiques à mettre en œuvre pour limiter les risques de piratage

La situation est critique pour LastPass, mais l'entreprise tient à rappeler que les données volées sont toujours chiffrées et a priori illisibles par les hackers et tous ceux ayant accès aux informations : « Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge. Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. »

Seul le mot de passe maître, défini au préalable par l'utilisateur, peut déchiffrer les mots de passe contenus dans le coffre-fort numérique. Un hacker peut tenter malgré tout de saisir des milliers de combinaisons pour espérer trouver le bon mot de passe principal, soit ce que l'on appelle une attaque par force brute.

LastPass estime malgré tout que cette technique n'apportera pas de résultats probants. « Il faudrait des millions d'années pour trouver votre mot de passe à l'aide des technologies de cassage généralement utilisées », ajoute le service en ligne.

L'entreprise exhorte malgré tout ses utilisateurs à ne pas réutiliser le mot de passe maître de leur compte sur d'autres sites web et les invite à rester vigilants face aux tentatives de phishing, avec des escrocs pouvant se faire passer pour LastPass elle-même afin de récupérer des informations personnelles.

Source : LastPass

Par Mathieu Grumiaux

Expert maison connectée

Cybersécurité

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

cirdan

Hé oui, un gestionnaire de mots de passe connecté est une aberration et il est regrettable que lors de tests logiciels ce soit ce type-là qui est plébiscité.
Les sauvegardes en local pour ce genre de données sont quand même plus rassurantes, même si rien n’est jamais parfait.

Keepass, par exemple.

Smap

C’est un équilibre avec la disponibilité car local = vulnérable à un crash.
Donc duplication à deux endroits mais alors c’est compliqué de synchroniser les versions et on risque de perdre une partie des données entre deux répliques.

Bref, rien n’est simple !

Zimt

Evidement, ne jamais faire confiance aux gestionnaires de mdp en ligne …

Zimt

Sinon le stockage local en Keypass avec copie du fichier doublement, triplement chiffré en cascade, avec des algos bien violent genre Serpent, dans un drive ou n’importe quel média de stockage géographiquement éloigné, ça marche très bien aussi … bon ensuite c’est sur que c’est le grand public qui se fait encore avoir une fois de plus part des boites, capables de proposer des solution qui sont des aberration à l’origine… mais bon

sylvebarbe78

Vous avouerez qu’il faut vraiment être bête pour ne pas employer un autre terme pour stocker ses mots de passe en ligne !!!

Eths25

Ah les cerveaux ne fonctionne plus, il faut des gestionnaires de mdp…

Biggs

Une version de la base de données des mdp sur le PC.
Une version de sauvegarde sur un NAS ou même simplement un disque dur externe.
Une application de synchronisation miroir en temps réel : chaque fois qu’on effectue une modif sur le fichier stocké sur le PC elle est reportée immédiatement sur le fichier de sauvegarde.
Il n’y a rien de compliqué. Sur ce principe je pourrais mettre le feu à mon PC sur un coup de tête, je ne perdrais aucune donnée.

SPH

C’est facile pourtant : « 123456 » !

gemini7

Oui, les gens sont apparemment trop stupides pour pondre un MDP solide, un exemple du genre de MDP que j’invente : " EB15@cpA&5843askDbY#-a+c=304ML " bon, je l’ai fait long, 30 caractères, mais c’est juste un exemple, quand je vois que certains utilisent encore des trucs du genre, " 123456 " ou " PASSWORD ", j’hallucine.
Et non, je n’utiliserai jamais de créateur, gestionnaire, ou toutes autres applis permettant de gérer ou créer des mots de passe. Pas , seulement quelques fois dans mes posts.

gemini7

Citation de @SPH : « C’est facile pourtant : « 123456 » ! »