En août, LastPass avait admis qu’une « partie non autorisée » était entrée dans son système. Toute nouvelle concernant un gestionnaire de mots de passe piraté peut être alarmante, mais la société rassure désormais ses utilisateurs sur le fait que leurs identifiants et autres informations n’ont pas été compromis lors de l’événement.
Dans sa dernière mise à jour sur l’incident, le PDG de LastPass, Karim Toubba, a déclaré que l’enquête de l’entreprise avec la société de cybersécurité Mandiant a révélé que le mauvais acteur avait eu un accès interne à ses systèmes pendant quatre jours. Ils ont pu voler une partie du code source et des informations techniques du gestionnaire de mots de passe, mais leur accès était limité à l’environnement de développement du service qui n’est pas connecté aux données des clients et aux coffres chiffrés. De plus, Toubba a souligné que LastPass n’a pas accès aux mots de passe principaux des utilisateurs, qui sont nécessaires pour déchiffrer leurs coffres.
Le PDG a déclaré qu’il n’y avait aucune preuve que cet incident « impliquait un accès aux données des clients ou à des coffres-forts de mots de passe cryptés ». Ils n’ont également trouvé aucune preuve d’accès non autorisé au-delà de ces quatre jours et de toute trace que le pirate a injecté des codes malveillants dans les systèmes. Toubba a expliqué que le mauvais acteur était capable d’infiltrer les systèmes du service en compromettant le point de terminaison d’un développeur. Le pirate s’est ensuite fait passer pour le développeur « une fois que le développeur s’est authentifié avec succès à l’aide de l’authentification multifacteur ».
En 2015, LastPass a subi une faille de sécurité qui a compromis les adresses e-mail des utilisateurs, les hachages d’authentification, les rappels de mot de passe et d’autres informations. Une violation similaire serait plus dévastatrice aujourd’hui, maintenant que le service compterait plus de 33 millions de clients enregistrés. Bien que LastPass ne demande pas aux utilisateurs de faire quoi que ce soit pour protéger leurs données cette fois-ci, il est toujours bon de ne pas réutiliser les mots de passe et d’activer l’authentification multifacteur.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation. Tous les prix sont corrects au moment de la publication.