Après avoir informé les clients que son gestionnaire de mots de passe avait subi une faille de sécurité en août, Dernier passage a maintenant révélé que les attaquants à l’origine de l’incident ont également réussi à voler les données du coffre-fort des utilisateurs.
Dans son initiale avis d’incident de sécurité (s’ouvre dans un nouvel onglet), le PDG de LastPass, Karim Touba, a déclaré que « nous n’avons vu aucune preuve que cet incident impliquait un accès aux données des clients ou à des coffres-forts de mots de passe cryptés ». Cependant, nous apprenons maintenant que le service de stockage en nuage utilisé par l’entreprise pour stocker les sauvegardes archivées des données de production a également été piraté par les attaquants responsables.
À partir de là, l’attaquant a utilisé le code source volé et les informations techniques de l’environnement de développement de LastPass pour cibler l’un de ses employés. Après avoir obtenu les informations d’identification et les clés de l’employé, l’attaquant les a ensuite utilisées pour accéder et décrypter les volumes de stockage stockés dans le stockage cloud de l’entreprise.
Touba a également expliqué dans son dernier avis d’incident de sécurité que l’attaquant « a pu copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage crypté ». Bien que ces données de coffre-fort soient « stockées dans un format binaire propriétaire », elles contiennent également des données non cryptées telles que des URL de sites Web ainsi que des « champs sensibles entièrement cryptés » tels que des noms d’utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires.
Les données de coffre-fort volées sont en sécurité pour le moment
Heureusement, les champs cryptés de ces données volées sont sécurisés avec un cryptage AES 256 bits et « ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur », selon Touba.
Il convient également de noter que LastPass ne connaît pas les mots de passe principaux de ses clients et que ces informations ne sont ni stockées ni conservées par l’entreprise.
Bien qu’il semble que les mots de passe et autres données sensibles stockés par les clients LastPass dans leurs coffres soient pour l’instant en sécurité, Touba a averti que l’attaquant pourrait essayer de forcer brutalement leurs mots de passe principaux pour tenter de déchiffrer leurs données de coffre volées. Cependant, en raison des méthodes de hachage et de cryptage utilisées par l’entreprise, cela « serait extrêmement difficile à tenter » – en particulier pour les clients qui suivent son meilleures pratiques de mot de passe (s’ouvre dans un nouvel onglet).
Dans le même temps, l’attaquant peut essayer de cibler les clients LastPass par le biais d’attaques de phishing, de credential stuffing ou d’autres attaques par force brute contre les comptes en ligne stockés dans leurs coffres-forts. Touba souligne également dans son avis d’incident de sécurité que l’entreprise n’appellera, n’enverra jamais d’e-mail ou de SMS aux clients ni ne leur demandera de cliquer sur un lien pour vérifier leurs informations personnelles dans le but de les protéger contre d’éventuelles attaques d’ingénierie sociale ou de phishing. LastPass ne vous demandera jamais non plus de fournir votre mot de passe principal.
Devriez-vous supprimer votre compte LastPass ?
Tel que rapporté par BipOrdinateur (s’ouvre dans un nouvel onglet)La violation du stockage dans le cloud de LastPass est le deuxième incident de sécurité divulgué par la société cette année après avoir confirmé en août qu’un attaquant avait pu violer son environnement de développement en utilisant un compte d’employé compromis.
Si cela vous dérange un peu en tant que client LastPass, vous envisagez peut-être de supprimer votre compte. Bien que LastPass soit l’un des meilleurs gestionnaires de mots de passe depuis des années, ces récents incidents de sécurité montrent à quel point le piratage d’une entreprise comme celle-ci peut être précieux pour un attaquant (c’est ainsi que vous pouvez supprimer votre compte LastPass si vous le souhaitez).
Si vous ne prévoyez pas de supprimer votre compte LastPass, vous devez au moins choisir un nouveau mot de passe principal, surtout si celui d’origine n’était pas assez complexe ou unique. Pour ce faire, vous pouvez utiliser un générateur de mot de passe pour en créer un encore plus fort.
Autres gestionnaires de mots de passe à considérer
Pour ceux qui pensent qu’ils ne peuvent plus faire confiance à LastPass, il existe de nombreuses alternatives intéressantes, notamment 1Mot de passe, Dashlane et Gardien.
1Password coûte le même prix que LastPass par mois, Dashlane a une excellente interface de bureau et avec Keeper, les lecteurs de Tom’s Guide peuvent obtenir un abonnement annuel pour seulement 21 $ grâce à cette promotion (s’ouvre dans un nouvel onglet).
Si vous cherchez à économiser de l’argent, Bitwarden a une version gratuite totalement illimitée. Alors que nous vous recommandons normalement ne stockez pas vos mots de passe dans votre navigateur, Gestionnaire de mots de passe Chrome est une excellente option gratuite pour vous retenir jusqu’à ce que vous preniez votre décision finale.