L’incident de violation de données qui a frappé le gestionnaire de mots de passe (s’ouvre dans un nouvel onglet) LastPass plus tôt cette année a vu les voleurs voler des coffres-forts de mots de passe cryptés appartenant à des clients, a confirmé la société.
Le coffre-fort de mots de passe est l’endroit où les gens conservent leurs mots de passe, donc si les attaquants trouvaient un moyen de déchiffrer les coffres-forts, ils pourraient lire tous les mots de passe qui y sont enregistrés.
Dans une mise à jour (s’ouvre dans un nouvel onglet) publié sur le blog LastPass, le PDG Karim Toubba a déclaré que les acteurs de la menace utilisaient des clés de stockage dans le cloud volées à un employé de LastPass pour accéder et exfiltrer les données du coffre-fort des clients. Les données volées sont une combinaison d’intelligence cryptée – des coffres-forts de mots de passe et d’informations non cryptées – des adresses Web, des noms, des adresses e-mail, des numéros de téléphone stockés dans un coffre-fort et, dans certains cas, des informations de facturation.
Mot de passe principal sécurisé
La bonne nouvelle est que les coffres-forts de mots de passe sont stockés dans un « format binaire propriétaire », ce qui signifie qu’il est presque impossible de lire le contenu. Pour cela, les attaquants auraient besoin du mot de passe principal du client, que personne d’autre que l’utilisateur ne connaît (espérons-le). LastPass prétend ne pas connaître cette information.
« Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l’aide de notre architecture Zero Knowledge », a déclaré Toubba. « Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass. »
Pourtant, la société a averti que les cybercriminels « pourraient tenter d’utiliser la force brute pour deviner votre mot de passe principal et déchiffrer les copies des données du coffre-fort qu’ils ont prises », ce qui pourrait poser problème si les utilisateurs créaient des mots de passe principaux faibles et faciles à deviner.
Pour ceux qui craignent que leur mot de passe principal ne soit piraté, la meilleure chose à faire maintenant serait de le changer pour quelque chose de plus résistant. Si vous avez des raisons de croire que le contenu de votre coffre-fort pourrait être compromis, la modification des mots de passe est le seul moyen de rester en sécurité (à part la mise en place d’une authentification multifacteur dans la mesure du possible).