dimanche, décembre 22, 2024

Le piratage de Lastpass était pire que ce que la société avait signalé pour la première fois

Après avoir été piratée pour la deuxième fois en autant d’années en août, l’application de gestion de mots de passe Lastpass a annoncé jeudi que l’intrusion la plus récente était beaucoup plus dommageable que ce qui avait été initialement signalé, les attaquants ayant réussi à utiliser les coffres-forts de mots de passe des utilisateurs dans certains cas. Cela signifie que les voleurs ont toutes les collections de données personnelles cryptées des gens, sinon la méthode immédiate pour les déverrouiller.

« Aucune donnée client n’a été consultée lors de l’incident d’août 2022 », a expliqué le PDG de LastPass, Karim Toubba. Cependant, une partie du code source de l’application a été levée puis utilisée pour inciter un employé de Lastpass à renoncer à ses identifiants d’accès, puis a utilisé ces clés pour déchiffrer et copier « certains volumes de stockage dans le service de stockage basé sur le cloud ».

Parmi les données cryptées obtenues par les pirates figuraient des informations de base sur les comptes clients telles que les noms de société, la facturation, les adresses e-mail et IP ; et numéros de téléphone, a poursuivi Toubba. « Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l’aide de notre architecture Zero Knowledge », a déclaré Toubba. « Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass. »

Pourtant, vous allez croire l’entreprise sur parole ? Je ne suis pas. Ce sera pénible, mais échanger tous vos différents mots de passe de site existants contre de nouveaux – ainsi que choisir un nouveau mot de passe principal – pourrait finalement s’avérer nécessaire pour retrouver votre sécurité en ligne. Ou vous pouvez simplement dire à Lastpass d’aller botter des rochers et de passer à 1Password ou Bitwarden.

Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation. Tous les prix sont corrects au moment de la publication.

Source-145

- Advertisement -

Latest