
Que souhaitez-vous savoir
- LastPass indique que les coffres-forts de mots de passe des clients se sont retrouvés entre les mains de cybercriminels.
- Les pirates ont utilisé des informations qu’ils ont obtenues lors d’un précédent incident que LastPass a divulgué en août dernier.
- Les mots de passe principaux restent sécurisés et LastPass indique qu’il faudra des millions d’années aux pirates pour les deviner.
La faille de sécurité révélée par LastPass en août est pire qu’on ne le pensait. LastPass a confirmé que les cybercriminels ont utilisé les informations obtenues lors de l’incident précédent pour obtenir des coffres-forts de mots de passe cryptés et d’autres données client.
Selon le dernière mise à jour (s’ouvre dans un nouvel onglet) à partir du gestionnaire de mots de passe, les pirates ont pu “copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage crypté”, qui contenait à la fois des données non cryptées telles que des URL et des champs de données cryptés tels que des noms d’utilisateur et des mots de passe de site Web, des notes sécurisées et des données remplies de formulaires.
LastPass a déclaré en août que si les pirates avaient accès à certaines parties de son environnement de développement, aucune donnée client n’était compromise. Quelques mois plus tard, l’entreprise révélait que “certains éléments” des données clients étaient effectivement affectés par l’incident de sécurité.
Les pirates ont eu accès à son code source et à d’autres données techniques et ont utilisé ces informations pour compromettre le compte d’un développeur LastPass. Les pirates ont finalement volé des copies de sauvegarde des coffres-forts de mots de passe des utilisateurs à la suite de l’incident.
Heureusement, les cybercriminels ne pourront pas déverrouiller les coffres-forts de mots de passe cryptés sans les mots de passe principaux, que seuls les propriétaires de compte connaissent. La société souligne que les mots de passe principaux sont protégés par son architecture Zero Knowledge, ce qui signifie que même LastPass ne le sait pas.
Cependant, LastPass a averti les clients que les pirates “pourraient tenter d’utiliser la force brute pour deviner votre mot de passe principal et déchiffrer les copies des données de coffre-fort qu’ils ont prises.” Cela est probablement dû au fait que les coffres-forts de mots de passe sont désormais entre les mains des acteurs de la menace.
En plus des coffres-forts de mots de passe, les pirates ont eu accès à un trésor de données, notamment des noms, des adresses e-mail, des numéros de téléphone et certaines informations de facturation. Les propriétaires de comptes LastPass concernés sont également potentiellement vulnérables aux “attaques de phishing, au credential stuffing ou à d’autres attaques par force brute contre les comptes en ligne” qui sont liées à leur coffre-fort LastPass.
Cette faille de sécurité nous rappelle que même les meilleurs gestionnaires de mots de passe sont vulnérables aux attaques. C’est toujours une bonne idée de ne jamais utiliser le même mot de passe pour tous vos comptes en ligne. Dans ce cas, LastPass recommande de ne pas utiliser votre mot de passe principal sur d’autres sites Web. Mieux encore, il est conseillé de remplacer votre mot de passe principal LastPass actuel par une combinaison unique et de protéger votre compte avec une authentification à deux facteurs.