Habituellement, les gestionnaires de mots de passe sont l’un des meilleurs moyens de renforcer la sécurité de vos comptes en ligne. Il s’agit en effet de tout stocker dans un espace chiffré par un mot de passe maître particulièrement fort. Mais alors que les premières versions de ces gestionnaires de mot de passe tels que 1Password fonctionnaient uniquement en local, toute l’industrie est passée depuis quelques années au cloud.
Ce qui pose des risques réels sécuritaires. Risques devenus très concrets pour les clients de LastPass. Début août 2022, la firme révélait avoir été victime d’un piratage. Une personne non autorisée a eu accès à une partie de l’environnement de développement de LastPass en utilisant le compte compromis d’un développeur. La firme supposait alors que les pirates avaient volé des portions du code propriétaire de l’entreprise, ainsi que des informations techniques.
Les pirates ont réussi à voler les coffres sécurisés des clients LastPass, admet la firme
Rien de bien sérieux, pensait-on alors. Puis en novembre LastPass révélait avoir été visé par un nouveau piratage. Cette fois, une intrusion dans les systèmes de l’entreprise, facilitée par le piratage d’août, aurait permis aux pirates d’accéder à “certaines données clients” sans plus de précision. La firme semblait pourtant assurer que aucune donnée réellement sensible comme les numéros de carte bleue n’avait fuité.
Toutefois, à quelques heures du weekend de Noël, LastPass annonce encore une très mauvaise nouvelle par un nouveau communiqué de presse. Karim Toubba, PDG de l’entreprise, explique :
“L’auteur du piratage a pu également copier une sauvegarde des données des coffres des clients à partir d’un espace de stockage chiffrée, données stockées sous un format binaire propriétaire qui contient à la fois des données non chiffrées comme des adresses internet de sites web, ainsi que des champs totalement chiffrés beaucoup plus sensibles comme des mots de passe et identifiants de sites, notes sécurisées, et données de pré-remplissage”.
Selon le responsable, donc, les pirates sont en possession de potentiellement tous les coffres de mots de passe sécurisés des clients. Toutefois les données les plus sensibles contenues par ces derniers restent chiffrés selon la firme – et protégés par le mot de passe maître du coffre. Tant que ce mot de passe est complexe, et n’est pas réutilisé ailleurs, la probabilité qu’il soit cassé par les pirates reste assez faible.
Il faut toutefois noter une réserve : impossible de dire avec certitude que les données volées par les pirates sont réellement aussi sécurisées par chiffrement que la société ne le dit. LastPass assure que les paramètres par défaut des coffres “devraient” les protéger des pirates (le conditionnel fait partie du communiqué officiel).
Par ailleurs les comptes ouverts avant 2018 sont susceptibles d’être moins sécurisés. Et la partie “en clair” des données volées donne dans tous les cas d’emblée une idée des comptes que les pirates peuvent tenter de pirater en priorité. C’est pourquoi il est recommandé de changer vos mots de passe si vous avez tout mis chez LastPass.
Par ailleurs, on peut reprocher à LastPass sa réaction à l’attaque : l’absence d’infos supplémentaires depuis novembre, et ce communiqué à trois jours de Noël alors que les grands départements IT des entreprises sont en effectif réduit à cause des vacances ne font rien pour restaurer la confiance. C’est pourquoi nous vous recommandons par ailleurs de considérer un gestionnaire de mots de passe concurrent pour sécuriser vos comptes.
Il est possible d’exporter facilement toute votre base de données de mots de passe LastPass et de l’importer sur un nouveau service.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Bye bye lastpass