La société de gestion de mots de passe LastPass oblige ses clients à changer leurs mots de passe maître après la détection d’une possible violation.
Mardi dernier, LastPass a remarqué un trafic anormal sur l’un de ses serveurs de bases de données. Bien que la société a détecté l’anomalie, elle a été incapable d’en retracer l’origine.
“Nous allons être paranoïaque et imaginer le pire : que les données stockées dans la base de données aient été accessibles”, a indiqué la compagnie dans un avis de sécurité mercredi. “Nous savons à peu près la quantité de données transférées et c’est assez grand pour avoir transférer les adresses e-mail des clients, le salt et leurs mots de passe hachés présents dans la base de données.”
Basé en Virginie, LastPass fournit des outils qui stockent et gèrent les mots de passe pour les gens qui ont de multiples connexions en ligne. Le produit de consommation permet aux utilisateurs de crypter un ensemble de mots de passe et d’attribuer un mot de passe maître pour une utilisation avec les navigateurs, alors que la version entreprise permet une authentification unique pour les sites Web et applications.
La société a déclaré que les pirates pourraient avoir recourt à la force brutale pour obtenir les mots de passe en clairs pour révéler les mots de passe maîtres. En conséquence, la société a forcé les utilisateurs à réinitialiser leur mot de passe maître et, dans un certain nombre de cas, de valider leur adresse e-mail.
L’entreprise de sécurité Netcraft a déclaré que la violation était potentiellement grave pour les personnes qui avaient des mots de passe maîtres faibles.
“Si un pirate peut récupérer un mot de passe maître, tous les mots de passe de l’utilisateur seront compromis, y compris la messagerie web et Paypal”, a déclaré Paul Mutton, un analyste de la sécurité de Netcraft. “Les gens seraient avisés de changer leur mot de passe.”
Malheureusement, il semble que cela pose de gros problèmes…
LastPass semble être inutilisable jusqu’à ce que le mot de passe maître ne soit changé, mais on ne peux pas se connecter à Gmail sans LastPass afin de récupérer le mot de passe”, a déclaré un utilisateur appelé Yansky dans les commentaires de LastPass. “Alors, comment réinitialiser le mot de passe principal de LastPass sans pouvoir se connecter à la messagerie ?”
La compagnie a proposé le mode déconnecté de Gmail pour contourner le problème…
Les commentaires sont fermés.