Piratage – LastPass victime d’une intrusion

2

La nouvelle ne vous a surement pas échappé si vous utilisez le gestionnaire de mots de passe en ligne LastPass. L’éditeur a été victime d’une intrusion informatique dans ses systèmes mais les mots de passe des utilisateurs n’auraient pas été compromis.

L’entreprise et son PDG, Joe Siegrist, confirment une intrusion dans l’infrastructure , qui a entraîné le vol de données personnelles des utilisateurs mais pas des mots de passe eux-même. LastPass préconise malgré tout de changer son mot de passe maître au plus vite.

« Nous allons également demander à tous nos utilisateurs de changer leur mot de passe ‘maître’. Il n’ y a pas d’urgence à changer celui-ci tant que vous n’y êtes pas invité. Cependant, si vous réutilisez votre mot de passe maître comme mot de passe pour un autre site web, vous devez remplacer les mots de passe de ces autres sites« , écrit LastPass.

Parmi les données touchées par le piratage, les adresses mails ainsi que certains indices qui pourraient permettre de les trouver ont été récupérés lors du piratage.

lastpass-hacked

Dans une note publiée sur le blog officiel de la société, il est expliqué que « les indices de mots de passe, le salage et le hachage d’authentification ont été compromis« . En revanche, les mots de passe eux-mêmes ne seraient pas touchés. « Nous n’avons aucune preuve que les données chiffrées de nos utilisateurs on été compromises, tout comme l’accès aux comptes« , écrit le groupe.

Malgré la gravité de la situation, LastPass veut rassurer ses clients et montrer que même dans un scénario catastrophe tel que celui-ci, des mesures de sécurité qui ont été prévues :

« LastPass renforce le hachage d’authentification par un salage aléatoire et 100 000 itérations côté serveur […], en plus des itérations côté client. Ce renforcement supplémentaire rend difficile une attaque sur des hachages volés Parce que les données encryptées de nos utilisateurs n’ont pas été volées, vous n’avez pas besoin de changer les mots de passe des sites enregistrés dans votre coffre-fort LastPass« .

Le dirigeant de LastPass met en avant les mesures de sécurité déployées pour protéger les utilisateurs, dont une fonction (PBKDF2-SHA256 à fortes itérations) appliquée aux mots de passe maîtres et permettant de les protéger contre une attaque de type « brute-force » (exécutée à une fréquence de 100 000 cycles côté serveur).

Sophos livre le schéma exact du système de protection mis en oeuvre par LastPass, qui semble réellement fort :

pbkdf2-lastpass

Pour ceux qui souhaitent plus de fiabilité et de sécurité, vous pouvez facilement vous tourner vers des solutions « en dur », comme Keepass ou Dashlane ou encore 1Password qui stockent tout en local sur le disque dur et non en ligne.

 

Sources : ZDNet, Numerama

2 Commentaires

  1. […] L’usage, la sécurité et la performance d’un gestionnaire de mot de passe repose sur la fiabilité du logiciel / service et sur la force de l’authentification principale y permettant l’accès. Si par malheur l’accès au gestionnaire de mot de passe était compromis, sachez que c’est le pire scénario et que tout s’effondre : l’ensemble des données sensibles rassemblées en un seul point est alors servi sur un plateau aux cybercriminels. LastPass avait déjà fait les frais d’une telle attaque en juin 2015. […]

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.