Le gestionnaire de mot de passe a reconnu que des informations personnelles de ses clients ont été subtilisées. Mais, il précise que les mots de passe dérobés restent chiffrés… jusqu’à quand ? Le nombre de comptes touchés n’a pas été dévoilé.
Le jeudi 22 décembre, Karim Toubba (CEO de LastPass) a confirmé dans une note sur le site de l’entreprise, avoir subi une importante fuite de données.
LastPass est un gestionnaire de mot de passe qui permet de sauvegarder les mots de passe dans le Cloud de l’entreprise, afin de les retrouver facilement depuis un smartphone ou un ordinateur.
En août 2022, un groupe de hacker avait déjà réussi à s’infiltrer dans LastPass et y récupérer des informations techniques. Ils avaient volé une partie du code source de la plateforme. À l’aide des informations recueillies, les pirates ont déniché l’identifiant, le mot de passe et une clé de chiffrement donnant accès aux sauvegardes hébergées chez un sous-traitant. Dans un premier temps, la société s’est vue rassurante auprès de ses clients, mais finalement elle s’est ravisée et appelle maintenant à la plus grande prudence.
En effet, dans cette sauvegarde, les pirates ont pu récupérer des informations personnelles telles que : nom, prénom, adresse postale, téléphone, e-mail, adresse IP et référence de l’appareil utilisé pour se connecter. Les mots de passe et informations bancaires ne pourront probablement pas être exploités. Cependant, cela reste des informations extrêmement précieuses, qui permettent plus facilement d’hameçonner les clients ou revendre les informations. La société LastPass prévient ses clients : elle ne leur enverra aucun message avec un lien et ne demandera jamais le code maître pour accéder à leur compte.
Les mots de passe restent malgré tout chiffrés. La société reste très confiante sur son système de chiffrement. Les voleurs vont avoir beaucoup de difficultés à y accéder, mais ce n’est pas impossible. Le mot de passe principal n’est ni connu, ni stocké par l’entreprise. Le chiffrement et le déchiffrement des données sont réalisés au niveau de l’appareil et non des serveurs. Les pirates peuvent malgré tout tenter de découvrir le code principal, tout dépendra de la résistance du code choisi.
LastPass a plus de 33 millions de particuliers et 100 000 entreprises qui lui font confiance pour gérer leurs mots de passe. Il se revendique numéro un dans le monde dans son domaine. Même les meilleurs ne sont pas intouchables…
Nous, à la rédaction, nous vous recommandons l’usage de KeePass ou Bitwarden. Ces 2 logiciels sont différents, mais ils fonctionnent très bien avec un NAS (sans Cloud externe). Surtout, ne stockez pas vos mots de passe dans un service Cloud, gratuit ou payant. LastPass n’est pas le seul à subir se genre d’attaques et de fuites…