La première attaque informatique a eu lieu en août 2022, même si sa portée était très limitée, et seuls quelques fichiers internes (code source, entre autres) ont été obtenus à partir de ces serveurs. Ou, du moins, c’était ce qu’on pensait. Fin novembre, les serveurs LastPass ont de nouveau été compromis dans une attaque beaucoup plus importante, qui a pu être menée grâce à des informations privilégiées obtenues lors de la première attaque (quelques vulnérabilités découvertes dans le code, certificats, etc.).
L’attaque de novembre dernier était beaucoup plus importante et plus difficile à détecter. Bien sûr, dans un premier temps, il a été révélé que les données de l’utilisateur n’avaient en aucun cas été compromises, il n’y avait donc rien à craindre. Aujourd’hui, l’entreprise change de version, et oui, l’attaque a été bien plus grave qu’on ne le pensait initialement.
Les données des utilisateurs sont en danger
Dans un nouveau post sur le blog LastPass, la société affirme avoir trouvé des preuves que l’attaquant, ou les attaquants, qui ont effectué ce piratage ont réussi à télécharger une copie de l’intégralité du coffre-fort client. Les données cryptées et les données non cryptées peuvent être trouvées dans cette sauvegarde. Parmi les données non cryptées qui ont été trouvées, nous pouvons mettre en évidence, par exemple, les URL enregistrées, les noms d’entreprise, les adresses de facturation, les numéros de téléphone ou les adresses IP, entre autres. Et, parmi les données cryptées, il y a noms d’utilisateur et mots de passe enregistrés dans cette prestation.
Les données cryptées, en théorie, sont protégées de manière sécurisée, car elles disposent d’un cryptage AES 256 bits. LastPass n’a pas stocké le mot de passe principal, les attaquants ne peuvent donc pas l’obtenir et l’utiliser pour déchiffrer les données. Mais ils peuvent le forcer (au cas où les utilisateurs utilisaient des mots de passe forts) ou utiliser la force brute pour le trouver, dangereux si les victimes avaient l’habitude de réutiliser les mots de passe.
Les seules données qui n’ont pas été compromises sont celles des cartes de paiement, car elles n’étaient pas entièrement stockées dans LastPass.
Que puis-je faire maintenant
Bien sûr, les pirates ont trouvé un véritable trésor. Pas seulement pour le grande quantité de données personnelles qui ne sont pas cryptés et qui sont déjà en leur possession, mais par des mots de passe forts, fiables et sécurisés qui fonctionnent qui sont également en sa possession, bien qu’ils soient cryptés. Maintenant, l’objectif des pirates est de trouver un moyen de casser le cryptage AES 256 bits et d’obtenir un accès illimité à tous ces mots de passe pour probablement les vendre en ligne. La facilité ou la difficulté de cette opération dépend simplement du mot de passe utilisé par l’utilisateur.
Si nous étions utilisateurs de LastPass il y a quelques mois, nos données sont sûrement déjà entre les mains de pirates. Et, bien que nous ne puissions plus rien faire pour eux, ce que nous pouvons faire, c’est changer le mot de passe principal utilisé en service changer tous les mots de passe de tous les sites que nous avons enregistrés sur cette plate-forme et, en outre, porter une attention particulière aux e-mails, messages et communications qui peuvent nous parvenir, car les données non cryptées peuvent être utilisées pour le phishing.
Julien, rédacteur chez Progiciels Mag, se spécialise en cybersécurité et innovations technologiques. Sa passion pour le numérique et son expertise font de lui une source incontournable d’informations avant-gardistes pour les lecteurs. Son travail contribue significativement à maintenir le magazine à la pointe de l’actualité high-tech.