L’utilisation de mots de passe forts et aléatoires est une pratique essentielle pour la sécurité de chacun. Cependant, pour le réaliser, il est nécessaire d’avoir l’aide d’un gestionnaire de mots de passe, un programme qui nous permet de les sauvegarder en toute sécurité afin de ne pas avoir à nous en souvenir encore et encore. Il existe de nombreux programmes pour enregistrer les mots de passe, certains simples et gratuits, comme celui qui est inclus dans tous les navigateurs Web, et d’autres plus avancés et théoriquement sûrs, comme LastPass.
LastPass est un service conçu à la fois pour les utilisateurs et les entreprises qui nous permet de gérer nos mots de passe. Ce service, que nous pouvons utiliser gratuitement (bien que très limité) ou en payant des frais mensuels, nous permet de générer des mots de passe sécurisés pour les sites Web et de sauvegarder chacun des mots de passe que nous utilisons sur chaque page sur laquelle nous sommes enregistrés. De plus, si une faille de sécurité est détectée, il nous informera même des mots de passe qui ont été divulgués afin que nous puissions les changer dès que possible.
L’inconvénient de confier toutes ces informations confidentielles et privées à une entreprise est qu’en cas de faille de sécurité, toutes ces données peuvent être exposées et accessibles à tout pirate informatique. Et malheureusement, c’est ce qui vient d’arriver à LastPass. Et si cela ne suffisait pas, pour la deuxième fois cette année.
Nous avons récemment détecté une activité inhabituelle au sein d’un service de stockage cloud tiers, qui est actuellement partagé par LastPass et son affilié GoTo. Les mots de passe des clients restent chiffrés en toute sécurité grâce à l’architecture Zero Knowledge de LastPass. Plus d’infos : https://t.co/xk2vKa7icq https://t.co/ynuGVwiZcK
30 novembre 2022 • 21:12
Avoir accès aux données clients
Pas plus tard qu’hier, LastPass a signalé avoir détecté l’accès non autorisé, par des attaquants inconnus, sur vos serveurs. Cette attaque a été possible car les attaquants ont utilisé des informations volées lors de l’autre attaque que cette entreprise a subie cette année, en août dernier. Les attaquants ont réussi à accéder à leurs serveurs de stockage (qui sont dans le cloud d’une société externe), et ont réussi à accéder à certaines informations de leurs clients.
À l’heure actuelle, l’entreprise assure qu’elle étudie la portée de l’attaque afin de savoir en détail à quelles données ces pirates ont réussi à accéder et quelles informations ont effectivement été exposées et peuvent être entre les mains des pirates.
L’attaque d’août dernier a été possible grâce au fait que l’un des développeurs de l’entreprise avait un compte compromis, et c’est grâce à lui qu’il a eu accès aux serveurs. Cette fois, l’origine n’est pas tout à fait claire, même si tout indique que cela a été possible en utilisant des informations volées lors de l’attaque précédente (un certificat, un cookie, une API, etc.).
Mes mots de passe LastPass sont-ils compromis ?
Les pirates ont pu accéder à de nombreuses informations des clients LastPass, telles que des noms, des e-mails, des numéros de téléphone, etc. Cependant, la société est certaine, même sans enquête plus approfondie sur la question, que les mots de passe n’ont pas été compromis.
Cela est dû à la politique Zero Knowledge selon laquelle LastPass stocke des informations sur ses serveurs, mais sans savoir quelles informations il stocke. Toutes ces informations sont stockées cryptées et ne peuvent être décryptées que par le client à l’aide de son système de double authentification, mais personne d’autre.
On pense, pour l’instant, que ce nouveau piratage n’a divulgué que le code source de l’entreprise et d’autres informations exclusives, mais rien de plus. Pour l’instant, les responsables de l’entreprise n’ont pas fait de déclarations. Et dès que nous en saurons plus sur cette attaque, nous mettrons à jour les nouvelles avec les nouvelles informations.