LastPass était autrefois l’un des meilleurs gestionnaires de mots de passe, mais plus récemment, sa réputation a été entachée par de multiples failles de sécurité. L’entreprise a confirmé que la dernière était vraiment mauvaise.
LastPass a subi une violation de sécurité en août dernier, lorsqu’un pirate a eu accès aux environnements de développement et a pu voler le code source et d’autres informations exclusives. Plus tard en décembre, LastPass a confirmé qu’un pirate avait pu utiliser ces données pour « accéder à certains éléments d’information de nos clients ». La société n’a pas précisé ce que signifiait « certains éléments », jusqu’à maintenant.
LastPass vient de révéler toute la portée de l’attaque, suite à une « enquête en cours ». Le pirate a pu accéder à un environnement de stockage en nuage en utilisant les données de la brèche de sécurité du mois d’août, qui comprenaient « des informations de base sur les comptes des clients et les métadonnées connexes, y compris les noms des entreprises, les noms des utilisateurs finaux, les adresses de facturation, les adresses électroniques, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass. » Les informations relatives aux cartes de crédit n’ont apparemment pas été consultées.
Le pire, c’est que le pirate a réussi à copier les données du coffre-fort de LastPass, bien que la société l’ait appelé « une sauvegarde », ce qui ne permet pas de savoir exactement de quand datent ces données. La société affirme que les mots de passe réels sont toujours sûrs, car ils utilisent un cryptage AES 256 bits basé sur le mot de passe principal d’une personne. Cependant, si le mot de passe principal d’une personne peut être obtenu (par exemple, avec un courriel de phishing imitant une page de connexion LastPass), il pourrait être possible de déverrouiller les données cryptées et de voir tous les mots de passe de cette personne.
LastPass vient d’avoir une (autre) faille de sécurité
Même sans le mot de passe principal, la fuite de données pourrait être préjudiciable pour certains utilisateurs de LastPass. Les noms et les adresses de facturation peuvent être utilisés dans d’autres attaques, et les adresses de sites Web pour les mots de passe stockés n’étaient pas cryptées. Une personne disposant des données divulguées serait en mesure de voir tous les sites web associés aux mots de passe, puis de les utiliser pour un hameçonnage plus ciblé. Par exemple, si une personne possède un mot de passe pour le site web de Bank of America, il se peut qu’elle ait un compte sur ce site et qu’elle soit une excellente cible pour les courriels de phishing qui ressemblent à des alertes de compte de la banque.
C’est à peu près le pire incident de sécurité imaginable pour un gestionnaire de mots de passe comme LastPass – presque toutes les données en possession de l’entreprise ont été copiées. Le cryptage côté client a permis d’éviter le vol de tous les mots de passe, mais comme nous l’avons déjà mentionné, il suffit d’un mot de passe principal faible ou d’une attaque de phishing pour débloquer les données d’un compte. Cela, ajouté à un bilan médiocre en matière de réponse aux problèmes de sécurité et à de multiples autres violations récentes, constitue une bonne justification pour ne plus utiliser LastPass.
Si vous utilisez LastPass, vous devez changer votre mot de passe principal dès que possible et rester à l’affût des courriels à l’apparence douteuse dans les semaines et mois à venir. Vous pouvez également envisager de changer tous les mots de passe stockés dans LastPass – les pirates disposent (probablement) de ces données, mais ils ne peuvent pas les déverrouiller pour le moment.