LastPass : le piratage est plus grave que prévu, que faut-il faire ?

Célèbre gestionnaire de mots de passe, LastPass a connu une année 2022 très compliquée. La firme a été victime d’un piratage durant l’année, ou plutôt de deux cyberattaques au cours des derniers mois. L’alerte a été sonnée en août dernier après qu’une partie du code source et des informations techniques ont été dérobés. LastPass avait contacté ses utilisateurs pour les prévenir, se montrant toutefois rassurante.

Il y a quelques semaines, la société a une nouvelle fois été la cible des pirates. Ces derniers ont attaqué le stockage dans le cloud utilisé par LastPass et sa filiale GoTo. « Nous avons découvert qu’un tiers non autorisé a exploité des informations obtenues lors de l’incident d’août 2022 pour accéder à certaines informations de nos clients », indiquait Karim Toubba. Le PDG de l’entreprise avait ajouté : « Les mots de passe de nos clients restent chiffrés et sécurisés grâce à l’architecture zéro connaissance de LastPass ». Finalement, le piratage est plus grave qu’annoncé.

Juste avant les fêtes de fin d’année, la direction fait un nouveau point et change de version. Elle confirme que le ou les assaillants ont dérobé des données personnelles ; contredisant le discours tenu jusqu’à présent. Karim Toubba explique que les pirates ont pu « copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage chiffré ». Dans ce coffre-fort, on trouve des données sensibles telles que des mots de passe.

Des coffres-forts sont dans la nature, mais encore faut-il avoir la clé

L’affaire est grave pour ce spécialiste qui promet la « sécurité sans effort de partout » sur son site. Parmi les données stockées de coffre-fort, certaines ne sont pas chiffrées car elles ne présentent pas de risque particulier. L’entreprise fait référence aux adresses des sites web. En réalité, ces données fournissent des informations sur les sites sur lesquels les utilisateurs peuvent avoir un compte.

En croisant ces infos avec d’autres données, un pirate est susceptible de mieux cibler un internaute. Pour rassurer ses adeptes, LastPass confie que les données les plus critiques – comme les mots de passe et les identifiants – font l’objet d’un chiffrement. « Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu’avec une clé de chiffrement unique dérivée du mot de passe principal de chaque utilisateur », précise LastPass. Et d’ajouter : « Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass ». En effet, le chiffrement et le déchiffrement des données s’effectuent uniquement en local.

Sans ces clés, les hackers ne peuvent pas déchiffrer les copies des coffres-forts volés. « En raison des méthodes de hachage et de chiffrement que nous utilisons pour protéger nos clients, il serait extrêmement difficile de deviner par force brute les mots de passe maîtres de nos clients qui suivent nos meilleures pratiques en matière de mot de passe », indique la société. Rappelons que ce fameux mot de passe spécial est le seul à retenir par l’utilisateur. Il faut évidemment qu’il soit suffisamment solide pour ne pas être découvert.

En tenant compte de ces principes de précautions, LastPass assure qu’il « faudrait des millions d’années pour deviner votre mot de passe principal à l’aide d’une technologie classique de craquage de mot de passe ».

Je n’ai donc rien à craindre ?

Si vous êtes un utilisateur de LastPass, ces explications peuvent vous sembler rassurantes. Elles le sont, mais il y a problème plus embêtant : les opérations d’hameçonnage. Le phishing est tendance et le fait que certaines données personnelles ont fuité présente des risques. En effet, les responsables de l’attaque n’ont pas uniquement des URL de sites web en leur possession. Ils ont aussi pu mettre la main sur des noms d’utilisateurs, des adresses de facturation, des adresses e-mail, des numéros de téléphone et les adresses IP à partir desquelles des utilisateurs accèdent au service LastPass.

Autant d’informations que les assaillants peuvent utiliser afin de se faire passer pour LastPass. Ils tenteront alors de mettre la main sur le mot de passe maître. La société ne nie pas l’existence de ce risque et précise : « il est important de savoir que LastPass ne vous appellera, n’enverra jamais d’e-mail ou de SMS pour vous demander de cliquer sur un lien pour vérifier vos informations personnelles. Sauf lors de la connexion à votre coffre-fort à partir d’un client LastPass, LastPass ne vous demandera jamais votre mot de passe maître ».

Que dois-je faire si j’utilise LastPass ?

La société fait plusieurs recommandations pour éviter que des hackers accèdent à vos données. Voici quelques recommandations à suivre :

• Redoubler de vigilance : les pirates peuvent essayer de se faire passer pour LastPass dans leur communication. Attention donc aux éventuels messages et mails qui portent une fausse signature LastPass.
• Vérifier votre mot de passe maître : il faut être sûr que ce fameux mot de passe, capable de déverrouiller votre coffre-fort, est unique. Il ne faut pas l’utiliser pour d’autres comptes.
• Changer vos mots de passe : depuis 2018, LastPass exige un minimum de douze caractères pour les mots de passe maîtres. Selon la firme, cela « minimise considérablement la possibilité de deviner avec succès un mot de passe par force brute ». Néanmoins, si votre mot de passe n’est pas suffisamment sécurisé ou que vous n’utilisez pas les paramètres par défaut ; prenez le temps de modifier de votre mot de passe et TOUS les mots de passe sauvegardés dans votre coffre-fort.

Cette dernière procédure peut être lourde, mais il convient d’être prudent. Vous pouvez procéder par vagues en modifiant d’abord ceux rattachés à des comptes sensibles (banques, mail…).

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.