Ce jeudi, LastPass a fait de nouvelles révélations autour de l’importante faille de sécurité qu’a connue le service en août dernier. Alors que l’entreprise se voulait rassurante il y a quelques semaines, l’enquête semble prendre une nouvelle tournure qui ne devrait pas plaire aux utilisateurs du gestionnaire de mot de passe.
L’enquête lancée par LastPass autour du piratage dont a été victime la société avance. La version initiale rapportait le piratage d’un développeur de l’entreprise qui avait compromis certaines parties de l’environnement de développement, laissant fuiter « des parties du code source et certaines informations techniques propriétaires de LastPass ». Aujourd’hui, on apprend que la fuite serait un peu plus importante que ça…Ainsi, LastPass révèle dans un nouvel article de blog que les pirates ont finalement eu accès aux informations personnelles et aux métadonnées associées. Ces dernières concernent les noms d’utilisateurs finaux, ceux des sociétés utilisant le service, mais aussi les adresses de facturation, les emails, les adresses IP et les numéros de téléphone des clients. Les informations volées ne s’arrêtent malheureusement pas là. En effet, les pirates seraient également parvenus à faire des sauvegardes des données se trouvant dans les coffres-forts des clients. Ils contenaient notamment des données chiffrées telles que les identifiants et mots de passe de site web, les URL des sites en question ainsi que les notes de sécurités et les données de formulaires. Karim Toubba, PDG de LastPass, précise que les données restent sécurisées :
« Ces champs chiffrés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être déchiffrés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l’aide de notre architecture Zero Knowledge. »
Pour rappel, cette architecture fait que le mot de passe principal n’est pas connu de LastPass ni stocké par l’entreprise. Ainsi, le chiffrement et le déchiffrement des données sont effectués au niveau de l’appareil et non des serveurs.
Après cette fuite massive de données, LastPass a pris la décision de renforcer sa sécurité en mettant hors service les développements en cours auxquels ont eu accès les pirates, pour recommencer à partir de zéro. Toutes les informations d’identification et certificats qui auraient pu être touchées par ce hack ont également été mises hors service.
Les données des utilisateurs sont donc pour l’instant sécurisées dans la mesure où il faudrait un nouveau piratage massif de données pour pouvoir les décrypter et les utiliser à des fins malveillantes. Un scénario qui n’est malheureusement pas à écarter compte tenu de l’ingéniosité des hackers. Si vous êtes un utilisateur de LastPass, on ne peut que vous conseiller de changer votre mot de passe principal ainsi que tous ceux qui se trouvent dans votre coffre-fort. Veillez à utiliser des mots de passe forts et suffisamment longs composés de chiffres, de lettres et de caractères spéciaux. Les meilleurs gestionnaires de mot de passe peuvent en générer automatiquement. Redoublez par ailleurs de vigilance si vous recevez des emails de la part de LastPass, il pourrait s’agir d’une tentative d’hameçonnage de la part d’acteurs malveillants cherchant à récupérer vos informations sensibles.
Source : LastPass