🔴 French Days : ventes flash jusqu'à - 50% 🔴 French Days 2022 : ventes flash jusqu'à - 50%

LastPass attaqué, que s'est-il passé ?

29 août 2022 à 09h40
3
hacking © B_A / Pixabay
© B_A/Pixabay

Une intrusion a été détectée dans l’environnement de développement de l’application LastPass. Une révélation inquiétante pour ce gestionnaire de mots de passe freemium.

Une sécurité a été contournée lors d’une action de cybercriminalité il y a maintenant deux semaines. L’information a été relayée ce 25 août par son P.-D.G. Karim Toubba dans un communiqué sur le site officiel de l’application.

Les données utilisateurs restent en sécurité

Comme le confirme ce rapport, les cybercriminels n’auraient pas réussi à voler les données utilisateurs présentes sur le logiciel. Heureusement, car pour certains, l’ensemble de leurs mots de passe y est stocké.

Cette attaque, survenue deux semaines auparavant, a été repérée à la suite d'une « activité suspecte » dans certaines parties de l’environnement de développement. Pour l’instant, il semblerait que les ravisseurs aient uniquement récupéré des parties du code source et certaines informations techniques.

L’objectif des pirates : mettre la main sur le « Master Password », le mot de passe du compte LastPass, qui donne ensuite accès à l’ensemble des identifiants stockés dans le coffre. Mot de passe non compromis selon les paroles du fondateur Karim Toubba, qui indique que « cet incident n'a pas compromis votre Master Password ».

Une attaque avec peu d’incidences pour le moment, qui a poussé LastPass à renforcer ses mesures de sécurité pour éviter toute nouvelle intrusion dans son système. Des mesures de confinements et d’atténuation ont été prises par la société, le tout en faisant appel à des spécialistes en cybersécurité et en expertise judiciaire.

Des données précieuses qui sont la cible des pirates informatiques

Cette attaque ciblée n’est pas sans importance, puisqu’elle souligne l’intérêt des hackers pour ces logiciels de gestion de mots de passe. LastPass célébrait en 2020 ses 25 millions d’utilisateurs, avec l’accompagnement de près de 7 000 entreprises. On comprend mieux les enjeux derrière cette attaque.

Mais LastPass n’est pas la seule cible potentielle dans le monde des gestionnaires de mots de passe, rappelons également que des logiciels comme KeePass, 1Password, Dashlane, NordPass, Keeper, Enpass, RoboForm, ou encore Bitwarden sont tout autant susceptibles d'attirer les pirates.

Pour l’instant, aucune fuite n’a été reconnue, mais l'intrusion peut effrayer certains utilisateurs de ce type de plateforme. Attaque qui relancera les interrogations : est-il judicieux de mettre tous ses œufs dans le même panier, même si ce dernier est jugé impossible à percer ?

Sources : Neowin, LastPass

Malgré ses défauts, le mot de passe reste toujours le principal Sésame pour accéder à ses comptes et protéger ses données sensibles. Encore faut-il respecter quelques règles de base qui apparaissent comme autant de contraintes. Les deux principales sont la mémorisation et la gestion de mots de passe uniques. Avec un gestionnaire de mots de passe, ce n’est plus un casse-tête. L’offre étant maintenant très large, voici notre sélection (mis à jour Juillet 2022).
Lire la suite

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
nicgrover
D’après le message reçu de Lastpass, le « Master Password » utilisateur n’est pas stocké chez eux…
MattS32
Oui, comme tout gestionnaire de mot de passe qui se respecte, c’est du Zero Knowledge, le master password n’est jamais stocké ni même transmis aux serveurs de LastPass.<br /> Lorsqu’on saisit le master password dans un client LastPass, le client va en dériver localement deux clés :<br /> une clé pour l’authentification du compte, qui est transmise au serveur (qui va stocker de son côté une clé dérivée de cette clé, ainsi à chaque tentative de connexion il recalcule la clé dérivée et compare avec celle qui est stockée) et permet de s’assurer que le bon master password a été saisi (très faible probabilité que deux master password donnent la même clé)<br /> une clé pour le chiffrement des données, qui n’est jamais transmise au serveur. Le serveur reçoit les données déjà chiffrées, toutes les opérations de chiffrement/déchiffrement sont faites du côté du client.<br /> Au pire, en récupérant des portions du code source ET les hashs des clés d’authentification (mais à priori, ils n’ont obtenu que du code, pas les hashs), les pirates ont accès à l’algorithme utilisé pour calculer les différentes clés, et ils peuvent donc tenter du brute force pour trouver les master password.<br /> Mais comme l’algorithme utilisé est « lent », le brute force est compliqué… La première étape de l’algorithme, c’est 100 100 itérations de PBKDF2-SHA256. Avec autant d’itérations, une RTX 3080 peut tester environ 30 000 mots de passe par seconde. Soit environ 150 000 ans pour tester toutes les combinaisons alphanumériques de 10 caractères…<br /> Autant dire aucune chance de le trouver à moins de disposer de moyens financiers colossaux et de vraiment en vouloir à une personne (parce que si c’est pas ciblé, c’est beaucoup plus rentable d’utiliser cette puissance pour miner des cryptos que pour casser des mots de passe maître LastPass). Sauf à la limite pour les ânes qui n’ont toujours pas compris qu’on n’utilise pas des mots courants comme mot de passe, et surtout pas comme mot de passe maître de son gestionnaire de mots de passe… Mais faudrait déjà savoir quels sont les comptes qui utilisent les mots de passe simples, puisque le bruteforce ne peut se faire que compte par compte, les hash étant salés.
Amrac
Merci pour cette réponse très détaillé
Voir tous les messages sur le forum

Derniers actualités

Belle promo sur cette TV OLED LG 65'' pour les French Days Darty
French Days Cdiscount : la Galaxy Tab S7 de Samsung est à prix cassé
Bitdefender Total Security, l'une des références mondiales du marché des antivirus, est disponible à -60%
TOP des promos French Days à saisir chez Cdiscount
Plongez encore plus dans la course avec le volant Thrustmaster grâce aux French Days
Ce coffret accessoires pour le Z Fold 3 voit son prix chuter de 70€ pour les French Days !
Top 5 des applications à installer sur son smartphone ce week-end
A l'occasion du mondial de football, changez de TV pendant les French Days
GeForce RTX 4090 : il n'y aurait pas comme un problème avec le connecteur 12VHPWR ?
French Days : plus de 40€ de remise sur le clavier Logitech pour iPad !
Haut de page