LastPass attaqué, que s'est-il passé ?

29 août 2022 à 09h40
3
© B_A/Pixabay
© B_A/Pixabay

Une intrusion a été détectée dans l’environnement de développement de l’application LastPass. Une révélation inquiétante pour ce gestionnaire de mots de passe freemium.

Une sécurité a été contournée lors d’une action de cybercriminalité il y a maintenant deux semaines. L’information a été relayée ce 25 août par son P.-D.G. Karim Toubba dans un communiqué sur le site officiel de l’application.

Les données utilisateurs restent en sécurité

Comme le confirme ce rapport, les cybercriminels n’auraient pas réussi à voler les données utilisateurs présentes sur le logiciel. Heureusement, car pour certains, l’ensemble de leurs mots de passe y est stocké.

Cette attaque, survenue deux semaines auparavant, a été repérée à la suite d'une « activité suspecte » dans certaines parties de l’environnement de développement. Pour l’instant, il semblerait que les ravisseurs aient uniquement récupéré des parties du code source et certaines informations techniques.

L’objectif des pirates : mettre la main sur le « Master Password », le mot de passe du compte LastPass, qui donne ensuite accès à l’ensemble des identifiants stockés dans le coffre. Mot de passe non compromis selon les paroles du fondateur Karim Toubba, qui indique que « cet incident n'a pas compromis votre Master Password ».

Une attaque avec peu d’incidences pour le moment, qui a poussé LastPass à renforcer ses mesures de sécurité pour éviter toute nouvelle intrusion dans son système. Des mesures de confinements et d’atténuation ont été prises par la société, le tout en faisant appel à des spécialistes en cybersécurité et en expertise judiciaire.

Des données précieuses qui sont la cible des pirates informatiques

Cette attaque ciblée n’est pas sans importance, puisqu’elle souligne l’intérêt des hackers pour ces logiciels de gestion de mots de passe. LastPass célébrait en 2020 ses 25 millions d’utilisateurs, avec l’accompagnement de près de 7 000 entreprises. On comprend mieux les enjeux derrière cette attaque.

Mais LastPass n’est pas la seule cible potentielle dans le monde des gestionnaires de mots de passe, rappelons également que des logiciels comme KeePass, 1Password, Dashlane, NordPass, Keeper, Enpass, RoboForm, ou encore Bitwarden sont tout autant susceptibles d'attirer les pirates.

Pour l’instant, aucune fuite n’a été reconnue, mais l'intrusion peut effrayer certains utilisateurs de ce type de plateforme. Attaque qui relancera les interrogations : est-il judicieux de mettre tous ses œufs dans le même panier, même si ce dernier est jugé impossible à percer ?

Sources : Neowin, LastPass

Il n'est jamais trop tard pour adopter les bons réflexes en ligne, n'est-ce pas ? La première étape consiste à télécharger un gestionnaire de mots de passe. Pour vous guider vers le meilleur choix, nous avons comparé ici les meilleurs d'entre eux en février 2024.
Lire la suite

LastPass
LastPass
Gestionnaire de mot de passe
date de sortie : non disponible
Voir la fiche produit
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (3)

nicgrover
D’après le message reçu de Lastpass, le « Master Password » utilisateur n’est pas stocké chez eux…
MattS32
Oui, comme tout gestionnaire de mot de passe qui se respecte, c’est du Zero Knowledge, le master password n’est jamais stocké ni même transmis aux serveurs de LastPass.<br /> Lorsqu’on saisit le master password dans un client LastPass, le client va en dériver localement deux clés :<br /> une clé pour l’authentification du compte, qui est transmise au serveur (qui va stocker de son côté une clé dérivée de cette clé, ainsi à chaque tentative de connexion il recalcule la clé dérivée et compare avec celle qui est stockée) et permet de s’assurer que le bon master password a été saisi (très faible probabilité que deux master password donnent la même clé)<br /> une clé pour le chiffrement des données, qui n’est jamais transmise au serveur. Le serveur reçoit les données déjà chiffrées, toutes les opérations de chiffrement/déchiffrement sont faites du côté du client.<br /> Au pire, en récupérant des portions du code source ET les hashs des clés d’authentification (mais à priori, ils n’ont obtenu que du code, pas les hashs), les pirates ont accès à l’algorithme utilisé pour calculer les différentes clés, et ils peuvent donc tenter du brute force pour trouver les master password.<br /> Mais comme l’algorithme utilisé est « lent », le brute force est compliqué… La première étape de l’algorithme, c’est 100 100 itérations de PBKDF2-SHA256. Avec autant d’itérations, une RTX 3080 peut tester environ 30 000 mots de passe par seconde. Soit environ 150 000 ans pour tester toutes les combinaisons alphanumériques de 10 caractères…<br /> Autant dire aucune chance de le trouver à moins de disposer de moyens financiers colossaux et de vraiment en vouloir à une personne (parce que si c’est pas ciblé, c’est beaucoup plus rentable d’utiliser cette puissance pour miner des cryptos que pour casser des mots de passe maître LastPass). Sauf à la limite pour les ânes qui n’ont toujours pas compris qu’on n’utilise pas des mots courants comme mot de passe, et surtout pas comme mot de passe maître de son gestionnaire de mots de passe… Mais faudrait déjà savoir quels sont les comptes qui utilisent les mots de passe simples, puisque le bruteforce ne peut se faire que compte par compte, les hash étant salés.
Amrac
Merci pour cette réponse très détaillé
Voir tous les messages sur le forum