LastPass piratée pour la 2e fois cette année, vos mots de passe toujours en sécurité ?

01 décembre 2022 à 12h18
31
© B_A / Pixabay
© B_A / Pixabay

La direction du célèbre gestionnaire a indiqué avoir « immédiatement » lancé une enquête. Elle a tenu à rassurer, expliquant qu'aucun mot de passe n'était en danger.

Nouveau coup dur pour LastPass et sa maison mère Goto. Un service utilisé conjointement par les deux sociétés serait au cœur de la brèche.

Les mots de passe ne sont pas compromis

Ce 30 novembre, LastPass a déclaré avoir détecté une « activité anormale » au niveau d'un « service de stockage dans le cloud ». Des informations des clients ont pu être consultées par les auteurs de l'attaque. Mais le P.-D.G. de la firme, Karim Toubba, reste pour l'heure plutôt vague quant à leur nature.

« Nous travaillons […] pour évaluer la portée de l’incident et identifier les informations précises qui ont été consultées », a-t-il déclaré dans un billet de blog. Impossible, donc, d'en savoir plus sur le service incriminé ni sur la quantité de données touchées.

L'entreprise a toutefois tenu à vite rassurer ses utilisateurs : « Les mots de passe de nos clients restent chiffrés et sécurisés grâce à l’architecture Zero Knowledge. » Cette méthode garantit que seul l'utilisateur peut lire les informations qu'il stocke dans son propre coffre-fort.

LastPass a également indiqué avoir mandaté la société spécialiste en cybersécurité Mandiant, dans le cadre de son programme de gestion des risques, et prévenu les forces de l'ordre de cet accès malveillant. « Comme toujours, nous vous tiendrons informés dès que nous en saurons plus », a-t-elle ajouté.

Une attaque qui en exploite une autre

C'est la seconde fois en 2022 que le gestionnaire de mots de passe est victime d'un piratage. Cette fois-ci, les hackers ont tiré parti d'un vol de données du mois d'août dernier. Il avait été rendu possible par l'intrusion dans le code source de l'application, grâce à l'utilisation frauduleuse du poste de travail d'un développeur.

Or, pour des raisons de sécurité évidentes, LastPass sépare ses environnements de développement et de production. Ce qui avait permis de drastiquement circonscrire les possibilités d'un sabotage massif…

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (31)

radeon4ever
faut vraiment être barge pour stocker ses mots de passe dans le cloud, quelque soit la solution …
Loposo
Pourquoi, votre browser Firefox Chrome etc n’est pas plus sécurisé, il y a juste à voir les mots de passe facile a affiché si quelqu un pas 2 min sur votre pc, la facilité pour d’autres browser de copier les mots de passes,…<br /> Il faut juste jamais enregistrer sa carte bleue, perso j’utilise bitwarden, juste, il faut enregistrer manuellement le mot de passe nouveau ( ou je n’ai pas trouvé l’option)
artik1024
Je sais pas… Je pense qu’il y a deux niveaux. Les mots de passe dangereux, que je stock pas dans le cloud, et les autres, ou même si quelqu’un se connecte bah… m’en fou un peu. Et c’est justement ces derniers qui sont bien pratiques à auto remplir en utilisant un gestionnaire sur mobile ou desktop
_Dorsoduro
Au début je pensais comme toi. Après quand j ai vu que mon anti virus Kaspersky était capable de faire (via une option je ne sais plus trop) j’ai dejanté<br /> En 1 click il a récupérer tout mes mots de passe sauvegarder en local où je ne sais où. Je ne sais pas trop comment il a pu être aussi efficace. Bcq d’entre eux était oublié et non sauvegardé de mon firefox. Je devais les retaper.<br /> Depuis j’ai désinstallé cet antivirus et changé tt les mots de passe. C ultra dangereux en vrai. J’ai réalisé que n’importe application de confiance ou pas peut se permettre de faire de mm.<br /> anti virus, pilote , un vpn, ton navigateur internet lui mm. les cloud ne sont qu’un moyen de plus.
_Dorsoduro
En vrai tu as raison. Il faut partir du principe. Qu’il est facile de c faire voler c mot de passe. Il faut surtout ne sauvegarder sa carte bleu et limiter au max les abonnements avec renouvellement automatique.
gemini7
Je n’utilise pas le Cloud et surtout pas pour y mettre mes MDP.<br /> Mais apparemment, les navigateurs ne sont pas assez sécurisés non plus.
alabifr
Quand je défendais keepass sur un sujet à propos des gestionnaires de mots de passe, on se moquait de moi parce qu’il n’avait pas la possibilité (native) de stocker les données sur le cloud. Ma sauvegarde sur le pc et sur une clef usb me convient très bien. Quel effort, que de copier le fichier, par exemple sur téléphone pour actualiser les données du téléphone .
enrico69
Je lis les critiques de certains et je ne comprends pas tout. Intrusion et vol de données ne signifient pas forcément que tous vos mots de passe se baladent en clair non ? Les MDP sont chiffrés, donc si tu n’a pas le mot de passe maître (qui lui doit être hashé), tu ne peux rien faire, même dans le cas hypothétique où ils ont accès au code source non ?
enrico69
De plus, rappelons que l’utilisation du 2FA pour les sujets sensibles (banques, Paypal…) n’est plus option mais un devoir
stefane
Les solutions cloud permettent, entre autre, de partager les mots de passe au sein d’une équipe, d’une famille, etc … et d’avoir des mots de passe plus complexes que ceux qu’on peut voir dans la news à ce sujet « 123456 » ou « azerty »<br /> Les solutions « locales » sont très bien, mais elles sont locales et donc limitées à la seule personne qui la possède
Termos
Quitte à écrire aux autres, un petit effort sur l’expression, la grammaire et l’orthographe svp
max_971
Moi je sauvegarde mes mots de passe dans mon cerveau.<br /> Pour l’instant c’est sécurisé.
cracktonslip
Après quelques verres d’alcool tu dois avoir des failles
TNZ
C’est bien pour ça que le Win10 / Defender ne me sert qu’à lancer mes jeux utilisant le volant à retour de force.<br /> Tout le reste, et en priorité l’administratif fait en nom propre, je le fais sous GNU/Linux car moins exposé, meilleure mise à jour et surtout plus véloce.
radeon4ever
non désolé, aucun mot de passe stocké dans les navigateurs … Keepass fait très bien le job
radeon4ever
sauf qu’il n’existe aucune application officielle keepass sur android donc je n’utilise pas.
Pernel
TOUJOURS en LOCAL, toujours en local !
Blackalf
max_971:<br /> Moi je sauvegarde mes mots de passe dans mon cerveau.<br /> Pour l’instant c’est sécurisé.<br /> Ils sont donc simples et/ou peu nombreux. <br /> Perso j’ai une quarantaine de comptes sur divers sites et les mdp sont tous compliqués, il est donc impossible de les retenir tous malgré mon excellente mémoire. ^^
_Dorsoduro
Linux est moins exposé ?!<br /> Récemment pour gagner du temps, j’utilise le pocket de Firefox pour garder mon historique et mots de passes quelque soit mon poste. Il y a rien a dire, c’est ultra efficace.<br /> Un peu trop mm. Apparemment les données sont stockées sans durée de vie dans leur serveur. Il faut que j en sache plus…
_Dorsoduro
Demain tu décides de vendre ton ordi.<br /> De fois mm nettoyer, il est possible de récupérer des trucs (surtout sur HDD)<br /> C’est lié à leur mode de fonctionnement.
Loposo
Je sais, je hais le correcteur de mon smartphone. J’écris quasi plus en anglais avec, ça foire en permanence quand j’écris en français. De la daube, il faut que je teste un autre, mais pour l’anglais pas de problème alors la flemme de switch
Loposo
ok mais keepass c’est aussi plus complexe, le cloud type bitwarden, c’est une solution beaucoup plus simple et aussi sécurisé, les mots de passes sont cryptés, ils n’ont pas le mot de passe général. Pour décrypter tous les mots de passes même si les hackers arrivent à avoir accès, il faudrait des années, donc bon j’ai le temps. Il y a plus de chance d’un vol par hameçonnage, keylogger, ou alors un site basique type forum se fasse hack, que des sites type 1password, bitwarden,…
TNZ
Quand tu vends ton ordi, d’un point de vue sécurité, tu ne laisses pas les DD !
tubezleb
personne ne parle de Vaulwarden ici? super gestionnaire de de mot de passe auto hebergé avec une app android et plugin pour navigateur internet. le TOP
Pernel
Après demain ton gestionnaire se fait (encore) pirater …
Muggsy68
RGPD et ça les calmera
bmustang
lastpass est un gruyère comparé à bitwarden et d’autres. bitwarden en local avec docker pour ceux qui veulent ne rien mettre sur le cloud est une bonne solution.
bmustang
par contre utiliser un navigateur pour cette fonction, certainement pas encore pire que lastpass
BernardB
Simple ;<br /> Tous mes mots de passe sont sur une clé USB et carte Mem.<br /> &amp; que j’ insert après avoir allumé l’Ordi.<br /> Après, Je nettoie l’Ordi avant de l’éteindre.<br /> Il faut être innocent pour confier ses mots de passe important à qui que se soit ou un Cloud !<br /> Ceci malgré le gestionnaire de mots de passe de Kaspersky ‹ ‹ non utilisé › ›.<br /> Un secret n’est plus un secret si deux personnes le possèdent !<br /> Pour les Tel, c’est l’empreinte digitale.
Pretarian
Parce que stoker ses mot de passe sur son petit NAS QNAP derrière sa petite livebox c’est plus sécurisé ?<br /> Le barge n’est pas celui qu’on croit.
alabifr
N’étant pas « officielle » keepass2android fonctionne à merveille
max_971
J’ai 3 niveaux de mot de passe :<br /> mot de passe simple qu’un pirate peut trouver facilement mais même si il a accès à ce compte, tu ne peux rien faire avec à part voir mes commandes passées (je n’enregistre jamais ma CB).<br /> mot de passe compliqué modifié chaque mois que je retrouve selon un procédé que je connais et qui varie chaque mois.<br /> mot de passe compliqué avec authentification à 2 facteurs.<br /> En outre, je ne passe jamais par les liens de mails même si c’est le vrai expéditeur.
Voir tous les messages sur le forum