🔴 Soldes dernière démarque : jusqu'à - 80% ! 🔴 Soldes dernière démarque : jusqu'à - 80% sur le high-tech

Oups ! Vous utilisez LastPass ? Des hackers ont sans doute des informations vous concernant...

23 décembre 2022 à 16h00
41
Mot de passe
© Vitalii Vodolazskyi / Shutterstock

Le piratage subi par le gestionnaire de mots de passe en août 2022 a été bien plus large qu'annoncé, et des mots de passe se baladent dans la nature.

LastPass, qui nous avait réservé une mauvaise surprise de Noël, vient de poster sur son blog de nouvelles informations quant au nombre de données récupérées lors du piratage subi il y a quelques mois.

Les mots de passe chiffrés des utilisateurs ont été compromis

Si LastPass avait souhaité se montrer rassurante à l'époque, en indiquant qu'aucune donnée critique n'avait été dérobée, bien que les pirates aient pu avoir accès aux adresses de facturation, aux noms des clients et des entreprises ainsi qu'aux adresses mail et aux numéros de téléphone.

Il n'en était finalement rien, puisque LastPass annonce aujourd'hui que les hackers ont pu « copier les sauvegardes des coffres-forts clients contenant à la fois des données chiffrées et des données non chiffrées ». En clair, des mots de passe et les sites associés ont été récupéré lors de l'intrusion.

LastPass s'excuse et rappelle les bonnes pratiques à mettre en œuvre pour limiter les risques de piratage

La situation est critique pour LastPass, mais l'entreprise tient à rappeler que les données volées sont toujours chiffrées et a priori illisibles par les hackers et tous ceux ayant accès aux informations : « Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge. Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. »

Seul le mot de passe maître, défini au préalable par l'utilisateur, peut déchiffrer les mots de passe contenus dans le coffre-fort numérique. Un hacker peut tenter malgré tout de saisir des milliers de combinaisons pour espérer trouver le bon mot de passe principal, soit ce que l'on appelle une attaque par force brute.

LastPass estime malgré tout que cette technique n'apportera pas de résultats probants. « Il faudrait des millions d'années pour trouver votre mot de passe à l'aide des technologies de cassage généralement utilisées », ajoute le service en ligne.

L'entreprise exhorte malgré tout ses utilisateurs à ne pas réutiliser le mot de passe maître de leur compte sur d'autres sites web et les invite à rester vigilants face aux tentatives de phishing, avec des escrocs pouvant se faire passer pour LastPass elle-même afin de récupérer des informations personnelles.

Source : LastPass

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
41
27
cirdan
Hé oui, un gestionnaire de mots de passe connecté est une aberration et il est regrettable que lors de tests logiciels ce soit ce type-là qui est plébiscité.<br /> Les sauvegardes en local pour ce genre de données sont quand même plus rassurantes, même si rien n’est jamais parfait.<br /> Keepass, par exemple.
Smap
C’est un équilibre avec la disponibilité car local = vulnérable à un crash.<br /> Donc duplication à deux endroits mais alors c’est compliqué de synchroniser les versions et on risque de perdre une partie des données entre deux répliques.<br /> Bref, rien n’est simple !
Zimt
Evidement, ne jamais faire confiance aux gestionnaires de mdp en ligne …
Zimt
Sinon le stockage local en Keypass avec copie du fichier doublement, triplement chiffré en cascade, avec des algos bien violent genre Serpent, dans un drive ou n’importe quel média de stockage géographiquement éloigné, ça marche très bien aussi … bon ensuite c’est sur que c’est le grand public qui se fait encore avoir une fois de plus part des boites, capables de proposer des solution qui sont des aberration à l’origine… mais bon
sylvebarbe78
Vous avouerez qu’il faut vraiment être bête pour ne pas employer un autre terme pour stocker ses mots de passe en ligne !!!
Eths25
Ah les cerveaux ne fonctionne plus, il faut des gestionnaires de mdp…
Biggs
Une version de la base de données des mdp sur le PC.<br /> Une version de sauvegarde sur un NAS ou même simplement un disque dur externe.<br /> Une application de synchronisation miroir en temps réel : chaque fois qu’on effectue une modif sur le fichier stocké sur le PC elle est reportée immédiatement sur le fichier de sauvegarde.<br /> Il n’y a rien de compliqué. Sur ce principe je pourrais mettre le feu à mon PC sur un coup de tête, je ne perdrais aucune donnée.
SPH
C’est facile pourtant : « 123456 » !
gemini7
Oui, les gens sont apparemment trop stupides pour pondre un MDP solide, un exemple du genre de MDP que j’invente : " EB15@cpA&amp;5843askDbY#-a+c=304ML " bon, je l’ai fait long, 30 caractères, mais c’est juste un exemple, quand je vois que certains utilisent encore des trucs du genre, " 123456 " ou " PASSWORD ", j’hallucine.<br /> Et non, je n’utiliserai jamais de créateur, gestionnaire, ou toutes autres applis permettant de gérer ou créer des mots de passe. Pas , seulement quelques fois dans mes posts.
gemini7
Citation de @SPH : « C’est facile pourtant : « 123456 » !  »<br />
Sodium
Personnellement, j’ai tout mes mots de passe en local avec Keepass qui est très bien, et quelques mots de passe non critiques sur Lastpass pour pouvoir les utiliser sur mobile. Ne croyez jamais quelqu’un qui vous dit que vos données stockées sur un cloud est un sécurité et n’y placez que des choses non critiques.
SPH
Moi, je me suis fait un document (.TXT) répertoriant TOUS mes mots de passe. J’ai crypté ce fichier et je l’ai mis à 5 endroits sur le net. Du coup, je n’ai que le MDP du cryptage à retenir.<br /> Voyez le crypteur que j’ai fait (MutanteKey 3)<br /> sph.chez.com<br /> SPH<br /> SPH_Logiciels<br />
kellog89
Oui, c’ est nécessaire.<br /> A moins d’avoir une poignée de mots de passe 123456 mais quand on en a des centaines ou avec des chaînes en hexa, je doute qu’ un cerveau quel qu’il soit puisse les mémoriser
Baxter_X
J’aimerai bien un audit de sécurité de ton « crypteur ». Par ce que sans, je ne risque pas de l’utiliser.
bmustang
bitwarden en autonome pour ceux qui sont intéressés
a-snowboard
C’est sur qu’utiliser un gestionnaire de mot de passe en ligne c’est ce qu’il y a de plus intelligent à faire.
Pernel
Hey ! C’est moi qui le dit d’habitude !
cirdan
L’union fait la force, surtout quand le conseil est utile <br /> J’utilise KeePass depuis très longtemps, c’est un peu austère comme interface mais je le garde précieusement.
Squeak
J’ai toujours eu une méfiance des services de gestion des mots de passe en ligne. J’utilise Secret Space Encryptor sur Android pour gérer les mots de passe, cela crée un coffre-fort qui est chiffré avec un algorithme comme AES256 (possibilité de changer). C’est une application open source. Elle permet d’exporter les données chiffrées pour en faire une sauvegarde (sur PC par exemple).<br /> @SPH : intéressant ton logiciel mais je doute que tu puisse prétendre sur ton site « Je le garanti(e → s) 100% infaillible » car c’est ce genre de citations qui motive encore plus à le dézinguer totalement. J’ai lu vite fait ton code source sans avoir pris le temps de tout comprendre mais bon, les algorithmes de chiffrement les plus fiables sont le fruit d’années de travail par des équipes de chercheurs en sécurité, des mathématiciens etc. Mélanger aléatoirement des bits ne suffit pas nécessairement. Ce sera sans doute suffisant dans la plupart des cas mais si tu veux développer un outil de chiffrement je te suggère d’utiliser des algorithmes et outils éprouvés, comme OpenSSL, ou GNUPG par exemple.
SPH
Oui, c’est sûr. Comme c’est moi qui l’ai codé, je sais ce qu’il vaux. Et c’est d’ailleurs pour cela que je ne fais pas confiance aux autres logiciels (ceux codé par quelqu’un d’autre que moi).<br /> PS : Le code est fourni
Pernel
Moi aussi, sur mes PC, ipad et GSM (et backup sur deux autres périphériques, la base)
Loposo
Oui enfin la c est gros un virus vole le coffre fort de keep pass, mais toujours le même problème il faut trouver le mot de passe maître donc il en a pour des années, en gros c est bien plus rentable un pishing ou keylogger, que de voler des coffre fort lastpass, car il faut faire un brut force pour chaque bref des milliers d années<br /> Sans parler des mots de passes firefox chrome la facilité qu on les autres browser de les importé bref. Ce qui est grave est le fichier nom prénom … Lui est pas crypté
max6
c’est vrai mais par exemple je sauvegarde la base chaque premier du mois et il est rare que j’ai besoin de créer plus d’un ou deux mots de passe par mois donc quand même le risque de perte reste faible.
louchi
Moi je mets un post-it à chaque mot de passe à côté de mon écran.<br /> C’est super safe au final.<br /> Le plus simple, c’est d’utiliser le même post-it, enfin, je veux dire, le même mot de passe.
Loposo
Bref ça sent surtout les mails de pishing faux lastpassqui vont arriver avec la news qui fait peur a tout les monde. Certains vont vite cliquer, et voilà plus rapide que du brut force.<br /> J utilise bitwarden en cloud et pas plus inquiet que ça, mon mail traîne déjà a cause des dizaine de site de recherche d emplois et autres depuis que je suis sorti de l école.<br /> J avais lastpass mais h avais vidé mon coffre et supprimé mon compte car pas possible plusieurs appareils en gratuit.<br /> Bref plus de 180 mots de passe enregistrée je vais pas tout retenir
Peggy10Huitres
La dernière passe …
Eths25
Pour chaque sites/services j’ai un mdp différent et une technique de mémorisation avec caractères spéciaux, chiffres et majuscule.
jeanlucesi
D’accord mais si tu te fais pirater ton pc ?
wackyseb
Lastpass !! Y’a vraiment des pigeons qui utilisent ce truc et se pensent en sécurité ?<br /> MEGA LOL de Noël - Hahaha
cirdan
C’est sûr, tu peux te faire pirater ou voler, c’est pour ça que j’ai précisé que rien n’est jamais parfait. Il faut aussi un mot de passe maître très fort, mais au moins tes mdp ne sont pas stockés sur le net, sur des serveurs tiers. Là-bas c’est un peu le FarWest et c’est de pire en pire.
Oli1
« C’est un équilibre avec la disponibilité car local = vulnérable à un crash. »<br /> Il suffit de sauvegarder Keepass et de le synchroniser entre les différents périphériques.
Mr_Electro84
Je ne pense pas que le cerveau est fait pour retenir PQ&amp;Ab76p89&gt;?8.4yBX+Qrp5s: et ce pour chaque site (parce que le MDP doit changer pour chaque site pour bien se conformer aux conseils de sécurité) ! Vous imaginez retenir :<br /> PQ&amp;Ab76p89&gt;?8.4yBX+Qrp5s:<br /> }+bYn2:2XZ}6V6pQc&gt;y9P4a#2<br /> hX8$68~aG$[:b89Dc(uU57FeY<br /> x#!7w3Q!W.ezd5]T46WB<br /> k4(X~4v_y4WCZF2[6u(q<br /> 3Hy7#.Kaf7}P&amp;;~22h8F7%3ShGqaK=kJ<br /> y7avA28:J-*dLD3<br /> 7vMEi7*Z6hFt]~2c9#<br /> Allez, puisque vous en êtes si sur de vos propos, je vous met au défi de tous les retenir sans utiliser quoi que ce soit (même pas une petite note manuscrite !) ! Spoiler alert : cela va être très compliqué !
Than
Parce que tu arrives à mémoriser plusieurs centaines de mots de passe réellement différents ?<br /> C’est juste pénible à la longue. Donc ces outils ont du sens (par contre les avoir en ligne… ).
Eths25
Oui et non. En fait ce n’est pas les mots de passe que je mémorise, mais ma technique, une sorte d’énigma + roue de césar à l’aide de plusieurs facteurs comme le nom du site ou du logiciel, l’adresse mail que j’utilise, le pseudo et la disposition d’un type de clavier.
Than
Oui, mais du coup si c’est trop évident, dès qu’on choppe un seul de tes codes, les autres sont devinables.<br /> Donc ça force à avoir plusieurs variantes… donc c’est moins évident à retenir. Et ainsi de suite.<br /> Et dès qu’un site change son format obligatoire et que ça fout en l’air ta méthode, ça complique encore la mémorisation. ^^
sebzuki
Oui obligatoire, ton cerveau ne pourra jamais retenir des mots de passe de 20 caractères ou plus avec des majuscules, des minuscules et des caractères spéciaux <br /> j’ai une cinquantaine de comptes différents dans mon coffre fort, je serais bien incapable de les retenir par cœur
sebzuki
sans parler du temps pour les taper
Eths25
L’intérêt d’avoir un mdp de 20 caractère ? Les miens sont entre 10 et 12 suivant les facteurs de la méthode
sebzuki
ça permet d’être tranquille s’ils sont volés, et puis comme c’est dans un coffre fort ça prend la taille qu’on veut, avec 20 caractères c’est tranquille.<br /> D’autant plus que la plupart des caractères spéciaux dans les mots de passe courants sont inutiles… par exemple, le « ! » à la fin, c’est ce qui est testé en premier ^^<br /> Dès que c’est fait par un humain c’est « faible » car ça respecte une logique pour être retenu en mémoire, il faut utiliser la fonction d’auto-génération<br /> pour le moment 10 caractères c’est robuste mais d’ici 2-3 ans, on ne sait jamais
Eths25
Je n’ai jamais eu de problèmes de piratage. Par contre sur les vols de compte Netflix &amp; co je vois bien les mdp long comme mon bras sûrement généré aléatoirement.
Oli1
« L’intérêt d’avoir un mdp de 20 caractère ? Les miens sont entre 10 et 12 suivant les facteurs de la méthode »<br /> Tout simplement car les ordinateurs sont de plus en plus rapides, et que bientôt, on entrera dans l’ère du quantique « à la demande »… donc 12 caractères ne tiendront pas longtemps. Une trentaine devrait commencer à faire l’affaire.
Voir tous les messages sur le forum

Derniers actualités

Scout, la fusée du
Connaissez-vous les salaires dans la cybercriminalité ? Vous allez être jaloux...
Impressionnée par le succès de ChatGPT, l'Europe veut encadrer l'IA
Soldes Amazon et Cdiscount : TOP 10 des offres folles à saisir ce week-end
Bon plan : profitez dès maintenant des offres avantageuses antivirus et VPN Norton !
Prix fou : CyberGhost vous offre son VPN avec 82% de réduction
Twitch : ces chiffres qui témoignent de l'incroyable succès de la plateforme
Réalisé en partie avec l'IA, cet anime Netflix fait déjà polémique
Nouveaux AirPods Max et AirPods d'entrée de gamme, c'est pour quand ?
Vous avez aimé ChatGPT ? Découvrez CatGPT
Haut de page