Oups ! Vous utilisez LastPass ? Des hackers ont sans doute des informations vous concernant...

Mathieu Grumiaux
23 décembre 2022 à 16h00
41
© Vitalii Vodolazskyi / Shutterstock
© Vitalii Vodolazskyi / Shutterstock

Le piratage subi par le gestionnaire de mots de passe en août 2022 a été bien plus large qu'annoncé, et des mots de passe se baladent dans la nature.

LastPass, qui nous avait réservé une mauvaise surprise de Noël, vient de poster sur son blog de nouvelles informations quant au nombre de données récupérées lors du piratage subi il y a quelques mois.

Les mots de passe chiffrés des utilisateurs ont été compromis

Si LastPass avait souhaité se montrer rassurante à l'époque, en indiquant qu'aucune donnée critique n'avait été dérobée, bien que les pirates aient pu avoir accès aux adresses de facturation, aux noms des clients et des entreprises ainsi qu'aux adresses mail et aux numéros de téléphone.

Il n'en était finalement rien, puisque LastPass annonce aujourd'hui que les hackers ont pu « copier les sauvegardes des coffres-forts clients contenant à la fois des données chiffrées et des données non chiffrées ». En clair, des mots de passe et les sites associés ont été récupéré lors de l'intrusion.

LastPass s'excuse et rappelle les bonnes pratiques à mettre en œuvre pour limiter les risques de piratage

La situation est critique pour LastPass, mais l'entreprise tient à rappeler que les données volées sont toujours chiffrées et a priori illisibles par les hackers et tous ceux ayant accès aux informations : « Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge. Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. »

Seul le mot de passe maître, défini au préalable par l'utilisateur, peut déchiffrer les mots de passe contenus dans le coffre-fort numérique. Un hacker peut tenter malgré tout de saisir des milliers de combinaisons pour espérer trouver le bon mot de passe principal, soit ce que l'on appelle une attaque par force brute.

LastPass estime malgré tout que cette technique n'apportera pas de résultats probants. « Il faudrait des millions d'années pour trouver votre mot de passe à l'aide des technologies de cassage généralement utilisées », ajoute le service en ligne.

L'entreprise exhorte malgré tout ses utilisateurs à ne pas réutiliser le mot de passe maître de leur compte sur d'autres sites web et les invite à rester vigilants face aux tentatives de phishing, avec des escrocs pouvant se faire passer pour LastPass elle-même afin de récupérer des informations personnelles.

Source : LastPass

Mathieu Grumiaux

Mathieu Grumiaux

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les n...

Lire d'autres articles

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les nouvelles technologies.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (41)

cirdan
Hé oui, un gestionnaire de mots de passe connecté est une aberration et il est regrettable que lors de tests logiciels ce soit ce type-là qui est plébiscité.<br /> Les sauvegardes en local pour ce genre de données sont quand même plus rassurantes, même si rien n’est jamais parfait.<br /> Keepass, par exemple.
Smap
C’est un équilibre avec la disponibilité car local = vulnérable à un crash.<br /> Donc duplication à deux endroits mais alors c’est compliqué de synchroniser les versions et on risque de perdre une partie des données entre deux répliques.<br /> Bref, rien n’est simple !
Zimt
Evidement, ne jamais faire confiance aux gestionnaires de mdp en ligne …
Zimt
Sinon le stockage local en Keypass avec copie du fichier doublement, triplement chiffré en cascade, avec des algos bien violent genre Serpent, dans un drive ou n’importe quel média de stockage géographiquement éloigné, ça marche très bien aussi … bon ensuite c’est sur que c’est le grand public qui se fait encore avoir une fois de plus part des boites, capables de proposer des solution qui sont des aberration à l’origine… mais bon
sylvebarbe78
Vous avouerez qu’il faut vraiment être bête pour ne pas employer un autre terme pour stocker ses mots de passe en ligne !!!
Eths25
Ah les cerveaux ne fonctionne plus, il faut des gestionnaires de mdp…
Biggs
Une version de la base de données des mdp sur le PC.<br /> Une version de sauvegarde sur un NAS ou même simplement un disque dur externe.<br /> Une application de synchronisation miroir en temps réel : chaque fois qu’on effectue une modif sur le fichier stocké sur le PC elle est reportée immédiatement sur le fichier de sauvegarde.<br /> Il n’y a rien de compliqué. Sur ce principe je pourrais mettre le feu à mon PC sur un coup de tête, je ne perdrais aucune donnée.
SPH
C’est facile pourtant : « 123456 » !
gemini7
Oui, les gens sont apparemment trop stupides pour pondre un MDP solide, un exemple du genre de MDP que j’invente : " EB15@cpA&amp;5843askDbY#-a+c=304ML " bon, je l’ai fait long, 30 caractères, mais c’est juste un exemple, quand je vois que certains utilisent encore des trucs du genre, " 123456 " ou " PASSWORD ", j’hallucine.<br /> Et non, je n’utiliserai jamais de créateur, gestionnaire, ou toutes autres applis permettant de gérer ou créer des mots de passe. Pas , seulement quelques fois dans mes posts.
gemini7
Citation de @SPH : « C’est facile pourtant : « 123456 » !  »<br />
Sodium
Personnellement, j’ai tout mes mots de passe en local avec Keepass qui est très bien, et quelques mots de passe non critiques sur Lastpass pour pouvoir les utiliser sur mobile. Ne croyez jamais quelqu’un qui vous dit que vos données stockées sur un cloud est un sécurité et n’y placez que des choses non critiques.
SPH
Moi, je me suis fait un document (.TXT) répertoriant TOUS mes mots de passe. J’ai crypté ce fichier et je l’ai mis à 5 endroits sur le net. Du coup, je n’ai que le MDP du cryptage à retenir.<br /> Voyez le crypteur que j’ai fait (MutanteKey 3)<br /> sph.chez.com<br /> SPH<br /> SPH_Logiciels<br />
kellog89
Oui, c’ est nécessaire.<br /> A moins d’avoir une poignée de mots de passe 123456 mais quand on en a des centaines ou avec des chaînes en hexa, je doute qu’ un cerveau quel qu’il soit puisse les mémoriser
Baxter_X
J’aimerai bien un audit de sécurité de ton « crypteur ». Par ce que sans, je ne risque pas de l’utiliser.
bmustang
bitwarden en autonome pour ceux qui sont intéressés
a-snowboard
C’est sur qu’utiliser un gestionnaire de mot de passe en ligne c’est ce qu’il y a de plus intelligent à faire.
Pernel
Hey ! C’est moi qui le dit d’habitude !
cirdan
L’union fait la force, surtout quand le conseil est utile <br /> J’utilise KeePass depuis très longtemps, c’est un peu austère comme interface mais je le garde précieusement.
Squeak
J’ai toujours eu une méfiance des services de gestion des mots de passe en ligne. J’utilise Secret Space Encryptor sur Android pour gérer les mots de passe, cela crée un coffre-fort qui est chiffré avec un algorithme comme AES256 (possibilité de changer). C’est une application open source. Elle permet d’exporter les données chiffrées pour en faire une sauvegarde (sur PC par exemple).<br /> @SPH : intéressant ton logiciel mais je doute que tu puisse prétendre sur ton site « Je le garanti(e → s) 100% infaillible » car c’est ce genre de citations qui motive encore plus à le dézinguer totalement. J’ai lu vite fait ton code source sans avoir pris le temps de tout comprendre mais bon, les algorithmes de chiffrement les plus fiables sont le fruit d’années de travail par des équipes de chercheurs en sécurité, des mathématiciens etc. Mélanger aléatoirement des bits ne suffit pas nécessairement. Ce sera sans doute suffisant dans la plupart des cas mais si tu veux développer un outil de chiffrement je te suggère d’utiliser des algorithmes et outils éprouvés, comme OpenSSL, ou GNUPG par exemple.
SPH
Oui, c’est sûr. Comme c’est moi qui l’ai codé, je sais ce qu’il vaux. Et c’est d’ailleurs pour cela que je ne fais pas confiance aux autres logiciels (ceux codé par quelqu’un d’autre que moi).<br /> PS : Le code est fourni
Pernel
Moi aussi, sur mes PC, ipad et GSM (et backup sur deux autres périphériques, la base)
Loposo
Oui enfin la c est gros un virus vole le coffre fort de keep pass, mais toujours le même problème il faut trouver le mot de passe maître donc il en a pour des années, en gros c est bien plus rentable un pishing ou keylogger, que de voler des coffre fort lastpass, car il faut faire un brut force pour chaque bref des milliers d années<br /> Sans parler des mots de passes firefox chrome la facilité qu on les autres browser de les importé bref. Ce qui est grave est le fichier nom prénom … Lui est pas crypté
max6
c’est vrai mais par exemple je sauvegarde la base chaque premier du mois et il est rare que j’ai besoin de créer plus d’un ou deux mots de passe par mois donc quand même le risque de perte reste faible.
louchi
Moi je mets un post-it à chaque mot de passe à côté de mon écran.<br /> C’est super safe au final.<br /> Le plus simple, c’est d’utiliser le même post-it, enfin, je veux dire, le même mot de passe.
Loposo
Bref ça sent surtout les mails de pishing faux lastpassqui vont arriver avec la news qui fait peur a tout les monde. Certains vont vite cliquer, et voilà plus rapide que du brut force.<br /> J utilise bitwarden en cloud et pas plus inquiet que ça, mon mail traîne déjà a cause des dizaine de site de recherche d emplois et autres depuis que je suis sorti de l école.<br /> J avais lastpass mais h avais vidé mon coffre et supprimé mon compte car pas possible plusieurs appareils en gratuit.<br /> Bref plus de 180 mots de passe enregistrée je vais pas tout retenir
Eths25
Pour chaque sites/services j’ai un mdp différent et une technique de mémorisation avec caractères spéciaux, chiffres et majuscule.
jeanlucesi
D’accord mais si tu te fais pirater ton pc ?
wackyseb
Lastpass !! Y’a vraiment des pigeons qui utilisent ce truc et se pensent en sécurité ?<br /> MEGA LOL de Noël - Hahaha
cirdan
C’est sûr, tu peux te faire pirater ou voler, c’est pour ça que j’ai précisé que rien n’est jamais parfait. Il faut aussi un mot de passe maître très fort, mais au moins tes mdp ne sont pas stockés sur le net, sur des serveurs tiers. Là-bas c’est un peu le FarWest et c’est de pire en pire.
Mr_Electro84
Je ne pense pas que le cerveau est fait pour retenir PQ&amp;Ab76p89&gt;?8.4yBX+Qrp5s: et ce pour chaque site (parce que le MDP doit changer pour chaque site pour bien se conformer aux conseils de sécurité) ! Vous imaginez retenir :<br /> PQ&amp;Ab76p89&gt;?8.4yBX+Qrp5s:<br /> }+bYn2:2XZ}6V6pQc&gt;y9P4a#2<br /> hX8$68~aG$[:b89Dc(uU57FeY<br /> x#!7w3Q!W.ezd5]T46WB<br /> k4(X~4v_y4WCZF2[6u(q<br /> 3Hy7#.Kaf7}P&amp;;~22h8F7%3ShGqaK=kJ<br /> y7avA28:J-*dLD3<br /> 7vMEi7*Z6hFt]~2c9#<br /> Allez, puisque vous en êtes si sur de vos propos, je vous met au défi de tous les retenir sans utiliser quoi que ce soit (même pas une petite note manuscrite !) ! Spoiler alert : cela va être très compliqué !
Than
Parce que tu arrives à mémoriser plusieurs centaines de mots de passe réellement différents ?<br /> C’est juste pénible à la longue. Donc ces outils ont du sens (par contre les avoir en ligne… ).
Eths25
Oui et non. En fait ce n’est pas les mots de passe que je mémorise, mais ma technique, une sorte d’énigma + roue de césar à l’aide de plusieurs facteurs comme le nom du site ou du logiciel, l’adresse mail que j’utilise, le pseudo et la disposition d’un type de clavier.
Than
Oui, mais du coup si c’est trop évident, dès qu’on choppe un seul de tes codes, les autres sont devinables.<br /> Donc ça force à avoir plusieurs variantes… donc c’est moins évident à retenir. Et ainsi de suite.<br /> Et dès qu’un site change son format obligatoire et que ça fout en l’air ta méthode, ça complique encore la mémorisation. ^^
sebzuki
Oui obligatoire, ton cerveau ne pourra jamais retenir des mots de passe de 20 caractères ou plus avec des majuscules, des minuscules et des caractères spéciaux <br /> j’ai une cinquantaine de comptes différents dans mon coffre fort, je serais bien incapable de les retenir par cœur
sebzuki
sans parler du temps pour les taper
Eths25
L’intérêt d’avoir un mdp de 20 caractère ? Les miens sont entre 10 et 12 suivant les facteurs de la méthode
sebzuki
ça permet d’être tranquille s’ils sont volés, et puis comme c’est dans un coffre fort ça prend la taille qu’on veut, avec 20 caractères c’est tranquille.<br /> D’autant plus que la plupart des caractères spéciaux dans les mots de passe courants sont inutiles… par exemple, le « ! » à la fin, c’est ce qui est testé en premier ^^<br /> Dès que c’est fait par un humain c’est « faible » car ça respecte une logique pour être retenu en mémoire, il faut utiliser la fonction d’auto-génération<br /> pour le moment 10 caractères c’est robuste mais d’ici 2-3 ans, on ne sait jamais
Eths25
Je n’ai jamais eu de problèmes de piratage. Par contre sur les vols de compte Netflix &amp; co je vois bien les mdp long comme mon bras sûrement généré aléatoirement.
Voir tous les messages sur le forum

Top gestionnaires de mot de passe

NordPass
NordPass Voir l'offre
Dashlane
Dashlane Voir l'offre
1Password
1Password Voir l'offre

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

LastPass : des utilisateurs rapportent des activités suspectes sur leurs comptes LastPass : des utilisateurs rapportent des activités suspectes sur leurs comptes
LastPass piratée pour la 2e fois cette année, vos mots de passe toujours en sécurité ? LastPass piratée pour la 2e fois cette année, vos mots de passe toujours en sécurité ?
LastPass attaqué, que s'est-il passé ? LastPass attaqué, que s'est-il passé ?
Le réseau Neopets hacké : les données de 69 millions d'utilisateurs sont à vendre Le réseau Neopets hacké : les données de 69 millions d'utilisateurs sont à vendre
Lastpass : le gestionnaire de mots de passe piraté durant 4 jours mais rien n'aurait fuité... selon le P.-D.G. Lastpass : le gestionnaire de mots de passe piraté durant 4 jours mais rien n'aurait fuité... selon le P.-D.G.