LastPass confirme une intrusion dans son infrastructure, qui a entraîné le vol de données personnelles. Les mails sont concernés, mais les mots de passe eux-mêmes ne seraient pas touchés. En revanche, certains indices qui pourraient permettre de les trouver ont été récupérés lors du piratage.

Si vous utilisez LastPass pour gérer vos différents mots de passe, la plus grande prudence s'impose. En effet, la société vient de révéler que son infrastructure a été victime d'une intrusion la semaine dernière. Des informations sensibles ont été dérobées à cette occasion, comme les adresses de courrier électronique ainsi que certains éléments liés aux mots de passe.

Dans une note publiée sur le blog officiel de la société, il est expliqué que "les indices de mots de passe, le salage et le hachage d'authentification ont été compromis" En revanche, les mots de passe eux-mêmes ne seraient pas touchés. "Nous n'avons aucune preuve que les données chiffrées de nos utilisateurs on été compromises, tout comme l'accès aux comptes", écrit le groupe.

Malgré la gravité de la situation, LastPass veut rassurer ses clients et montrer que même dans un scénario catastrophe tel que celui-ci, des mesures de sécurité qui ont été prévues : "LastPass renforce le hachage d'authentification par un salage aléatoire et 100 000 itérations côté serveur […], en plus des itérations côté client. Ce renforcement supplémentaire rend difficile une attaque sur des hachages volés".

ET LES MOTS DE PASSES STOCKÉS

LastPass tient aussi à indiquer que les mots de passe stockés sur sa plateforme (c'est-à-dire ceux qui concernent d'autres services sur lesquels les usagers sont inscrits, comme Google, Facebook, Amazon, etc) n'ont pas non plus été fragilisés. "Parce que les données encryptées de nos utilisateurs n'ont pas été volées, vous n'avez pas besoin de changer les mots de passe des sites enregistrés dans votre coffre-fort LastPass".

Mais parce que l'évènement n'est pas anodin et qu'il vaut mieux prévenir que guérir, l'entreprise recommande de bien vérifier que l'authentification multi-facteur est activée (celle-ci ajoute une protection qui restera en place même si le mot de passe "maître" est découvert) et de contrôler leur compte au moyen de leur courrier électronique, surtout en cas de nouvel appareil ou de nouvelle adresse IP.

Et concernant le mot de passe "maître" ? LastPass estime que celui-ci n'a pas à être changé si les bonnes pratiques en la matière sont respectées (le mot de passe ne doit pas être réutilisé ailleurs, il doit être suffisamment long, compliqué et aléatoire, etc).

"Nous allons également demander à tous nos utilisateurs de changer leur mot de passe 'maître'. Il n' y a pas d'urgence à changer celui-ci tant que vous n'y êtes pas invité. Cependant, si vous réutilisez votre mot de passe maître comme mot de passe pour un autre site web, vous devez remplacer les mots de passe de ces autres sites", écrit LastPass.

LES TROUSSEAUX DE CLÉS

LastPass est une société proposant un logiciel qui permet de gérer aisément de grandes quantités de mots de passe. Ce programme fait office de trousseau de clés, avec un utilitaire très pratique pour générer de nouveaux codes d'accès. Ce type de service peut s'avérer très utile lorsque l'on dispose de plusieurs comptes en ligne (et cela va vite, avec Internet). 

Au lieu de mémoriser tous les mots de passe (ce qui est impossible) ou d'utiliser systématiquement le même (ce qui est très dangereux), LastPass et ses concurrents, comme KeePass ou Dashlane, offrent un compromis qui permet de répondre au moins en partie à des exigences parfois contradictoires.

Partager sur les réseaux sociaux

Articles liés