Piratage : LastPass veut rassurer sur la sécurité des mots de passe
LastPass a mis à jour son article concernant le piratage de son infrastructure. Si l'entreprise reconnaît que certaines données sensibles ont été dérobées, elle affirme que les plus critiques d'entre elles ne sont pas exploitables par les attaquants ou sont restées hors de leur portée.
Victime d'un piratage informatique qui a permis aux assaillants de dérober des informations sensibles, comme les adresses de courrier électronique, LastPass a rapidement mis en ligne un article dans lequel la société assure que ni le mot de passe maître (celui servant à verrouiller l'application LastPass) ni le contenu stocké dans son gestionnaire de mots de passe n'ont été compromis. La société a toutefois reconnu que certains éléments liés aux mots de passe (salage et hachage d'authentification) ont quand même été récupérés au moment de l'attaque.
Cela étant dit, l'inquiétude demeure : les usagers s'interrogent bien sûr sur le niveau de sécurité d'une société qui a pourtant une mission lourde : stocker les mots de passe des usagers, via un système de trousseau de clés numérique. La crédibilité de LastPass va durablement en pâtir, même si la récupération d'informations chiffrées par les assaillants ne devrait pas, au final, leur permettre de faire grand chose.
Dans une logique de communication de crise, LastPass a mis à jour son article publié le 15 juin. Le groupe réaffirme dans des termes plus clairs que le mot de passe maître n'est pas compromis. Il n'a d'ailleurs pas accès à cette information, mais uniquement à une empreinte de ce mot de passe, qui a été obtenue après avoir appliqué localement au mot de passe une fonction de hachage.
HACHAGE MASSIF DU MOT DE PASSE
"Nous utilisons des algorithmes de chiffrement et de hachage parmi les standards les plus élevés pour protéger les données de nos utilisateurs. Nous hachons à la fois l'identifiant et le mot de passe maître sur l'ordinateur de l'utilisateur avec 5000 itérations de PBKDF2-SHA256, un algorithme de renforcement de mot de passe", écrit l'entreprise.
Le résultat "est ensuite envoyé sur les serveurs de LastPass afin que nous puissions effectuer un contrôle d'identification lorsque l'usager se connecte. Nous prenons ensuite cette valeur et utilisons un "salage" (une chaîne aléatoire par utilisateur) et effectuons un nouveau cycle de hachage avec 100 000 itérations et comparons ce que nous obtenons avec ce qui est stocké dans notre base de données".
L'ENJEU D'UN MOT DE PASSE SOLIDE
LastPass admet que certains scénarios sont plus défavorables que d'autres. Si l'usager a choisi un mot de passe maître faible (comme un mot tiré du dictionnaire ou des combinaisons inefficaces : robert42, iloveyou, 12345678, password1), un attaquant aura une meilleure chance de parvenir à ses fins. Mais la probabilité d'une attaque réussie reste infime.
"Parce que votre mot de passe est haché des milliers de fois localement, et de nouveau cent mille fois avant d'être stocké côté serveur, la recherche pour le découvrir sera très lente. Si votre mot de passe maître est faible ou si votre indice de mot de passe permet de le trouver facilement, alors l'attaquant peut réduire significativement le nombre de tentatives nécessaires pour le trouver".
D'AUTRES SÉCURITÉS SONT EN PLACE
Même en cas de scénario catastrophe, avec un attaquant ayant en possession l'identifiant et le mot de passe, la connexion au compte sera verrouillée de deux façons : soit avec l'adresse e-mail, ce qui nécessite de consulter sa boîte aux lettres afin de valider l'authentification en suivant un lien de vérification, soit avec l'authentification forte (un code généré temporairement sur le terminal de l'usager).
Enfin, LastPass rappelle que le contenu de son coffre-fort numérique, c'est-à-dire l'application stockant l'ensemble des informations sensibles de l'utilisateur (identifiants, mots de passe, notes, etc), n'est pas compromis. Celui-ci est stocké localement et n'est menacé : il n'est pas envoyé sur les serveurs de LastPass et il ne transite à aucun moment sur Internet.