Les contours du piratage ayant affecté LastPass cette année se précisent. Dans un point de situation publié le 22 décembre, la direction du gestionnaire de mots de passe a confirmé que des données personnelles ont bien été récupérées par le ou les pirates. Mais une autre information est susceptible de provoquer une plus vive inquiétude, car elle concerne les mots de passe.
LastPass signale que les assaillants, une fois qu’ils ont pu accéder à son cloud, ont été capables de copier certaines informations, dont « une sauvegarde des données du coffre-fort du client à partir du conteneur de stockage chiffré ». Or, c’est dans ce coffre-fort que l’on peut retrouver certaines données sensibles, notamment les mots de passe.
Il peut sembler étonnant, de prime abord, de constater que le coffre-fort contenant des éléments aussi critiques existe en dehors du terminal de l’internaute.
Ce n’est en fait pas tout à fait surprenant au regard des fonctionnalités proposées généralement par les gestionnaires de mots de passe, comme la sauvegarde (afin de retrouver son coffre-fort en cas de souci sur le terminal — s’il est réinitialisé par exemple) ou la synchronisation (pour retrouver facilement ses mots de passe sur un autre appareil, comme un PC).
Des coffres-forts qui circulent, mais sans la clé pour les ouvrir
Dans les données de ce coffre-fort, il s’avère que certaines informations n’étaient pas chiffrées — parce qu’elles ne nécessitaient pas une protection particulière (ici, LastPass cite les adresses des sites web sur lesquels les clients ont un compte et, donc, un mot de passe à en enregistrer). Mais les autres, les plus critiques, comme les identifiants et les mots de passe, sont bien chiffrées.
« Ces éléments chiffrés restent sécurisés par un chiffrement AES 256 bits et ne peuvent être déchiffrés qu’à l’aide d’une clé de chiffrement unique dérivée du mot de passe principal de chaque utilisateur […] Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass », explique la société dans son billet d’annonce.
Ce que l’entreprise américaine cherche à dire, c’est que cette sauvegarde chiffrée du coffre-fort est inexploitable sans cette clé unique. Certes, il y a quelques données périphériques exposées — comme les noms des sites web, mais ça indique « juste » là où vous pouvez avoir un compte ; ça ne permet pas d’accéder à votre espace privé –, mais l’essentiel demeure sauf.
« Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local », ajoute la société. En clair, toutes les opérations délicates ont lieu sur l’appareil de l’internaute et le mot de passe maître n’est pas géré par LastPass (c’est en fait le seul mot de passe que l’internaute doit renforcer et absolument mémoriser).
Parmi les autres informations exposées, LastPass mentionne des informations personnelles : des noms d’utilisateur, des adresses de facturation, des adresses e-mail, des numéros de téléphone, des adresses IP (à partir desquelles les internautes accèdent au service de LastPass) et diverses autres métadonnées.
Dans le cas des mots de passe, LastPass considère qu’il n’y a toujours aucun risque réel pour les internautes malgré des sauvegardes de coffre-fort qui se baladent dans la nature. « Il faudrait des millions d’années pour deviner votre mot de passe principal à l’aide d’une technologie courante de craquage de mots de passe », juge la société.
L’assaillant « peut tenter d’utiliser la force brute pour deviner votre mot de passe principal et déchiffrer les copies des données du coffre-fort qu’il a prises », Mais là encore, estime LastPass, ce n’est pas de l’ordre du plausible. « Il serait extrêmement difficile de deviner par force brute » ces mots de passe spéciaux, grâce, explique la société, à ces choix techniques
Concernant les données personnelles, en revanche, c’est plus embêtant, car cela va conduire à des opérations de hameçonnage (phishing). C’est par ce stratagème-là que les pirates vont essayer d’obtenir ce fameux mot de passe maître, en utilisant toutes les données périphériques obtenues lors de ce casse pour se faire passer pour LastPass. C’est ici que se situe le risque le plus immédiat.
Que faire si vous êtes chez LastPass ?
Si vous êtes chez LastPass, que faut-il faire ? Selon les indications données par la société, voici ce qu’il est recommandé :
- D’être hautement attentif et attentive aux prochains mails qui pourraient se faire passer pour LastPass, de ne pas y répondre et de ne pas remplir quoi que ce soit depuis un lien qui est donné (comme un formulaire) ;
- De s’assurer que le mot de passe maître pour déverrouiller votre coffre-fort est bel et bien unique et que vous ne vous en servez pas aussi pour vos comptes en ligne ;
- Si vous avez un compte LastPass avant 2018 et / ou si vous avez modifié pour une raison ou pour une autre les réglages par défaut de LastPass, il est peut-être plus sûr de procéder à une actualisation dès maintenant des mots de passe sur les sites sur lesquels vous êtes.
Selon LastPass, si le mot de passe principal n’utilise pas les valeurs par défaut, « cela réduirait considérablement le nombre de tentatives nécessaires pour le deviner correctement ». Pour réduire les risques, LastPass préconise donc de renouveler dès maintenant, même s’il n’y a pas de péril avéré et immédiat. Parfois, il vaut mieux prévenir que guérir.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
