UNE piratage majeur affectant le géant du gestionnaire de mots de passe LastPass semble bien pire que prévu. Dans une annonce de mise à jour deux jours avant Noël, le PDG de LastPass, Karim Toubba, a admis que les attaquants avaient réussi à copier une sauvegarde des données du coffre-fort client. Avec ces données en main, les attaquants peuvent potentiellement accéder à toute la collection de mots de passe des utilisateurs et à d’autres données stockées avec LastPass s’ils peuvent trouver un moyen de deviner le mot de passe principal d’un utilisateur.
Essayant d’empêcher un pic immédiat de crises cardiaques, Toubba a averti qu’il serait « extrêmement difficile » de deviner par force brute les mots de passe principaux pour les clients qui utilisent les paramètres par défaut et les meilleures pratiques de l’entreprise. Pour ces utilisateurs, il pourrait falloir aux attaquants « des millions d’années » pour déchiffrer ces codes en utilisant « la technologie de craquage de mot de passe généralement disponible », selon le PDG. LastPass indique qu’il ne devrait pas avoir accès aux mots de passe principaux des utilisateurs.
Cette assurance réconfortante ne s’applique pas nécessairement aux utilisateurs avec des mots de passe principaux plus faibles. Dans ces cas, LastPass a conseillé aux utilisateurs d’entrer et de changer les mots de passe de tous les sites Web qu’ils ont stockés, lesquels pourrait signifier une journée épuisante et laborieuse de réinitialisation frénétique des informations de compte. Et même s’il est vrai que des mots de passe maîtres forts peuvent s’avérer difficiles à deviner, même les mots de passe les plus forts pourraient être à risque s’ils étaient utilisés sur un autre site qui a déjà été piraté. Il n’y a pas pénurie de mots de passe précédemment piratés juste assis sur les marchés du dark web. Les clients LastPass concernés peuvent également se retrouver submergés par des tentatives de phishing ennuyeuses essayant de les inciter à remettre involontairement leurs clés au royaume.
En plus des mots de passe, Toubba a déclaré que les données du coffre-fort volées comprennent « des champs sensibles entièrement cryptés tels que les noms d’utilisateur et les mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires », ainsi que des URL non cryptées. Attaques sophistiquées, The Verge Remarquespourraient utiliser les informations transmises via les sites visités par un utilisateur pour concevoir des campagnes de phishing plus convaincantes.
LastPass n’a pas immédiatement répondu à la demande de commentaire de Gizmodo.
Pour une entreprise dont le service principal consiste à collecter et à protéger les mots de passe dans un endroit sécurisé, c’est à peu près aussi mauvais que possible. LastPass en premier divulgué les récentes attaques dans un article de blog à la fin du mois dernier. À l’époque, l’entreprise avait déclaré de manière cryptée que l’attaquant était en mesure d’accéder à « certains éléments » des « informations des clients », sans fournir plus de détails. La société a poursuivi en disant qu’aucun mot de passe client n’a été affecté par l’incident, ce qui est techniquement vrai, mais comme nous le savons maintenant, ne raconte qu’une partie de l’histoire.
Pire encore, ce piratage le plus récent semble avoir été rendre possible par un précédent incident survenu il y a à peine six mois. Dans ce cas, la société affirme que l’attaquant semble avoir volé « le code source et les informations techniques » de son environnement de développement et les a utilisés pour cibler un employé afin d’obtenir ses informations d’identification.
Regardez, dans un monde numérique qui oblige les utilisateurs à détenir des dizaines et des dizaines d’informations d’identification, les gestionnaires de mots de passe sont de plus en plus indispensables en matière de sécurité. Dans le même temps cependant, cette forte concentration d’informations sensibles rend les sites de gestion de mots de passe certains des plus appétissants cibles pour les mauvais acteurs. Dernier passage aurait dû voir ça venir et aurait dû divulguer ces détails aux clients plus tôt si les résultats étaient disponibles.
Vous pouvez lire l’article original (en Angais) sur le bloggizmodo.com