Le gestionnaire de mots de passe super populaire LastPass a été piraté

LastPass a été piraté pour la deuxième fois en trois mois. Il est utilisé par plus de 30 millions de personnes dans le monde. Le gestionnaire de mots de passe LastPass a reconnu que les pirates avaient volé des copies cryptées des mots de passe des utilisateurs et d'autres données sensibles, notamment les adresses de facturation, les numéros de téléphone et les adresses IP des utilisateurs. Au début, le système a été piraté en août, fin novembre - début décembre, des informations sur les données volées sont apparues, et maintenant le blog de l'entreprise a publié les détails.

Le gestionnaire de mots de passe LastPass a été piraté, ce qui s'est avéré très efficace pour les pirates eux-mêmes, ils ont réussi à accéder aux données de l'utilisateur, mais on ne sait pas encore exactement quoi. Il est probable qu'ils aient désormais accès aux mots de passe que les utilisateurs du service stockent dans leurs profils.

Les informations sur le piratage LastPass et la compromission des données des utilisateurs ont également été confirmées par les représentants du service lui-même. Cependant, ils cachent soigneusement à la fois l'étendue de la fuite et la nature des informations qui se sont retrouvées entre les mains des attaquants, donc pour l'instant tous les utilisateurs de LastPass sans exception, qui sont des millions de personnes dans le monde, sont à risque. Selon le portail EarthWeb, en octobre 2022, la base d'utilisateurs de LastPass comptait 33 millions de personnes.

Au moment où le matériel a été publié, les représentants de LastPass n'ont pas confirmé, mais n'ont pas nié la fuite des mots de passe des utilisateurs situés dans leur stockage en ligne personnel. Cependant, il existe un risque d'un tel résultat d'une attaque de pirate informatique. De plus, compte tenu du fait que LastPass a permis la fuite de mots de passe plus d'une fois au cours de ses 14 années d'existence, le risque dans ce cas est élevé.

Tu es quoi

La première chose que les utilisateurs doivent faire est de voir quels mots de passe sont stockés dans le cloud et de les modifier le plus rapidement possible avant que les attaquants n'y accèdent spécifiquement. De nombreuses personnes, par exemple, enregistrent les mots de passe d'une banque Internet ou d'un courrier électronique d'entreprise dans ces gestionnaires.

La deuxième étape consiste à trouver, sinon un remplaçant pour LastPass, du moins un gestionnaire de mots de passe de secours parmi ceux qui fonctionnent hors ligne. Ces programmes stockent la base de données des mots de passe directement sur l'appareil de l'utilisateur (souvent sous forme cryptée), ce qui réduit considérablement le risque de fuite de son contenu.

Les gestionnaires de mots de passe permettent aux utilisateurs de stocker leurs noms d'utilisateur et mots de passe sur différents sites en un seul endroit - accessible avec un mot de passe principal créé par l'utilisateur. Last Pass ne stocke ni ne supprime le mot de passe principal. Les autres données cryptées ne peuvent être récupérées qu'à l'aide d'une "clé de cryptage unique obtenue à partir du mot de passe principal de l'utilisateur". Cependant, la société a averti les clients qu'ils pourraient être victimes d'ingénierie sociale, de phishing et d'autres méthodes d'obtention d'informations. De plus, les pirates peuvent utiliser une attaque par force brute pour obtenir le mot de passe principal et décrypter d'autres données situées dans le stockage crypté. Cependant, LastPass affirme qu'il faudra "des millions d'années" aux attaquants pour deviner un mot de passe en utilisant des techniques de piratage accessibles au public.

La société a déclaré que Mandiant, une société qui fournit la cybersécurité, enquêtait sur l'incident et que LastPass lui-même reconstruisait complètement l'ensemble de l'environnement de travail - cela indique indirectement que les pirates ont obtenu d'importants morceaux de code et d'autres données.

LastPass a également déclaré que l'enquête était en cours et que la société avait informé les forces de l'ordre et les régulateurs concernés de l'incident. Elle-même recommande aux utilisateurs de faire en sorte que le mot de passe principal ne soit pas inférieur à 12 caractères, de modifier les paramètres de la norme de génération de clé Password-Based Key Derivation Function (PBKDF2) et, bien sûr, de ne pas utiliser le mot de passe principal sur d'autres sites. Des recommandations actuelles plus détaillées sont données dans le blog du service.

Vous pouvez aider l'Ukraine à lutter contre les envahisseurs russes. La meilleure façon de le faire est de faire don de fonds aux forces armées ukrainiennes par le biais de Sauver la vie ou via la page officielle NBU.

Partager
Julia Alexandrova

Caféier. Photographe. J'écris sur la science et l'espace. Je pense qu'il est trop tôt pour que nous rencontrions des extraterrestres. Je suis le développement de la robotique, juste au cas où...

Laissez un commentaire

Votre adresse email n'apparaitra pas. Les champs obligatoires sont marqués*