LastPass révèle à quel point cette violation d’août était grave. C’était mauvais.
Pourtant, si vous suivez les règles de LastPass, il faudrait « des millions d’années » pour déchiffrer votre mot de passe.
En août, LastPass, l’un des principaux services de gestion de mots de passe, a annoncé que ses serveurs avaient été piratés.
Pendant les vacances de Noël, LastPass a discuté à quel point c’était vraiment une fuite.
Au moment du piratage, LastPass a déclaré dans un article de blog que son enquête initiale avait montré que même si un pirate informatique avait eu accès à son environnement de développement, « aucune preuve que cet incident impliquait un accès aux données client ou à des coffres-forts de mots de passe cryptés ».
Depuis août, LastPass a fait trois mises à jour de ce blog. Le dernier, publié le 22 décembre, a révélé que le pirate informatique impliqué avait pu accéder aux « données de sauvegarde du coffre-fort client ».
Cela inclut « à la fois des données non cryptées, telles que les URL de sites Web, ainsi que des champs sensibles entièrement cryptés tels que les noms d’utilisateur et les mots de passe de sites Web, les notes sécurisées et les données remplies par formulaire », rapporte le blog.
Cela dit, ajoute le message de LastPass, ces champs restent chiffrés et « ne peuvent être déchiffrés qu’avec une clé de chiffrement unique dérivée du mot de passe principal de chaque utilisateur à l’aide de notre architecture Zero Knowledge ».
Les mots de passe principaux des utilisateurs de LastPass ne sont ni stockés ni conservés par l’entreprise, et ils ne sont pas connus de l’entreprise.
Les pirates pourraient-ils accéder aux mots de passe et aux données LastPass ?
Bien que LastPass utilise un mot de passe principal d’au moins 12 caractères, qui comprend des symboles, des chiffres et des lettres majuscules, les pirates pourraient tenter d’accéder aux données en utilisant une attaque par force brute, c’est-à-dire en utilisant un logiciel pour deviner les combinaisons jusqu’à ce qu’elles soient correctes.
LastPass indique que si ses clients utilisent les paramètres par défaut autour de leur mot de passe principal, « il faudrait des millions d’années pour deviner votre mot de passe principal à l’aide de la technologie de craquage de mot de passe généralement disponible ».
Cependant, selon Inc, les clients doivent se méfier des attaques de phishing, où quelqu’un qui semble représenter LastPass vous envoie un e-mail demandant votre mot de passe.
Que doivent faire les utilisateurs de LastPass à propos de la violation ?
Selon LastPass, il n’y a « aucune action recommandée que vous devez entreprendre pour le moment », si les clients utilisent les paramètres par défaut.
Cependant, le site ajoute que ceux qui n’utilisent pas les paramètres par défaut devraient envisager de changer les mots de passe qui y sont stockés.
En ce qui concerne les attaques de phishing, LastPass indique qu’ils n’enverront jamais d’e-mails ou de contacts aux utilisateurs demandant leurs informations de mot de passe.
Qu’est-ce qu’un gestionnaire de mots de passe ?
Un gestionnaire de mots de passe stocke vos informations d’identification en ligne dans un seul programme. Cela permet aux utilisateurs de ne pas avoir à se souvenir de mots de passe complexes, tout en leur permettant de garder lesdits mots de passe complexes.
Outre LastPass, certains des gestionnaires de mots de passe les plus connus incluent 1PasswordBitWardDashlane et NordPass.
