Le gestionnaire de mots de passe LastPass piraté

LastPass-banniere

LastPass est un service de gestion des mots de passe en ligne qui revendique une base de 25 Millions d’utilisateurs. La société a récemment fait l’objet d’un piratage. 🧐

Un gestionnaire de mots de passe, qu’est-ce que c’est ?

Aujourd’hui, nous avons tous recours à l’outil informatique que ce soit pour les impôts, faire ses courses ou même pour prendre un rendez-vous médical sur Doctolib : l’informatique est partout dans nos vies !

Le problème c’est que cela nous expose bien entendu à des attaques informatiques. Et bien souvent, ce ne sera pas votre faute car vous ne serez probablement jamais spécifiquement ciblé. Mais il s’agira plutôt des services ou les sociétés que vous utilisez !

Photo by regularguy.eth on Unsplash

L’une des recommandations essentielles pour garantir que votre vie numérique ne bascule pas du jour au lendemain est d’utiliser des mots de passe qui soient différents sur chaque service en ligne. Alors oui, c’est compliqué car cela veut aussi dire que vous allez devoir mémoriser tous ces mots de passe. Ce qui n’est pas forcément une tâche facile pour nos aîné(e)s.

C’est là que des services comme LastPass entrent en jeux : ces services vous proposent de mémoriser vos mots de passe pour vous afin que vous n’ayez qu’à vous souvenir du mot de passe de LastPass. Si la promesse est évidemment intéressante, il n’en reste pas moins que l’on confie à 1 seule société tous nos identifiants et mots de passe – c’est donc risqué et il faut s’assurer que la société est donc sérieuse.

(Ads)

LastPass piraté en Août 2022

Le plus souvent ces services de gestion de mots de passe sont conscients qu’ils vont être la cible d’attaques informatiques. Ils ne stockent donc pas nos secrets dans leurs bases de données en « claire ». En effet, l’un des points communs que tous ces services de mots de passe ont est qu’ils chiffrent nos secrets avec un mot de passe – celui que nous fournissons à l’origine pour accéder au service. Donc en cas de piratage, il est – en principe – impossible d’accéder aux données des utilisateurs qui seront généralement chiffrées de manière non réversible.

Photo by Mauro Sbicego on Unsplash

Dans le cas présent, LasPass a confirmé qu’une personne non autorisée avait eu accès à une partie de l’environnement de développement de LastPass en utilisant le compte utilisateur d’un développeur ayant été compromis. Ce ne sont donc pas des données utilisateurs qui ont été dérobées mais une portion du code propriétaire de l’entreprise ainsi que des informations sur le fonctionnement technique du service.

En réponse à l’incident, nous avons déployé des mesures de confinement et d’atténuation, et engagé une entreprise leader dans le domaine de la cybersécurité et de la criminalistique. Pendant que notre enquête est en cours, nous avons atteint un état de confinement, mis en place des mesures de sécurité renforcées supplémentaires et ne voyons aucune autre preuve d’activité non autorisée

a indiqué le CEO de LastPass, Karim Toubba.

Bref, comme d’habitude les informations publiées par les sociétés qui se font piratées restent assez neutres et limitées en termes d’informations. Dans le cas présent, LastPass a confirmé qu’il n’est pas possible d’accéder aux données des utilisateurs car chaque coffre-fort est protégé par le mot de passe de l’utilisateur.

(Ads)

Qu’y a-t-il de mieux qu’un mot de passe ?

Ce piratage nous rappelle encore une fois que même si vous utilisez des mots de passe forts et que vous les changez régulièrement grâce à ce type de service – on peut malgré tout être la cible d’un pirate. Les services de gestion de mots de passe comme LastPass, Bitwarden, 1Password, … n’échappent évidemment pas à la règle et seront d’autant plus ciblés que compromettre 1 fois service permettrait d’accéder aux mots de passe de millions d’utilisateurs en 1 seul piratage.

Alors que faire ? 😵

Personnellement, je vous recommande malgré tout d’avoir recours à ce type de services. Encore une fois, cela vous permet d’éviter d’avoir le même mot de passe partout et de vous forcer à utiliser différents mots de passe pour chacun de votre compte en ligne. C’est primordial pour la sécurité aujourd’hui.

Est-ce que LastPass est moins sécurisé que les autres ? Pas nécessairement. Comme je vous le disais ces services doivent faire face à ce type d’attaques très régulièrement. Dans le cas présent, aucune donnée utilisateur ne semble avoir été compromise.

Cela étant dit, j’avais déjà personnellement migré vers un autre service début 2021 et j’avais alors choisi Bitwarden. Deux raisons à cela : premièrement le prix de LastPass avait été revu à la hausse par la société – sans aucune justification ou nouvelle fonctionnalité. Mais surtout, parce que Bitwarden est open-source et donc le code est accessible par l’ensemble de la communauté.

Plus d’informations :