Facepalm : LastPass, l’un des services de gestion de mots de passe les plus populaires, a été piraté en août dernier. La société affirme maintenant que les dommages causés par les pirates inconnus sont bien pires que ce qui avait été initialement évalué. Les utilisateurs doivent changer leurs mots de passe dès que possible.
Dans le rapport initial sur l’incident de violation de données découvert en août, LastPass a déclaré que « seuls » le code source et les informations propriétaires de l’entreprise ont été compromis. Les données et les mots de passe des utilisateurs sont restés en sécurité et non souillés. Maintenant, un avis de sécurité de suivi sur ce même incident dit le contraire : les acteurs malveillants ont également pu accéder aux données de certains utilisateurs.
Les hackers black hat ont obtenu la clé d’accès au stockage cloud et les clés de déchiffrement du double conteneur de stockage, LastPass indique. Avec les clés volées, ils ont pu compromettre davantage la sécurité de la plate-forme en copiant une sauvegarde contenant « les informations de base sur le compte client et les métadonnées associées, y compris les noms d’entreprise, les noms d’utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP. à partir duquel les clients accédaient au service LastPass. »
Les cybercriminels ont également pu copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage chiffré, qui est stocké dans un format binaire propriétaire. Le conteneur comprend à la fois des données non chiffrées, telles que des URL de sites Web, ainsi que des champs sensibles entièrement chiffrés tels que des noms d’utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies par des formulaires.
Cependant, selon LastPass, les champs chiffrés « restent sécurisés » même lorsqu’ils sont entre les mains de cybercriminels, car ils ont été générés avec un algorithme de chiffrement basé sur AES 256 bits et « ne peuvent être déchiffrés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l’aide de notre architecture Zero Knowledge. » Zero Knowledge signifie que LastPass ne connaît pas le mot de passe principal nécessaire pour déchiffrer les données, tandis que le déchiffrement lui-même est effectué uniquement sur le client LastPass local et jamais en ligne.
En ce qui concerne les données de carte de crédit, LastPass les stocke partiellement dans un environnement cloud différent. Et rien n’indique que ces données aient été consultées – jusqu’à présent, du moins. Tout bien considéré, LastPass essaie d’envoyer le message que, malgré la violation prolongée de la plate-forme de l’entreprise, les données chiffrées des utilisateurs doivent toujours être à l’abri de toute intention malveillante.
Ce n’est pas comme dire qu’il n’y a pas de risques ou de dangers provenant de la violation, cependant. Un acteur malveillant très déterminé pourrait essayer de forcer brutalement les mots de passe cryptés, dit LastPass, même si la tentative serait « extrêmement difficile » car la société teste régulièrement « les dernières technologies de craquage de mots de passe contre nos algorithmes pour suivre et améliorer notre contrôles cryptographiques. »
Il pourrait y avoir des risques supplémentaires concernant les attaques de phishing ou les attaques par force brute contre les comptes en ligne associés aux coffres LastPass des utilisateurs. Dans ce cas, LastPass a fait remarquer qu’il n’appellera, n’enverra jamais d’e-mail ou de SMS à un utilisateur et lui demandera de cliquer sur un lien pour vérifier ses informations personnelles. Ils ne demanderont jamais non plus à connaître le mot de passe principal d’un coffre-fort. Par mesure de sécurité extrême, il est conseillé aux utilisateurs du gestionnaire de mots de passe en ligne de changer de toute façon leur mot de passe principal et tous les mots de passe stockés dans le coffre-fort.
Toute l’actualité en temps réel, est sur L’Entrepreneur
