Ouvrir le menu principal

MacGeneration

Recherche

Le cas de LastPass s'aggrave : des mots de passe (chiffrés) sont entre les mains des pirates

Stéphane Moussie

vendredi 23 décembre 2022 à 11:17 • 94

Logiciels

C'est le scénario du pire qui se produit pour LastPass et ses clients. Le service a annoncé que des pirates avaient pu « copier une sauvegarde des coffres-forts de clients. » Autrement dit, les mots de passe (chiffrés) d'utilisateurs de LastPass sont entre les mains des malandrins. Il n'est pas clair si ce sont tous les utilisateurs du service qui sont concernés ou seulement une partie d'entre eux.

Cette fuite fait suite à une attaque subie par l'éditeur en août dernier. Grâce aux infos techniques et aux clés d'identification internes volées à ce moment-là, les pirates ont pu pénétrer dans certaines parties de l'infrastructure de LastPass, jusqu'aux données de clients. Si dans un premier temps l'entreprise a indiqué que les mots de passe ne faisaient pas partie des données compromises, il en est finalement autrement.

LastPass prévient donc que les coquillards ont pu copier une sauvegarde des coffres-forts d'utilisateurs, enregistrée dans un « format propriétaire », qui comprend des données non chiffrées, comme des URL de sites web, ainsi que des données chiffrées, dont les identifiants, les mots de passe et les notes.

Les données chiffrées le sont avec l'algorithme AES 256-bit, une méthode de chiffrement réputée forte, et peuvent être uniquement déchiffrées avec le mot de passe maître défini par les utilisateurs. Ce mot de passe maître n'étant ni connu ni stocké par LastPass, il ne fait donc pas partie de la fuite.

Néanmoins, cela ne veut pas dire que les mots de passe resteront illisibles à tout jamais pour les pirates. LastPass reconnait qu'ils risquent de vouloir deviner les mots de passe maîtres en utilisant la force brute, c'est-à-dire en testant d'innombrables combinaisons. Pour ses clients qui ont suivi ses recommandations, le service estime qu'il sera « extrêmement difficile » pour les brigands de deviner les clés des coffres-forts : « il faudrait des millions d'années pour trouver votre mot de passe à l'aide des technologies de cassage généralement utilisées. »

Ces recommandations, c'est l'utilisation d'un mot de passe maître d'au moins 12 caractères (c'est une obligation pour ceux créés depuis 2018) et la non réutilisation de ce mot de passe sur un autre site. LastPass juge que ces clients n'ont pas de mesure à prendre dans l'immédiat.

Pour les autres, ceux qui ont un mot de passe maître faible ou réutilisé, ça sent le roussi. Ils doivent changer tous leurs mots de passe par mesure de sécurité, car ils risquent d'être découverts un jour ou l'autre. Bon courage à ceux qui ont stocké des dizaines voire des centaines de mots de passe chez LastPass.

De manière générale, tous les clients de LastPass doivent redoubler d'attention, car rien qu'avec les données non chiffrées subtilisées (des URL de sites web et des données sur les clients), les pirates peuvent mettre en place des campagnes d'hameçonnage.

Source :

image d'accroche Joybot (CC BY-SA)

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Émulation : comment jouer à ses vieux jeux sur iPhone ou iPad ?

10:49

• 9


Pour le producteur de La Maison, « Apple est la pire boîte marketing de l’univers »

25/04/2025 à 22:15

• 76


Upscaling vidéo et restauration photo plus rapides sur Mac/PC : VideoProc AI mis à jour est à - 62 % 📍

25/04/2025 à 17:44

• 0


Derniers jours Apple week à la Fnac : -10 % sur des MacBook Pro, iPhone 15 Pro à 16 Pro Max et iPad Pro M4

25/04/2025 à 16:00

• 7


dav1d, le décodeur AV1 le plus optimisé qu'Apple refuse d'utiliser

25/04/2025 à 14:00

• 5


Microsoft a conçu une publicité par IA et personne n’a rien vu

25/04/2025 à 13:45

• 29


Razer lance sa première souris ergonomique verticale face à Logitech

25/04/2025 à 12:15

• 10


Yahoo! veut acheter Chrome

25/04/2025 à 10:45

• 36


Slate veut repartir de zéro avec un pick-up électrique compact et épuré pour moins de 20 000 $

25/04/2025 à 10:00

• 112


iPadOS 19 verrait apparaître une barre de menus sur iPad

25/04/2025 à 09:24

• 48


Huit ans après DeX, Apple s’ouvrirait peu à peu à un bureau sur écran externe pour iOS 19

25/04/2025 à 09:23

• 52


John Giannandrea aurait aussi perdu l'équipe en charge de la robotique chez Apple

25/04/2025 à 07:39

• 12


Les procès antitrust contre les GAFAM se poursuivent aux USA, malgré les changements de présidence

24/04/2025 à 21:30

• 28


Prise en main de Supercharge, l’app à tout faire qui rend bien des services sur le Mac

24/04/2025 à 20:30

• 18


TSMC annonce la gravure en 1.4 nm, quand la Russie espère atteindre les 28 nm en 2030

24/04/2025 à 20:20

• 56


Données personnelles : comment Incogni supprime ce que les autres ne peuvent pas 📍

24/04/2025 à 18:17

• 0