Le piratage de LastPass s’avère finalement être plus grave que prévu. Alors que l’entreprise avait initialement affirmé que les données clients n’avaient pas été compromises lors de l’intrusion subie en août dernier, de nouvelles informations viennent contredire cette version des faits.
En effet, le hacker malveillant a pu « copier les sauvegardes des coffres-forts clients contenant à la fois des données chiffrées et des données non chiffrées », a précisé Karim Toubba, PDG de LastPass. Pour rappel, le coffre-fort LastPass est l’endroit où sont stockés tous les mots de passe et autres informations de connexion.
Bien que les mots de passe restent sécurisés par un chiffrement AES 256 bits, ils ne peuvent être déchiffrés qu’avec une clé de chiffrement unique dérivée du mot de passe principal de chaque utilisateur. Cependant, en ayant accès aux coffres-forts, le pirate peut mener des attaques via force brute (en tentant des millions de combinaisons les unes après les autres) pour essayer de deviner le mot de passe principal et potentiellement obtenir l’accès à tous les mots de passe et autres données stockées dans les coffres-forts clients.
De plus, les URL de sites enregistrées dans le coffre-fort ne sont pas chiffrées, ce qui peut fournir des informations sur les sites sur lesquels sont inscrits les utilisateurs et faciliter d’éventuels piratages si ces données sont croisées avec d’autres informations provenant de fuites différentes.
Pour se protéger, il est donc recommandé de changer son mot de passe principal et d’activer la double authentification. Il est également conseillé d’utiliser un mot de passe fort et unique pour chaque compte.
En ce qui concerne les statistiques de piratage de LastPass entre 2018 et 2021, nous avons constaté que le nombre de comptes affectés par année a augmenté de manière significative, atteignant un pic en 2020. Les données les plus souvent compromises ont été les mots de passe, suivis des identifiants utilisateurs et des informations de facturation.
En conclusion, il est important de rester vigilant et de prendre les mesures de protection nécessaires pour sécuriser ses données en ligne. Utiliser un gestionnaire de mots de passe comme LastPass peut être utile, mais il ne faut pas oublier que rien n’est à l’abri d’un piratage.
