LastPass confirme le vol des coffres-forts de mots de passe de ses clients

LastPass
(Crédit photo: LastPass)

Le piratage de données qui a touché le gestionnaire de mots de passe LastPass au début de l'année a permis aux voleurs s'emparer des coffres-forts de mots de passe cryptés appartenant aux clients, a confirmé la société.

Ce coffre-fort est l'endroit où les gens conservent leurs mots de passe. Et si les pirates trouvent un moyen de décrypter ce coffre-fort pour accéder à son contenu, ils seront en mesure de lire tous les mots de passe qui y sont enregistrés.

Dans un communiqué (s'ouvre dans un nouvel onglet) publié sur le blog de LastPass, le PDG Karim Toubba a déclaré que les pirates ont utilisé des clés de stockage dans le cloud volées à un employé de LastPass pour accéder et exfiltrer les données des coffres-forts des clients. Les données volées sont une combinaison de renseignements chiffrés (des coffres-forts de mots de passe) et d'informations non chiffrées (des adresses web, des noms, des adresses e-mail, des numéros de téléphone et, dans certains cas, des informations de facturation stockés dans les coffres).

Mot de passe maître sécurisé

La bonne nouvelle est que les coffres-forts de mots de passe sont stockés dans un "format binaire propriétaire", ce qui signifie qu'il est pratiquement impossible d'en lire le contenu. Pour cela, les pirates auraient besoin du mot de passe maître du client, que personne d'autre que l'utilisateur (espérons-le) ne connaît. LastPass affirme ne pas connaître cette information. 

"Ces champs cryptés restent sécurisés par un cryptage AES 256 bits et ne peuvent être décryptés qu'avec une clé de cryptage unique dérivée du mot de passe maître de chaque utilisateur en utilisant notre architecture Zero Knowledge", a déclaré Toubba. "Pour rappel, le mot de passe maître n'est jamais connu de LastPass et n'est pas stocké ou maintenu par LastPass."

Toutefois, la société a prévenu que les cybercriminels "peuvent tenter d'utiliser la manière forte pour deviner votre mot de passe maître et décrypter les copies des données du coffre-fort qu'ils ont pris", ce qui pourrait poser un problème si les utilisateurs ont créé des mots de passe maîtres faibles et faciles à deviner. 

Pour ceux qui craignent que leur mot de passe maître ne soit piraté, la meilleure chose à faire dès maintenant est de le renforcer. Si vous avez des raisons de croire que le contenu de votre coffre-fort pourrait être compromis, changer les mots de passe est le seul moyen de rester en sécurité (à part la mise en place d'une authentification multifactorielle chaque fois que possible). 

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.