LastPass annonce que des hackers ont dérobé les sauvegardes de mots de passe de ses utilisateurs

"Les experts du monde entier font confiance à LastPass. Vous méritez le meilleur en matière de sécurité" affiche en large LastPass sur son site Internet. Plus de 33 millions de particuliers et 100.000 entreprises (dont de gros titres de médias américains comme le New York Times, CNN ou Mashable), clients du célèbre gestionnaire de mot passe, vont apprendre que même les meilleurs ne sont pas intouchables.

LastPass a indiqué le 30 novembre dernier qu’un incident de sécurité avait eu lieu, affirmant toutefois que les mots de passe de ses clients "restaient chiffrés de manière sécurisée". Dans un communiqué sur son site Internet publié ce 22 décembre, l’entreprise admet que les pirates ont réussi à recopier les coffres sécurisés de clients. Elle assure qu'une large partie des informations (dont les mots de passe eux-mêmes et les informations bancaires) ne pourront probablement pas être exploitées.

Karim Toubba, le PDG de LastPass, explique ainsi que les pirates ont pu, grâce à différentes failles utilisées depuis plusieurs mois, accéder aux données stockées dans le cloud.

"L’auteur du piratage a pu également copier une sauvegarde des données des coffres des clients à partir d’un espace de stockage chiffré, données stockées sous un format binaire propriétaire qui contient à la fois des données non chiffrées comme des adresses internet de sites web, ainsi que des champs totalement chiffrés beaucoup plus sensibles comme des mots de passe et identifiants de sites, notes sécurisées, et données de pré-remplissage", indique le PDG.

Certaines données accessibles

D’après le responsable, les hackers sont donc en possession de tous les mots de passe sécurisés de ses clients, mais dans un format chiffré. Karim Toubba assure que les pirates auront du mal à déchiffrer les copies des coffres-forts volés: "Avec nos méthodes de hachage et chiffrement qui permettent de protéger nos clients, il sera extrêmement difficile de trouver, même en forçant, les mots de passe maître de nos clients qui ont suivi nos conseils lors de la création de leur mot de passe."

LastPass recommande toutefois aux utilisateurs de changer leurs mots de passe, que ce soit ceux utilisés pour chaque compte associé mais également leur mot de passe maître. Les comptes créés avant 2018 sont d’ailleurs indiqués comme plus à risques. Pour se protéger contre de nouvelles attaques, LastPass procède actuellement à une analyse complète de chaque compte présentant des signes d’activité suspecte.

L'entreprise reconnaît que les hackers pourraient malgré tout avoir accès à une large quantité de données non chiffrées, comme des données personnelles liées aux utilisateurs (nom, prénom, adresse mail, factures), mais également les adresses Web des sites sur lesquels ils utilisent leurs mots de passe.

LastPass se revendique comme le gestionnaire de mots de passe numéro un dans le monde. Il permet grâce à une extension sur son navigateur web de conserver et protéger tous ses mots de passe sur un même site, via la création d’un "mot de passe maître". LastPass permet également de créer des mots de passe longs et forts pour ses différents comptes sur Internet.