Paume faciale : LastPass, l’un des services de gestion de mots de passe les plus populaires, a été piraté en août dernier. La société affirme maintenant que les dommages causés par les pirates inconnus sont bien pires que ce qui avait été initialement évalué. Les utilisateurs doivent changer leurs mots de passe dès que possible.
Dans le rapport original sur l’incident de violation de données découvert en août, LastPass a déclaré que « seuls » le code source et les informations exclusives de l’entreprise avaient été compromis. Les données et les mots de passe des utilisateurs sont restés sûrs et non souillés. Maintenant, un avis de sécurité de suivi sur ce même incident dit le contraire : les acteurs malveillants ont également pu accéder aux données de certains utilisateurs.
Les pirates au chapeau noir ont obtenu la clé d’accès au stockage en nuage et les clés de déchiffrement du conteneur de stockage double, LastPass dit. Avec les clés volées, ils ont pu compromettre davantage la sécurité de la plate-forme en copiant une sauvegarde contenant « des informations de base sur le compte client et les métadonnées associées, notamment les noms d’entreprise, les noms d’utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP. à partir duquel les clients accédaient au service LastPass. »
Les cybercriminels ont également pu copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage crypté, qui est stocké dans un format binaire propriétaire. Le conteneur comprend à la fois des données non chiffrées, telles que des URL de sites Web, ainsi que des champs sensibles entièrement chiffrés tels que des noms d’utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies par formulaire.
Cependant, a déclaré LastPass, les champs cryptés « restent sécurisés » même lorsqu’ils sont entre les mains de cybercriminels, car ils ont été générés avec un algorithme de cryptage basé sur AES 256 bits et « ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée de chaque utilisateur. mot de passe principal en utilisant notre architecture Zero Knowledge. » Zero Knowledge signifie que LastPass ne connaît pas le mot de passe principal nécessaire pour déchiffrer les données, tandis que le déchiffrement lui-même est effectué uniquement sur le client LastPass local et jamais en ligne.
Quant aux données de carte de crédit, LastPass les stocke partiellement dans un environnement cloud différent. Et rien n’indique que ces données aient été consultées – jusqu’à présent, du moins. Tout bien considéré, LastPass essaie d’envoyer le message que, malgré la violation prolongée de la plate-forme de l’entreprise, les données cryptées des utilisateurs doivent toujours être à l’abri de toute intention malveillante.
Ce n’est pas comme dire qu’il n’y a pas de risques ou de dangers provenant de la violation, cependant. Un acteur malveillant très déterminé pourrait essayer de forcer brutalement les mots de passe cryptés, dit LastPass, même si la tentative serait « extrêmement difficile » car la société teste régulièrement « les dernières technologies de craquage de mots de passe contre nos algorithmes pour suivre et améliorer notre contrôles cryptographiques. »
Il pourrait y avoir des risques supplémentaires concernant les attaques de phishing ou les attaques par force brute contre les comptes en ligne associés aux coffres-forts LastPass des utilisateurs. Dans ce cas, LastPass a fait remarquer qu’il n’appellera, n’enverra jamais d’e-mail ou de SMS à un utilisateur et lui demandera de cliquer sur un lien pour vérifier ses informations personnelles. Ils ne demanderont jamais non plus à connaître le mot de passe principal d’un coffre-fort. Par mesure de sécurité extrême, il est conseillé aux utilisateurs du gestionnaire de mots de passe en ligne de changer de toute façon leur mot de passe principal et tous les mots de passe stockés dans le coffre-fort.
