La faille de LastPass a exposé les données des clients, mais pas les mots de passe
- Alban Martin
- Il y a 2 ans
- 💬 Réagir
- 🔈 Écouter
La faille de sécurité de LastPass survenue en août dernier a permis aux attaquants d'accéder aux données des clients, affirme l'entreprise spécialisée dans la gestion des mots de passe. Elle avait précédemment déclaré qu'aucune donnée n'avait été compromise.
LogMeIn, propriétaire de LastPass, souligne que les mots de passe des clients ne font pas parti des information exposées, car l'entreprise utilise un chiffrement de bout en bout de sorte que seul l'abonné dispose de la clé de déchiffrement.
Comment ça marche LastPass ?
LastPass est un gestionnaire de mots de passe concurrent de 1Password. Avec ces derniers, tous vos mots de passe sont stockés de manière chiffrée, et vous pouvez vous connecter à n'importe quel site web en n'utilisant qu'un seul mot de passe maître pour déverrouiller votre coffre. Il est possible de le déverrouiller pour la journée, sur tous ses appareils afin d'en profiter de manière transparente.
La société a confirmé une violation de sécurité signalée en août. Un attaquant a eu accès à l'environnement de développement de la société et a pu accéder au code source et à d'autres données techniques. LogMeIn a déclaré à l'époque qu'il n'y avait pas eu d'accès aux données des clients, ni à l'environnement de production. Cependant, le rapport du jour révèle que les données des clients ont été finalement été exposées.
La faille de sécurité de LastPass
LogMeIn revient sur ses propos et explique que si l'attaque initiale n'a pas permis d'accéder aux données des clients, les informations obtenues à ce moment-là ont été utilisées par la suite pour le faire.
Nous avons récemment détecté une activité inhabituelle au sein d'un service de stockage en nuage tiers, qui est actuellement partagé par LastPass et sa société affiliée, GoTo. Nous avons immédiatement lancé une enquête, engagé Mandiant, une société de sécurité de premier plan, et alerté les forces de l'ordre.
Nous avons déterminé qu'une partie non autorisée, utilisant les informations obtenues lors de l'incident du 20 août 2022, a pu accéder à certains éléments d'information de nos clients. Les mots de passe de nos clients restent cryptés en toute sécurité grâce à l'architecture "Zero Knowledge" de LastPass.
Le PDG de l'entreprise, Karim Toubba, déclare que l'entreprise s'efforce toujours de déterminer la portée de l'attaque et d'identifier les données spécifiques des clients qui ont été consultées. Les clients seront certainement contactés à la suite des investigations.
La société a attiré l'attention des utilisateurs sur ses recommandations de sécurité pour l'utilisation de LastPass. La plus importante d'entre elles est, bien sûr, de s'assurer que vous utilisez un mot de passe unique et très fort pour protéger votre coffre-fort. Logique.
Chaque violation de données nous rappelle que la sécurité information est importante, d'autant qu'il s'agit ici d'un gestionnaire de mots de passe qui a les clés de toute votre vie numérique. Voilà qui devrait donner encore un peu plus de crédit à Apple qui dispose d'un service intégré similaire avec iCloud Keychain. Ce dernier n'a pas (encore) été compromis...
Télécharger l'app gratuite LastPass Password Manager