LastPass : le piratage dévoilé le 30 novembre est bien plus grave qu'on le pense
- Julien Russo
- Il y a 2 ans
- 💬 5 coms
- 🔈 Écouter
Les applications de gestionnaire de mots de passe ont toujours été très sensible, car elles stockent la totalité de vos identifiants et mots de passe pour des services, apps ou site internet. Le plus gros piratage pour une application de ce type a concerné LastPass, un sérieux concurrent du célèbre 1Password. Le dirigeant de l'app a mentionné le 30 novembre 2022 l'existence d'une faille de sécurité qui a été activement exploitée par des hackers et qui a permis de récupérer énormément d'informations. Cependant... Les choses seraient bien plus graves qu'initialement annoncé.
LastPass victime d'un piratage inquiétant
À la fin du mois de novembre, Karim Toubba, le PDG de LastPass, déclarait à un média américain que son application (utilisé par des millions de personnes dans le monde) avait fait l'objet d'un piratage exceptionnel et d'une grande ampleur.
Initialement, le PDG avait affirmé que seules les données personnelles des utilisateurs avaient été récupérées par les hackers, on parle des noms, adresses, e-mails, numéros de téléphone ainsi que d'autres données.
Lors de la première déclaration, Karim Toubba et son équipe découvraient les premiers résultats des dégâts du piratage, ils n'avaient pas toutes les informations de ce que les hackers avaient récupéré. Quasiment 1 mois s'est écoulé depuis la première révélation officielle et aujourd'hui LastPass en sait largement plus sur le piratage qui a eu lieu.
Dans une seconde annonce publiée cette nuit chez TechCrunch, on apprend que... les hackers ont pu copier une sauvegarde des données du coffre-fort des clients !
Autrement dit, les identifiants et mots de passe stockés par des millions d'utilisateurs ont réussi à sortir des infrastructures de LastPass ! Heureusement, ils sont cryptés et donc inexploitables sans clé de déchiffrement :
L'acteur de la menace a également pu copier une sauvegarde des données du coffre-fort du client à partir du conteneur de stockage crypté, qui est stocké dans un format binaire propriétaire contenant à la fois des données non cryptées, telles que les URL des sites Web, et des champs sensibles entièrement cryptés, tels que les noms d'utilisateur et les mots de passe des sites Web, les notes sécurisées et les données remplies dans les formulaires.
Ces champs cryptés restent sécurisés par un cryptage AES 256 bits et ne peuvent être décryptés qu'à l'aide d'une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur, grâce à notre architecture Zero Knowledge.
Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. Le cryptage et le décryptage des données sont effectués uniquement sur le client LastPass local.
L'enquête, selon LastPass, se poursuit toujours. L'entreprise "s'engage à vous tenir au courant des découvertes, à vous informer des activités menées et des mesures que vous pourriez devoir prendre."
Télécharger l'app gratuite LastPass Password Manager