Le gestionnaire de mots de passe LastPass touché par une fuite de données

C’est l’un des principaux services – ultrasensibles – qui permettent de mettre à l’abri ses mots de passe sur Internet pour les retrouver rapidement, depuis un smartphone ou un ordinateur : le gestionnaire de mots de passe LastPass a fait l’objet d’une importante fuite de données, a annoncé l’entreprise dans une note de blog publiée jeudi 22 décembre et signée de son président-directeur général, Karim Toubba.

Une première brèche, signalée en août, avait permis aux pirates de récupérer des informations techniques. Grâce à elles, au début de décembre, ils ont pu cibler un employé de l’entreprise afin de récupérer un identifiant, un mot de passe, et une clé de chiffrement ouvrant l’accès aux sauvegardes informatiques de LastPass, hébergées chez un sous-traitant. Initialement rassurante, la société américaine a changé de ton, conseillant à ses utilisateurs la prudence.

Les pirates ont, en effet, aspiré une partie de ces sauvegardes, qui abritaient des informations fournies par les clients. Parmi les données personnelles récupérées figurent leur nom, prénom, adresse, téléphone, e-mail, adresse IP – le numéro d’identification de l’appareil utilisé pour se connecter à Internet – et, éventuellement, le nom de leur entreprise. LastPass ne dit malheureusement pas combien de ses utilisateurs sont touchés par cette fuite.

Lire aussi : Fini les mots de passe ? Les « passkeys » expliqués en trois questions

Ces données sont précieuses pour les pirates, car elles peuvent faciliter les manœuvres d’hameçonnage (phishing) visant à arracher des informations plus sensibles encore aux clients de LastPass. A cet égard, l’entreprise avertit ses usagers qu’elle ne les contactera jamais pour leur demander le mot de passe maître, qu’ils utilisent pour ouvrir l’application LastPass. En outre, elle n’appellera pas ses clients, ne leur enverra pas d’e-mail ni de SMS pour demander de cliquer sur un lien confirmant leurs informations personnelles.

Les mots de passe demeurent chiffrés

Selon l’entreprise américaine, les mots de passe de ses clients ont eux aussi été aspirés. Cependant, contrairement aux informations personnelles listées plus haut, ces données-là demeurent protégées par un chiffrage solide, l’AES 256 bits (pour Advanced Encryption Standard – « norme de chiffrement avancé »). LastPass affirme qu’il serait très difficile aux pirates de casser la barrière de l’AES pour accéder à la liste des mots de passe stockés par ses clients. La société, qui se fait épauler dans cette enquête par la firme de cybersécurité Mandiant, avertit toutefois que certaines entreprises utilisant ses services optent pour un autre système de chiffrement pour leurs comptes LastPass, potentiellement moins robuste.

Pour pouvoir déverrouiller ce chiffrement et accéder à la liste des mots de passe des clients, il faut connaître leurs mots de passe maître. Or, selon le PDG de LastPass, les pirates n’ont pas pu récupérer ces derniers car les clients sont les seuls à connaître ce précieux sésame – une mesure de sécurité connue par les experts sous le nom d’« architecture zero knowledge ».

Lire : Quel gestionnaire de mots de passe est fait pour vous ?

Les pirates peuvent toutefois retrouver ce mot de passe particulièrement sensible de différentes manières, notamment en appliquant la méthode de la force brute, qui consiste à tenter toutes les combinaisons possibles. Selon LastPass, c’est la solidité du mot de passe maître qui conditionne sa résistance aux attaques. Or, certains usagers l’ont choisi plus court et moins complexe que d’autres. La sécurité du mot de passe maître peut aussi être compromise si ses clients ont, pour ce dernier, employé un mot de passe déjà utilisé à d’autres endroits. Dans ce cas, il peut avoir été piraté par une autre équipe de hackeurs, puis revendu aux auteurs de l’attaque de LastPass.

La société recommande aux usagers qui douteraient de la solidité de leur mot de passe maître de le changer, puis de remplacer l’intégralité des mots de passe stockés dans la mémoire chiffrée de leur compte. Une opération qui peut prendre de longues heures, selon le nombre de mots de passe stockés par les utilisateurs.

Lire aussi : Article réservé à nos abonnés Derrière les attaques par rançongiciel, un écosystème criminel continue de fleurir

Le Monde