Fin 2022, LastPass a été visé par deux cyberattaques. Après enquête, il s’est avéré que ces deux intrusions étaient liées. Au terme de cette combinaison d’offensives, des cybercriminels sont parvenus à voler une foule de données sur les utilisateurs de LastPass. Surtout, les hackers se sont envolés avec les clés de chiffrement des sauvegardes des coffres-forts des utilisateurs.
Pointé du doigt pour sa négligence, LastPass a pris des mesures pour améliorer la sécurité de son gestionnaire de mots de passe. L’éditeur force désormais ses usagers à configurer un mot de passe maître comportant au moins douze caractères. LastPass a également tenu à s’assurer que la double authentification soit bien paramétrée chez tous ses clients.
À lire aussi : L’App Store autorise un clone potentiellement dangereux de LastPass
Des adresses URL enfin chiffrées
Plus récemment, le gestionnaire de mots de passe a annoncé le chiffrement de toutes les URL stockées dans les coffres-forts de sa clientèle. Dans un communiqué publié ce 22 mai 2024, LastPass explique pouvoir « chiffrer en toute sécurité tous les champs liés à l’URL dans votre coffre-fort sans aucune expérience utilisateur défavorable ». Quand les utilisateurs visitent un site web, LastPass vérifie l’adresse URL de ce site et la compare à celles enregistrées dans le coffre-fort de mots de passe de l’utilisateur. Si LastPass trouve une correspondance, il proposera de remplir automatiquement les identifiants, à savoir le nom d’utilisateur et le mot de passe, pour se connecter au site.
Depuis sa création en 2008, LastPass ne chiffrait pas les URL stockées. Pour expliquer ce manquement, l’entreprise pointe du doigt les limites technologies de l’époque. Il y a seize ans, il n’était pas possible de chiffrer toutes les adresses sans dégrader les performances du service. Le procédé réclamait en effet beaucoup de puissance de calcul et de mémoire. Face à ces « contraintes informatiques », LastPass a abandonné l’idée de chiffrer les URL. Avec le temps, les contraintes ont disparu, permettant à l’éditeur d’ajouter le chiffrement.
Des informations potentiellement sensibles
Par ailleurs, l’éditeur assure avoir « investi beaucoup de temps et d’efforts pour renforcer notre sécurité » au cours « des 18 derniers mois ». C’est donc une nouvelle réponse aux cyberattaques essuyées en fin 2022. Lors des intrusions, les attaquants sont en effet parvenus à dérober la liste des URL non chiffrées stockées dans les coffres-forts de ses clients. Cette liste d’adresses donne de précieuses indications aux pirates souhaitant se servir des informations volées pour orchestrer d’autres attaques.
Comme l’indique LastPass, les URL « contiennent des détails sur la nature des comptes associés à vos informations d’identification stockées (par exemple, les services bancaires, le courrier électronique, les médias sociaux) ». En clair, les pirates savaient directement à quels services ils doivent s’attaquer s’ils parviennent à déchiffrer les mots de passe. D’ailleurs, il s’est avéré que le hack de LastPass a abouti au piratage de plusieurs portefeuilles de cryptomonnaies. D’après Brian Krebs, un expert en cybersécurité, 35 millions de dollars en cryptomonnaies ont d’ailleurs été dérobés grâce aux données volées à LastPass.
C’est pourquoi l’éditeur a tout mis en œuvre pour ajouter le chiffrement des URL. Cette mesure doit permettre « d’améliorer la confidentialité » des clients de LastPass, avance le communiqué. Le chiffrement se fera en plusieurs étapes. Dans un premier temps, autour de juillet 2024, LastPass va chiffrer « automatiquement les champs d’URL principaux des comptes existants stockés dans leurs coffres-forts, ainsi que tous les nouveaux comptes ». Ensuite, le gestionnaire de mots de passe va chiffrer les champs restants des adresses durant la seconde moitié de l’année. LastPass précise que l’utilisateur n’a rien à faire pour profiter de cette sécurité améliorée.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : LastPass
