Pour la deuxième fois cette année, LastPass a été victime d’une faille de sécurité. Cette fois, elle concerne son stockage « dans le nuage », que l’entreprise partage avec sa filiale GoTo, qui a été compromis.
Deux failles en un an
En août dernier, c’est un compte développeur qui avait permis aux pirates d’accéder à l’environnement de développement de LastPass. L’entreprise avait alors envoyé des emails à ses clients, leur confirmant que les attaquants avaient bien volé le code source et par la même occasion des informations techniques liés au système.
Quelques semaines plus tard, LastPass a partagé des détails à ce sujet, indiquant que les hackers avaient réussi à garder un accès au système pendant quatre jours avant d’être expulsés. L’affaire ressurgit aujourd’hui par la voix de Karim Toubba, PDG de LastPass. Il affirme que l’entreprise a réussi à déterminer que les pirates ont eu accès aux données utilisateurs en utilisant des informations venant du précédent piratage.
« Nous avons déterminé, en utilisant les informations obtenues lors de l’incident d’août 2022, qu’un tiers non autorisé a accédé à certains éléments des informations de nos clients. »
Les pirates n’auraient pas accès aux mots de passe stockés
Après avoir indiqué que des pirates se sont introduits dans le stockage en ligne que l’entreprise partage avec GoTo, LastPass s’est voulu rassurant dans sa communication. Malgré l’accès obtenu par des attaquants aux données des clients stockées sur le service, l’entreprise assure que les mots de passe n’ont pas été compromis et qu’ils « restent cryptés en toute sécurité grâce à l’architecture Zero Knowledge de LastPass ».
We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate GoTo. Customer passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture. More info: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
— LastPass (@LastPass) November 30, 2022
La technologie « Zero Knowledge » signifie que seul l’utilisateur connaît son mot de passe principal et que ce dernier est crypté au niveau de l’appareil et non au niveau du serveur.
La société indique également avoir engagé la société de sécurité Mandiant pour enquêter sur l’incident et avoir averti les forces de l’ordre de l’attaque : « Nous travaillons avec diligence pour comprendre l’étendue de l’incident et identifier les informations spécifiques qui ont été consultées ».
Toubba précise que le service reste « entièrement fonctionnel » malgré la violation. LastPass est aujourd’hui un des logiciels de gestion de mot de passe les plus populaires au monde, affirmant avoir plus de 33 millions d’utilisateurs et 100 000 entreprises utilisant ses services.
Le problème avec les mots de passe
Au-delà des failles de sécurité côté serveur, les utilisateurs choisissent bien trop souvent de terribles mots de passe qui n’offrent pas un niveau de sécurité suffisant contre le piratage. Un problème de fond que les gestionnaires de mot de passe et les géants de la Tech comptent remplacer au profit de « passkeys », ou « clés d’accès ».
Cette nouvelle manière de sécuriser les comptes en ligne permettra aux utilisateurs de se connecter de manière plus simple (et sécurisée) à leurs sites et applications, indépendamment de la plate-forme choisie. Une technologie qui devrait prendre de l’ampleur en 2023, mais qui mettra du temps avant d’être comprise et acceptée par les utilisateurs. D’ici là, on vous recommande chaudement la lecture de notre dossier pour savoir comment bien gérer vos mots de passe.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : LastPass
