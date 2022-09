LastPass communique encore sur son hack du mois d'août. Aucune donnée utilisateur n'a été compromise, mais la prudence reste toujours de mise.

En août, LastPass admettait qu’une “personne non-autorisée” avait pu pénétrer ses systèmes. Une information de ce genre, d’un gestionnaire de mots de passe qui se fait pirater, a de quoi être inquiétante, mais l’entreprise tient aujourd’hui à rassurer ses utilisateurs, leurs identifiants et autres informations personnelles n’ont pas été compromis durant cet incident.

LastPass communique encore sur son hack du mois d’août

Dans sa dernière communication en date sur ce hack, le PDG de LastPass, Karim Toubba, expliquait que l’enquête de l’entreprise menée avec la société de cybersécurité Mandiant avait révélé que l’auteur de cette attaque avait eu à un accès interne à ses systèmes pendant quatre jours. Ce dernier a pu voler du code source du gestionnaire de mot de passe ainsi que des informations techniques, mais son accès était limité à l’environnement de développement du service, lequel n’est pas connecté aux données des utilisateurs ni aux coffres chiffrés. De plus, Karim Toubba précise que LastPass n’a aucun accès quel qu’il soit aux mots de passe maîtres des utilisateurs, lesquels sont nécessaires pour déchiffrer les coffres.

Aucune donnée utilisateur n’a été compromise

Le PDG expliquait aussi qu’il n’y avait aucune preuve que cet incident “ait impliqué un quelconque accès aux données personnelles ou aux coffres chiffrés des mots de passe”. Ils n’ont aussi trouvé aucune preuve d’un accès non-autorisé au-delà de cette période de quatre jours et aucune trace d’un quelconque code malicieux qui aurait été injecté dans les systèmes. Karim Toubba déclare que l’attaquant a pu infiltrer les systèmes du système en compromettant le système d’un développeur. Le hacker a ensuite pu se faire passer pour ce dernier “une fois celui-ci authentifié avec succès via l’authentification double-facteur“.

Mais la prudence reste toujours de mise

En 2015, LastPass avait été victime d’une faille de sécurité qui avait compromis les adresses email, les hash des identifiants, les rappels de mots de passe et d’autres informations des utilisateurs. Une faille similaire aurait des conséquences désastreuses aujourd’hui, maintenant que le service compte plus de 33 millions de clients enregistrés. Bien que LastPass ne conseille pas à ses utilisateurs de prendre de quelconques mesures particulières, il est toujours bon de ne pas réutiliser ses mots de passe et d’activer l’authentification double-facteur.