Le piratage de LastPass en août était plus grave qu'annoncé. Aucune donnée déchiffrée n'a cependant été volée (apparemment).

Après avoir été piraté pour la deuxième fois en autant d’années au mois d’août, le gestionnaire de mots de passe LastPass a annoncé que la plus récente intrusion était finalement plus grave que ce qui avait rapporté initialement. Les attaquants ont ainsi pu, dans certains cas, repartir avec les coffres de mots de passe d’utilisateurs. Cela signifie que les voleurs ont les collections complètes de mots de passe chiffrés. Sans pour autant avoir la méthode immédiate pour les déchiffrer.

Le piratage de LastPass en août était plus grave qu’annoncé

“Aucune donnée personnelle n’a été obtenue durant l’incident d’août 2022”, déclarait le PDG de LastPass, Karim Toubba. Cependant, une portion du code source de l’app a pu être récupérée et ensuite utilisée pour tromper un employé de LastPass et lui faire transmettre ses accès. Avec ces derniers, les attaquants ont pu déchiffrer et copier “certains volumes de stockage dans le service de stockage cloud”.

Aucune donnée déchiffrée n’a cependant été volée (apparemment)

Parmi les données chiffrées obtenues par les hackers, on citera notamment des informations de compte basiques, comme les noms des entreprises, les adresses de facturation, email et IP ainsi que les numéros de téléphone, précisait Karim Toubba. “Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu’avec une clef de chiffrement unique dérivée du mot de passe maître de chaque utilisateur en utilisant notre architecture Zero Knowledge”, poursuivait-il. “Pour rappel, le mot de passe maître n’est pas connu de LastPass et n’est pas stocké ni maintenu par LastPass.”

Reste que ces incidents, à répétition, entament sérieusement la confiance que l’on peut porter en ce service. Et faut-il encore croire ces déclarations ? Ce sera certainement un moment assez difficile à passer, mais il vaudrait certainement mieux changer tous vos mots de passe et votre mot de passe maître. Ou alors, vous pouvez aussi décider d’abandonner complètement LastPass et passer à une solution, comme 1Password ou Bitwarden.