Pour la seconde fois, LastPass a émis une « notification de sécurité » et invite ses utilisateurs à changer le mot de passe maître de leur coffre-fort numérique. Les données chiffrées des utilisateurs ne seraient par contre pas compromises.
Sur son blog, la société LastPass vient d'annoncer avoir été victime d'un problème de sécurité relativement important : « Nous souhaitons informer notre communauté que vendredi, notre équipe a détecté et bloqué immédiatement une activité douteuse sur notre réseau. D'après nos investigations, nous n'avons aucune preuve que les données chiffrées de nos utilisateurs ont été compromises, tout comme l'accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage et le hachage d'authentification ont été compromis ».
Mot de passe maitre chiffré compromis, les coffres-forts numériques seraient épargnés
D'après les déclarations de LastPass, les coffres-forts numériques des utilisateurs ne seraient pas concernés, ce qui fait dire à la société que « vous n'avez pas besoin de changer les mots de passe des sites enregistrés » dans ce dernier. La situation est par contre moins reluisante concernant le mot de passe « maitre ». Fort heureusement, il n'est pas enregistré en clair sur les serveurs de LastPass.
« Nous sommes confiants en nos mesures de chiffrement pour couvrir la protection de la majorité de nos utilisateurs. LastPass renforçant le hachage d'authentification par un salage aléatoire et 100 000 itérations côté serveur PBKDF2-SHA256, en plus de celles effectuées côté client. Ce renforcement supplémentaire rend difficile une attaque des données volées » précise la firme. Néanmoins, cela ne sert pas à grand-chose si votre mot de passe maitre est trivial, comme 123456789, 123456799, password, password1, etc. Mais là, le piratage de LastPass ne change pas grand-chose de toute façon. Dans tous les cas, il est recommandé de changer votre mot de passe maitre, d'en choisir un suffisamment fort et de ne surtout pas l'utiliser pour d'autres services.
Comptes utilisateurs verrouillés en cas de nouvelle connexion
En guise de protection contre d'éventuelles attaques de pirates, la société a verrouillé les comptes de ses utilisateurs : « Nous demandons à tout utilisateur se connectant depuis un nouvel appareil ou depuis une nouvelle adresse IP de valider en premier lieu leur compte via leur adresse e-mail, à moins que vous n'utilisiez l'authentification multi-facteur ».
Cela reste un coup dur pour LastPass, d'autant que ce n'est pas la première fois qu'une telle mésaventure arrive. Pour rappel, en mai 2011, la société avait demandé à ses clients de changer leur mot de passe maitre, ce qui avait d'ailleurs posé quelques soucis puisque le trafic avait augmenté de manière considérable et que le service n'arrivait plus à l'absorber. Comme il y a quatre ans, LastPass ajoute qu'elle travaille « avec les autorités et des experts en sécurité » sur cet incident dont l'origine n'a pas été évoquée.