Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

La sécurité de LastPass compromise, changez votre mot de passe maître

Et de deux !
Internet 2 min
La sécurité de LastPass compromise, changez votre mot de passe maître

Pour la seconde fois, LastPass a émis une « notification de sécurité » et invite ses utilisateurs à changer le mot de passe maître de leur coffre-fort numérique. Les données chiffrées des utilisateurs ne seraient par contre pas compromises.

Sur son blog, la société LastPass vient d'annoncer avoir été victime d'un problème de sécurité relativement important : « Nous souhaitons informer notre communauté que vendredi, notre équipe a détecté et bloqué immédiatement une activité douteuse sur notre réseau. D'après nos investigations, nous n'avons aucune preuve que les données chiffrées de nos utilisateurs ont été compromises, tout comme l'accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage et le hachage d'authentification ont été compromis ».

Mot de passe maitre chiffré compromis, les coffres-forts numériques seraient épargnés

D'après les déclarations de LastPass, les coffres-forts numériques des utilisateurs ne seraient pas concernés, ce qui fait dire à la société que « vous n'avez pas besoin de changer les mots de passe des sites enregistrés » dans ce dernier. La situation est par contre moins reluisante concernant le mot de passe « maitre ». Fort heureusement, il n'est pas enregistré en clair sur les serveurs de LastPass.

« Nous sommes confiants en nos mesures de chiffrement pour couvrir la protection de la majorité de nos utilisateurs. LastPass renforçant le hachage d'authentification par un salage aléatoire et 100 000 itérations côté serveur PBKDF2-SHA256, en plus de celles effectuées côté client. Ce renforcement supplémentaire rend difficile une attaque des données volées » précise la firme. Néanmoins, cela ne sert pas à grand-chose si votre mot de passe maitre est trivial, comme 123456789123456799passwordpassword1, etc. Mais là, le piratage de LastPass ne change pas grand-chose de toute façon. Dans tous les cas, il est recommandé de changer votre mot de passe maitre, d'en choisir un suffisamment fort et de ne surtout pas l'utiliser pour d'autres services.

Comptes utilisateurs verrouillés en cas de nouvelle connexion

En guise de protection contre d'éventuelles attaques de pirates, la société a verrouillé les comptes de ses utilisateurs : « Nous demandons à tout utilisateur se connectant depuis un nouvel appareil ou depuis une nouvelle adresse IP de valider en premier lieu leur compte via leur adresse e-mail, à moins que vous n'utilisiez l'authentification multi-facteur ». 

Cela reste un coup dur pour LastPass, d'autant que ce n'est pas la première fois qu'une telle mésaventure arrive. Pour rappel, en mai 2011, la société avait demandé à ses clients de changer leur mot de passe maitre, ce qui avait d'ailleurs posé quelques soucis puisque le trafic avait augmenté de manière considérable et que le service n'arrivait plus à l'absorber. Comme il y a quatre ans, LastPass ajoute qu'elle travaille « avec les autorités et des experts en sécurité » sur cet incident dont l'origine n'a pas été évoquée.

88 commentaires
Avatar de Vekin Abonné
Avatar de VekinVekin- 16/06/15 à 07:40:27

Voilà pourquoi j'ai toujours des réticences à utiliser de tels services et centraliser tous mes mots de passe. Le jour où le système est compromis, tu pleures. Peut-être devrais-je regarder du côté de KeePass qui est local, je ne sais pas, car c'est quand même bien pratique.

Avatar de Arnaud3013 Abonné
Avatar de Arnaud3013Arnaud3013- 16/06/15 à 07:42:04

Qu'en est il niveau sécurité des password sauvegardé via firefox Sync?

Avatar de Jaybles INpactien
Avatar de JayblesJaybles- 16/06/15 à 07:43:56

Dashlane est une alternative viable ? KeePass a l'avantage d'être open source, c'est pas rien.

Avatar de creatix Abonné
Avatar de creatixcreatix- 16/06/15 à 07:45:40

Sinon il existe 1password qui a l'avantage de ne pas etre en ligne.

Avatar de CoooolRaoul INpactien
Avatar de CoooolRaoulCoooolRaoul- 16/06/15 à 07:45:45

@Vekin: pour moi KeePass répond à toutes les attentes, il peut être local ou "cloudifié", selon comme on l'utilise.

On peut dupliquer sa base de mots de passe où on veut et en autant d'exemplaires que souhaité car la synchro est quasi transparente (chaque sauvegarde est une fusion en réalité).

Avatar de lorenzo8500 Abonné
Avatar de lorenzo8500lorenzo8500- 16/06/15 à 07:46:57

c'est une hérésie de mettre ses mots de passe sur une plateforme externe alors qu'un simple keepass est nettement plus secure :bravo:

Édité par lorenzo8500 le 16/06/2015 à 07:47
Avatar de Folgore INpactien
Avatar de FolgoreFolgore- 16/06/15 à 07:47:42

Le soucie c'est que ca fait des années que je me souviens plus de mon mot de passe maitre chez LastPass... Apres suis passé au gestionnaire de mot de passe de google, ce dernier c'est certes une pieuvre, mais au moins je peux lui faire confiance :yes:

LastPass c'etait surtotu a l'epoque des firefox avant que ca devienne la course au versionning, la bonne epoque ou y avais pas encore chrome :D

Avatar de KP2 Abonné
Avatar de KP2KP2- 16/06/15 à 07:47:44

C'est bien d'annoncer ce genre de chose.

Le problème dans la sécurité, c'est que la transparence est fondamentale. Or, quand il t'arrive une bricole et que tu l'annonces car tu es professionnel, tu passes pour un gignol.
Et si un concurrent n'annonce jamais rien, on sait pas si c'est parce qu'il est un escroc sans scrupule ou si c'est pas qu'il est tellement fort qu'il n'a pas été compromis.

Avatar de KP2 Abonné
Avatar de KP2KP2- 16/06/15 à 07:50:31

Ouais sauf que keepass est tres mal porté sous linux et macosx, n'existe pas sur smartphone et il ne s'integre pas aux navigateurs.

Keepass, c'est bien mais c'est un peu limité quand meme...

Avatar de dematbreizh Abonné
Avatar de dematbreizhdematbreizh- 16/06/15 à 07:51:06

Vekin a écrit :

Voilà pourquoi j'ai toujours des réticences à utiliser de tels services et centraliser tous mes mots de passe. Le jour où le système est compromis, tu pleures. Peut-être devrais-je regarder du côté de KeePass qui est local, je ne sais pas, car c'est quand même bien pratique.

Absolument. Pour le point 1 je suis pareil, pour keepass j'en suis satisfait (même si j'en quasi pas usage pour le moment)

Il n'est plus possible de commenter cette actualité.
Page 1 / 9