LastPass confirme que des hackers ont pu copier ses coffres-forts de mots de passe chiffrés

Quelques semaines après une nouvelle cyberattaque visant LastPass, le gestionnaire de mot de passe américain a indiqué que les pirates ont réussi à faire une copie de ses coffres-forts numériques, exposant les mots de passe de ses clients.

Partager
LastPass confirme que des hackers ont pu copier ses coffres-forts de mots de passe chiffrés

C’est une mauvaise nouvelle dont se serait bien passé LastPass, le gestionnaire de mots de passe qui revendique 33 millions de clients dans le monde. Son PDG, Karim Toubba, a révélé jeudi que de hackers étaient parvenu à faire une copie des coffres-forts de l’entreprise, contenant à la fois des informations non chiffrées, mais aussi des données chiffrées, plus sensibles, comme les mots de passe de ses clients.

Pour l’heure, “rien ne prouve que des données de cartes de crédit non chiffrées aient été consultées” car “LastPass ne stocke pas les numéros de carte de crédit complets et les informations relatives aux cartes de crédit ne sont pas archivées dans” le cloud, a-t-il ajouté.

Les mauvaises nouvelles s'enchaînent

Fin novembre, Karim Toubba avait indiqué que ses équipes avaient découvert une “activité inhabituelle au sein d’un service de stockage cloud tiers” utilisé par l’application et sa société mère, GoTo — une intrusion rendue possible par une précédente cyberattaque, intervenue en août dernier.

Si l’entreprise cherche à se montrer rassurante, et souligne que les mots de passe dérobés sous toujours protégés par une couche de chiffrement, désactivable uniquement, en théorie, par le mot de passe principal que seul le client connaît, LastPass n’exclut pas que les pirates puissent “tenter d’utiliser la force brute pour deviner [le] mot de passe principal et déchiffrer les copies des données du coffre-fort qu’ils ont prises”.

Il faudrait des millions d’années pour deviner votre mot de passe principal à l’aide des technologies” disponibles actuellement, insiste l’entreprise — tout en précisant que cette estimation est seulement correcte pour les utilisateurs qui ne réutiliseraient pas ce mot de passe principal sur d’autres sites, auquel cas “cela réduirait de manière significative le nombre de tentatives nécessaires pour le deviner correctement”.

L’entreprise redoute, en revanche, une recrudescence des tentatives de phishing auprès des clients dont les données auraient été piratées. LastPass s’engage à continuer à informer ses clients sur la situation, alors que l’enquête impliquant les forces de l’ordre et les régulateurs américains se poursuit.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS