LastPass, le célèbre gestionnaire de mot de passe, vient de publier une note sur son blog affirmant qu’une “activité suspecte” sur son site Internet a été identifiée. Cependant, la compagnie a déclaré que ses mesures de chiffrement ont gardé toutes les données de ses utilisateurs en toute sécurité.
“LastPass renforce l’authentification de hachage avec un sel aléatoire et 100 000 cycles côté serveur PBKDF2-SHA256, en plus des cycles effectués côté client”, a écrit le PDG et fondateur de LastPass, Joe Siergrist. “Avec ce renforcement supplémentaire, il est difficile de déchiffrer les hashs volés”, poursuit-il.
À la suite de l’infraction soupçonnée, LastPass demande à tous ses utilisateurs qui se connectent à partir d’une nouvelle adresse IP ou d’un nouveau dispositif, de vérifier leur e-mail, à moins que l’authentification à double facteur soit activée. LastPass demande également à chacun de mettre à jour leur mot de passe principal, ce qui pourrait être tranquillisant si vous avez oublié votre désormais optionnel mot de passe.
Et pour s’assurer que tout le monde va faire cette action à temps, LastPass a envoyé un e-mail à tous ses clients à propos de cette violation. Maintenant, il semble que le site doit gérer une grande vague de clients qui tentent de conserver leurs données sécurisées, selon TechSpot.
Lundi après-midi, un message de surcharge du serveur a été visible lorsque vous avez essayé de changer votre mot de passe maître. Cependant, cela ne signifie pas que vous devez renoncer à suivre les recommandations de LastPass, surtout si la violation est pire que prévu.
Plus de peur que de mal ?
LastPass, dont le siège est en Virginie, fait des affaires dans 71 pays à travers le monde. En plus des mots de passe chiffrés, LastPass chiffre et déchiffre les informations localement avant de les synchroniser. Cela vous permet de garder vos données sensibles sur votre appareil. “La sécurité et la confidentialité sont nos principales préoccupations ici à LastPass”, a déclaré Siergrist, rassurant les clients en réponse à la violation.
Comme toujours, si vous avez réutilisé votre mot de passe principal de LastPass sur tout autre service en ligne (ce que vous ne devriez pas faire), alors vous devriez également le changer. Ceci est évidemment une évolution inquiétante pour ceux qui utilisent LastPass, et nous pourrions voir des rivaux tels que Dashlane profiter de l’occasion. Cependant, la vérité est que cela est juste un rappel que tout service en ligne, même s’il doit gérer vos données en sécurité, peut être piraté…
