Après avoir été piraté en août, LastPass a promis que les données de ses clients étaient en sécurité. Plus tard, la société a admis que les données des clients avaient été compromises, mais a affirmé que les mots de passe des utilisateurs ne faisaient pas partie de la violation des données. Malheureusement, LastPass s’est complètement et totalement trompé.
Selon un nouveau communiqué de presse, les pirates ont obtenu une « sauvegarde des données de la chambre forte des clients » de LastPass lors de la grande violation de sécurité du début de l’année. Les informations stockées dans ce coffre sont chiffrées, mais un pirate peut les déchiffrer en utilisant votre mot de passe principal, c’est-à-dire le mot de passe que vous utilisez pour vous connecter à LastPass. Autrement dit, si vous avez un compte que vous utilisez pour stocker des mots de passe et des informations de connexion sur LastPass, ou si vous en aviez un et que vous ne l’aviez pas supprimé avant cet automne, votre coffre-fort de mots de passe est peut-être entre les mains des pirates.
Si votre mot de passe principal LastPass est quelque chose de simple, comme « password1234 » ou « guitarhero1984 », vous êtes probablement dans l’embarras. Les pirates peuvent facilement deviner ces mots de passe simples par brute force. Pour des raisons de sécurité, changez immédiatement votre mot de passe sur tous les sites Web (un gestionnaire de mots de passe rival qui n’a pas été piraté, tel que 1Password ou Dashlane, peut vous aider à accomplir cette tâche).
Les utilisateurs qui ont créé un mot de passe principal fort peuvent être tranquilles. C’est du moins ce que dit LastPass. L’entreprise affirme qu’il serait « extrêmement difficile » de deviner les mots de passe maîtres des clients qui ont suivi les directives de « meilleures pratiques » de l’entreprise.
« L’acteur de la menace peut tenter d’utiliser le brute force pour deviner votre mot de passe principal et déchiffrer les copies des données du coffre-fort qu’il a prises. En raison des méthodes de hachage et de chiffrement que nous utilisons pour protéger nos clients, il serait extrêmement difficile de tenter de deviner par brute force les mots de passe maîtres pour les clients qui suivent nos meilleures pratiques en matière de mots de passe », indique la société.
Une vraie faille
Même si vous utilisez un mot de passe principal fort, il est possible que les pirates tentent de vous soutirer des informations. LastPass prévient qu’elle « ne vous appellera jamais, ne vous enverra jamais d’e-mail ou de SMS pour vous demander de cliquer sur un lien afin de vérifier vos informations personnelles ».
Pour être clair, LastPass enquête toujours sur cette violation de données. Et après quatre mois de « désolé, c’est pire que ce que nous pensions », les clients s’inquiètent à juste titre du fait que LastPass ne dispose pas de tous les détails. Pour ce que nous en savons, les choses pourraient encore empirer.
Je vous recommande d’éviter LastPass ! LastPass a un long historique de violations de données, dont deux ont eu lieu cette année !
