L’entreprise de gestion des mots de passe en ligne LastPast vient d’annoncer que son réseau a été compromis vendredi dernier. Pour plus de fidélité, voici un extrait de la communication faite par LastPass à ses clients. « Nous souhaitons informer notre communauté que vendredi, notre équipe a détecté et bloqué immédiatement une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données cryptées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage, et le hachage d’authentification ont été compromis ».
Bien que la firme ne donne pas de détails sur le fait que les données volées aient pu être exploitées pour accéder aux comptes des utilisateurs, elle les incite néanmoins à suivre un certain nombre de recommandations en vue de garantir la sécurité de leurs données sur le site. « Nous demandons à tout utilisateur se connectant depuis un nouvel appareil ou depuis une nouvelle adresse IP de valider en premier lieu leur compte via leur adresse e-mail, à moins que vous n’utilisiez l’authentification multifacteur. Comme précaution supplémentaire, nous demanderons également à nos utilisateurs de changer leur mot de passe maître ».
Concernant cette dernière mesure de sécurité de changement du mot de passe maitre, une invitation a été envoyée aux utilisateurs qui sont directement affectés par le vol de ces données. Les autres utilisateurs de la plateforme n’ayant pas reçu de mail d’invitation pour changer leur mot de passe maitre ne sont pas obligés de le faire à moins de réutiliser le mot de passe maître comme mot de passe pour un autre site web. Dans ce cas, « vous devez remplacer les mots de passe de ces autres sites ».
LastPass rassure toutefois ses clients en déclarant que « nous sommes confiants en nos mesures de cryptage pour couvrir la protection de la majorité de nos utilisateurs. LastPass renforçant le hachage d’authentification par un salage aléatoire et 100,000 itérations côté serveur PBKDF2-SHA256, en plus des itérations effectuées côté client. Ce renforcement supplémentaire rend difficile une attaque des hachages volés ».
Il faut également rappeler que cette compromission du réseau de LastPass n’est pas la première du genre. Quatre ans plus tôt, et plus précisément en mai 2011, un incident similaire s’était produit sur le site. LastPass avait demandé à ses clients de changer leurs mots de passe maitre, mais cette mesure s’est avérée difficile à réaliser à cause de la ruée des personnes désirant effectuer le changement en même temps.
Comme en 2011, LastPass souligne qu’elle travaille en collaboration avec des experts en sécurité pour offrir le meilleur de la sécurité à ses clients.
Source : blog Last Pass
Et vous ?
Que pensez-vous de cette exposition des données de LastPass ?
Le gestionnaire de mots de passe LastPass piraté
L'entreprise suggère plusieurs mesures dont le changement du mot de passe maitre
Le gestionnaire de mots de passe LastPass piraté
L'entreprise suggère plusieurs mesures dont le changement du mot de passe maitre
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !