Actu

LastPass : le gestionnaire de mots de passe piraté, et cette fois des données personnelles font partie du lot

01 décembre 2022
Par Benjamin Logerot
Victime de deux attaques malveillantes en moins de six mois, LastPass prévient que des données utilisateurs ont pu être touchées.
Victime de deux attaques malveillantes en moins de six mois, LastPass prévient que des données utilisateurs ont pu être touchées. ©TierneyMJ via Shutterstock

Le gestionnaire de mots de passe LastPass a subi une nouvelle attaque informatique. Cette fois, d’après le président de l’entreprise, des données utilisateurs ont pu être dérobées.

Le PDG de LastPass l’assure, les mots de passe stockés par les utilisateurs n’ont pas été touchés, puisque ceux-ci sont bien chiffrés. Une enquête est en cours pour déterminer à quel point l’intrusion a été grave et quel genre d’informations ont potentiellement pu récupérer les pirates.

Une nouvelle attaque

Les gestionnaires de mots de passe sont utilisés par des millions d’utilisateurs dans le monde sur PC et smartphones, dans une époque où la sécurisation de nos accès internet est devenue cruciale. Stocker ses mots de passe trop longs pour être retenus est une bonne solution pour ne pas perdre la tête. Encore faut-il que les gestionnaires soient suffisamment sécurisés.

LastPass, un des principaux gestionnaires de mots de passe du marché, avait déjà subi une attaque informatique en août dernier. Seulement quelques morceaux du code source du logiciel ainsi que de la documentation avaient été volés.

lastpass
L’enquête est encore en cours pour déterminer si les acteurs malveillants ont eu accès à trop de données sensibles des utilisateurs. En attendant, le gestionnaire de mots de passe continue de tourner pour tous. ©LastPass

L’entreprise qui gère le logiciel avait mené une enquête approfondie et avait pu rassurer ses utilisateurs. Mais hier, le Président Directeur Général de LastPass, Karim Toubba, a pris la parole une nouvelle fois sur le blog du service. Il y annonce qu’il a été une nouvelle fois victime d’une intrusion malveillante et que cette fois-ci, les acteurs avaient pu accéder à des informations d’utilisateurs.

Une enquête en cours

L’entreprise, nous dit Karim Toubba, a découvert il y a peu une activité suspecte dans les services de stockage dans le cloud d’une entreprise tierce partagée par LastPass et une autre filiale de leur maison mère LogMeIn. L’entreprise a immédiatement lancé une enquête en faisant appel à une société spécialisée dans la cybersécurité.

Selon les premiers résultats de l’enquête, un acteur malveillant aurait utilisé des informations obtenues lors de l’attaque du mois d’août pour s’infiltrer dans le système et obtenir un accès à des données utilisateurs.

Les mots de passe stockés n’ont pas pu être consultés puisque ceux-ci sont chiffrés via une architecture spéciale développée par le gestionnaire. LastPass continue son travail d’enquête et recommande de la prudence à ses utilisateurs en les tournant vers les bonnes pratiques du logiciel.

Pour éviter ce genre de déconvenues et de stress, les passkeys sont en train d’être déployés un peu partout dans le monde – même sur des gestionnaires de mots de passe – pour proposer de nouveaux types d’authentification sans mots de passe.

À lire aussi

Article rédigé par