Le gestionnaire de mots de passe confirme que des mots de passe chiffrés ont été dérobés par des pirates lors d’une attaque datée d’août dernier.
Et joyeux Noël. C’est sans doute la mâchoire un peu serrée que LastPass a mis en ligne un nouveau billet de blog clarifiant ses connaissances à propos d’un piratage dont le gestionnaire de mots de passe a été victime cet été.
Faut-il s’inquiéter ?
Alors que l’on pensait l’histoire close, LastPass nous apprend que l’éditeur a de nouveaux éléments à communiquer au sujet du piratage dont nous vous rapportions la teneur il y a quelques semaines.
Lors du dernier point effectué par l’entreprise, on avait appris que des données personnelles avaient bien été dérobées mais qu’aucun mot de passe ne faisait partie du lot. Ce n’est plus le cas, rapporte aujourd’hui le gestionnaire de mots de passe aux 30 millions d’utilisateurs.
Dans son billet de blog, Karim Toubba, le PDG de l’entreprise, admet aujourd’hui que des mots de passe chiffrés ont bien été dérobés par les pirates et que ceux-ci essaient de les déchiffrer. Mais il ne faudrait pas s’inquiéter outre mesure, assure l’intéressé.
Par essence, un contenu chiffré est très difficile à lire
Pour être plus précis, les pirates auraient réussi à mettre la main sur le coffre-fort de certains utilisateurs. Coffre-fort qui renferme de manière chiffrée tous les mots de passe renseignés par les clients de l’entreprise. Or, sans la clé maîtresse, uniquement connue de l’utilisateur, impossible d’accéder au contenu du coffre.
« Ces champs sécurisés sont chiffrés avec le protocole 256-bit AES et ne peuvent être déchiffrés que par une clé unique dérivée du mot de passe maître que les utilisateurs sont les seuls à connaître. Pour rappel, le mot de passe maître n’est jamais connu de LastPass et n’est pas stocké ni opéré par LastPass. », rassure Karim Toubba.
Alors que faire si vous craigniez de faire partie des personnes dont des pirates tentent d’accéder aux données ? Malheureusement pas grand-chose. Nous l’avons vu, il est très improbable que les hackers parviennent à faire quoi que ce soit de ces données illisibles. En revanche, il est possible que les pirates essaient d’hameçonner leurs victimes en se faisant passer pour LastPass afin que leurs victimes leur donnent volontairement leur mot de passe maître. Restez donc particulièrement vigilants à l’expéditeur d’un éventuel email, et n’accédez pas à LastPass depuis un lien inscrit dans un email.
