Le système de mot de passe LastPass piraté. L’éditeur confirme le passage malveillant de visiteurs qui ont mis la main sur les données des clients de l’entreprise.
LastPass est un coffre fort de mot de passe. Au lieu de retenir des dizaines de précieux sésames, l’excellent LastPass propose de les sauvegarder dans son service et de ne retenir que le password proposé par le service, le mot de passe principal, dit maître. Sauf que si un pirate met la main sur cet unique clé généraliste, le danger est réel. Autant dire que le malveillant n’a plus qu’à se servir. C’est ce qui semble se passer pour LastPass.
L’entreprise vient de confirmer une intrusion dans son serveur. Sur son blog, l’éditeur explique qu’une enquête est en cours et qu’elle a pour le moment « démontré que les adresses mails des comptes LastPass, ainsi que des informations dédiées aux mots de passe (mais pas les mots de passe directement, NLDR), le salage et le hachage d’authentification ont été piratés« .
Bref, pas besoin de vous faire un dessin. Changez votre mot de passe LastPast, comme le propose les ingénieurs de Lastpast. Les utilisateurs touchés ont/vont reçu/recevoir un courriel. On peut aussi conseiller de modifier l’ensemble des mots de passe sauvegardés dans l’outil, sait-on jamais… ou prenez des vitamines pour sauvegarder vos précieux uniquement dans votre cerveau. Les utilisateurs qui passeraient par un nouveau matériel doivent, de nouveau, se valider par mail.
lastpass ne conserve pas le master password, donc pas de vol immediat. Par contre, possibilité de se faire casser son coffre par brute force sur le long terme, puisqu’ils disposeraient des hash pour travailler dessus… D’où la nécessité de changer son mot de passe Maître.
Et si les coffres ont été volés, il est préférable de tout changer (last pass propose un systeme de changement automatique pour les principaux sites).
Quand à utiliser son cerveau pour stocker une centaine de mots de passe aléatoire, je n’y crois pas trop… On peut toujours utiliser des logiciels type keypass, mais au moIns, lastpass suit les évolutions technologiques… A chacun de voir ce qui lui convient le mieux…