Le mois d’août a apporté de mauvaises nouvelles pour LastPass et ses utilisateurs. Ce service de gestion de mots de passe a été compromis et une partie de son code volé, lors d’une attaque qui semble avoir laissé les utilisateurs intacts.
Au fil du temps, et avec l’évaluation de cette situation plus en détail, plus d’informations ont émergé. À chaque nouvelle mise à jour, le scénario empirait et davantage de données étaient consultées. Maintenant, dans le plus récent, il est clair que le scénario est bien pire que ce à quoi on pourrait s’attendre.
Bien qu’il s’agisse d’un service doté de plusieurs couches de sécurité, LastPass a été trop exposé à des problèmes. Il existe déjà plusieurs situations signalées qui montrent que des pirates et d’autres attaquants ont réussi à voler des données de cette plate-forme.
Le plus récent, et celui qui a eu le plus d’impact, s’est produit en août, où apparemment seuls du code et d’autres données avaient été volés. Avec ces informations, il était possible d’accéder à d’autres services cloud qu’ils utilisent et où ils avaient stocké des données pertinentes.
L’attaquant a également pu copier une sauvegarde des données du coffre-fort des clients à partir d’un stockage crypté, qui est stocké dans un format binaire propriétaire contenant des données non cryptées telles que des URL de sites Web, ainsi que des champs confidentiels entièrement cryptés tels que des noms d’utilisateur et des mots-clés de sites Web. – passer, sécuriser les notes et les données remplies dans les formulaires.
Dans la dernière mise à jour de cette situation, il a maintenant été expliqué que les données des utilisateurs avaient été volées après tout. Celles-ci se trouvaient dans le service cloud auquel on avait accédé, bien que certaines parties de ces informations extraites soient cryptées.
La bonne nouvelle est que la clé principale pour accéder à ces données est toujours en possession de l’utilisateur et non entre les mains de LastPass ou même stockée dans ses services. L’ensemble du processus d’accès aux données est effectué localement sur les appareils de l’utilisateur.
Cependant, cela n’indique pas que les données sont réellement inaccessibles aux attaquants. Ceux-ci peuvent essayer d’utiliser des mécanismes d’attaque par force brute pour déterminer les clés de chiffrement et ainsi accéder aux données. Plus la clé principale définie est grande, plus il faudra de temps aux attaquants pour la découvrir.
Toutes ces données ne laissent pas LastPass bien vu aux yeux des utilisateurs. L’information a changé, ce qui révèle l’ouverture de l’entreprise au problème, mais c’est aussi la preuve qu’il n’y a toujours pas de certitude sur l’ampleur de ce vol de données.
Envie de vous détendre un peu ? Voici un reportage sur l’intelligence artificielle :
