Suite à un incident de sécurité survenu en août, les dommages sont nettement plus importants qu’imaginé dans un premier temps, selon le gestionnaire de mots de passe.
En août, le coffre-fort de mots de passe LastPass avait été piraté. Des inconnus eurent alors accès à un service de stockage d’un acteur tiers, où étaient archivés aussi des données de production de LastPass. L’entreprise avait à l’époque rapidement réagi en déclarant qu’aucune donnée de clients n’avait fuité.
Dans une nouvelle mise à jour de la situation, Karim Toubba, CEO de LastPass, signale à présent que des données de clients, voire des mots de passe d’utilisateurs ont en fin de compte été dérobés. Les agresseurs auraient exploité les données de production initiales pour lancer une attaque d’hameçonnage (‘phishing’) sur un collaborateur de l’entreprise et ainsi mettre la main sur des clés et des jetons d’accès en vue de voler davantage de données.
Cryptés
Les pirates auraient eu accès à des données personnelles comme des noms, adresses civiles, adresses mail et numéros de téléphone. Des coffres-forts de mots de passe ont également été téléchargés, même si Toubba précise qu’ils sont cryptés et ne peuvent être décryptés qu’avec le mot de passe principal de LastPass. Or ce dernier n’est pas stocké par LastPass elle-même et demeure donc entièrement entre les mains de l’utilisateur. ‘Ces champs cryptés restent sécurisés par un cryptage AES 256 bits et ne peuvent être décryptés qu’au moyen d’une clé unique dérivée du mot de passe principal (‘master password’) de chaque utilisateur’, affirme Toubba.
Suite à la divulgation des premières données personnelles, il est évidemment possible que les agresseurs tentent de soutirer le mot de passe principal auprès de certains utilisateurs et ce, par hameçonnage ou au moyen d’autres attaques ciblées.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici