Le piratage de LastPass en 2022 a vu des données personnelles et des sauvegardes de mots de passe chiffrés être volées. Selon les dernières informations publiées par la société de gestion de mots de passe, les pirates ont réussi à accéder au cloud de LastPass et à copier certaines données, y compris « une sauvegarde des données du coffre-fort du client à partir du conteneur de stockage chiffré ». Ce coffre-fort contient des informations sensibles, telles que les mots de passe.
Il peut sembler étrange que le coffre-fort contenant des informations cruciales se trouve en dehors de l’appareil de l’utilisateur. Cependant, cela est courant chez les gestionnaires de mots de passe, qui offrent souvent des fonctionnalités telles que la sauvegarde (pour pouvoir accéder au coffre-fort en cas de problème sur l’appareil de l’utilisateur) ou la synchronisation (pour accéder facilement aux mots de passe sur d’autres appareils, entre un PC et un smartphone par exemple).
En examinant les données du coffre-fort, il s’avère que certaines informations n’étaient pas chiffrées, car elles n’avaient pas besoin d’une protection particulière (par exemple, les adresses des sites web sur lesquels les utilisateurs ont un compte et un mot de passe enregistré). Toutefois, d’autres informations cruciales, comme les identifiants et les mots de passe, étaient chiffrées. Selon LastPass, ces éléments chiffrés sont protégés par un chiffrement AES 256 bits et ne peuvent être déchiffrés qu’en utilisant une clé de chiffrement unique dérivée du mot de passe principal de chaque utilisateur. LastPass souligne que le mot de passe principal n’est jamais connu de la société et n’est ni stocké ni conservé par elle.
Un coffre sans clé
En d’autres termes, la sauvegarde chiffrée du coffre-fort est inutilisable sans cette clé unique. Bien que certaines données périphériques soient exposées (comme les noms de sites web), cela ne permet pas d’accéder à l’espace privé de l’utilisateur. Le chiffrement et le déchiffrement des données ne sont effectués que sur l’appareil de l’utilisateur, ce qui signifie que les mots de passe chiffrés restent protégés.
Cependant, il est important de noter que bien que les mots de passe chiffrés soient protégés, il est toujours possible que des données personnelles aient été volées lors de ce piratage. Les utilisateurs de LastPass sont encouragés à changer leurs mots de passe et à être vigilant face à toute activité suspecte sur leurs comptes. En outre, il est recommandé d’utiliser des mots de passe forts et uniques pour chaque compte afin de minimiser les risques de piratage.
Enfin, il est également conseillé de faire attention aux gestionnaires de mots de passe que vous utilisez et de vérifier leur sécurité et leur réputation, bien que les mots de passe chiffrés soient protégés.
Malgré tout, il est normal de s’inquiéter lorsque des données sensibles sont dérobées, qu’elles soient chiffrées ou non. Dans le cas de LastPass, l’entreprise a rapidement réagi en avertissant ses utilisateurs et en mettant en place des mesures pour renforcer la sécurité de ses serveurs. Elle a par ailleurs mis à disposition une FAQ pour répondre aux questions les plus fréquemment posées par les utilisateurs concernant ce piratage.
Quelques conseils pour vos mots de passe
En tant qu’utilisateur de LastPass, ou de tout autre gestionnaire de mots de passe, il est important de prendre certaines précautions pour protéger vos informations. Voici quelques conseils à suivre :
-
Utilisez un mot de passe principal fort et unique pour votre compte LastPass. Un mot de passe fort est une combinaison de caractères alphanumériques, de symboles et de majuscules qui est difficile à deviner et à casser. Il est également recommandé de changer régulièrement votre mot de passe principal pour renforcer la sécurité de votre compte.
-
Activez la double authentification lorsque cela est possible. Cela permet de protéger votre compte en exigeant une deuxième preuve d’identité lors de la connexion, comme un code envoyé par SMS ou généré par une application de validation.
-
Soyez vigilant face aux phishing et aux tentatives de piratage. Ne cliquez pas sur des liens suspects ou ne donnez pas vos informations de connexion à des tiers non fiables.
En suivant ces conseils, vous pouvez protéger vos informations sensibles et minimiser les risques de piratage de vos différents comptes.