Logiciels utiles

Piratage LastPass : Comment modifier le mot de passe Maître

Par Tutos-Info , le 23 décembre 2022 , mis à jour le 23 décembre 2022 - 5 minutes de lecture
lastpass hack
5/5 - (1 vote)

Alerte rouge pour LastPass,  le plus populaire des gestionnaires de mot de passe a été piraté! Le code source semble avoir été volé.

Pour rappel LastPass permet de générer et de gérer des mots de passe pour vous connecter aux différents sites internet et applications

Mise à jour 23/12/2022 : Des informations complémentaires ont été communiquées par Lastpass

Ce que l'on sait sur le piratage de Lastpass

Les informations d’août 2022

LastPass, un important fournisseur de services de gestion de mots de passe, a reconnu qu'une partie de son code source avait été récemment volée. Les pirates ont simplement piraté le compte d'un des développeurs.

Certaines informations exclusives ont également été volées, a déclaré l'entreprise jeudi.

Après avoir lancé une enquête immédiate, nous n'avons trouvé aucune preuve que cet incident a impliqué un accès à des données de clients ou à des coffres de mots de passe chiffrés

Dans son communiqué, Lastpass indique avoir détecté fin août, une activité inhabituelle dans certaines parties de l'environnement de développement de l'application.

Le compte piraté du développeur a permis aux hackers d'accéder à des parties de l'environnement de développement, autrement dit ils ont pu accéder au code source de l'application.

Afin de rassurer ses clients, Lastpass a ajouté des mesures de sécurité supplémentaire et est actuellement en train de travailler avec des experts en cybersécurité et judiciaire.

A découvrir  FAST FEES: L’application qui va révolutionner le traitement de vos notes de frais !

Aucune activité inhabituelle n’a été détectée depuis.

Bien évidemment Lastpass n'a pas expliqué comment le développeur s'est fait pirater.

Tous les clients ont reçu un mail pour qu'ils soient avertis de la situation.

Un nouveau hack en novembre 2022

Le 30 novembre, LastPass a annoncé avoir détecté une activité anormale dans un service de stockage en ligne. Des informations client ont pu être consultées par les personnes qui ont mené l'attaque, mais le PDG de l'entreprise n'a pas donné plus de détails sur leur nature. LastPass est en train de déterminer l'ampleur de l'incident et de découvrir quelles informations ont été consultées.

L'entreprise a toutefois rassuré ses utilisateurs en indiquant que les mots de passe de ses clients sont chiffrés et sécurisés grâce à une méthode appelée "Zero Knowledge", qui garantit que seul l'utilisateur peut lire les informations stockées dans son propre espace de stockage.

LastPass a également engagé une société spécialisée en cybersécurité, Mandiant, pour gérer les risques et a informé les autorités de l'accès malveillant.

Les informations de décembre 2022

Fin décembre 2022 LastPass communique de nouvelles informations assez inquiétantes.

En effet finalement les pirates possèdent les coffres forts des utilisateurs à un instant T mais on ne sait pas précisément quand. La mauvaise nouvelle c'est que si votre mot de passe maître était faible il y a de fortes chances que les pirates puissent le trouver avec des techniques de "brute de force". Les données sont chiffrées en AES 256.

Les données des cartes bancaires n'ont pas été dérobées (méfiance tout de même sur leur communication). En effet, c'est une sauvegarde "cloud" qui a été compromise et les coffres-forts pour les cartes bancaires ne sont pas sauvegardés dedans.

A découvrir  Nvidia Shield - Oubliez le décodeur Tv de votre opérateur

Pour rappel, LASTPASS ne connaît pas votre mot de passe maître, la clé pour déchiffrer le coffre est un dérivé de votre mot de passe maître.

Ce qu'il faut comprendre c'est que les données ont été récupérées à un instant T , changer votre mot de passe ne changera rien puisque les coffres récupérés ont été chiffrés avec un ancien mot de passe.

Il y a donc plusieurs scénarios

  • Votre mot de passe maître était "faible" , il y a une forte probabilité que les pirates puissent accéder au coffre-fort. Vous devez changer TOUS vos mots de passe générés par LastPass et changer également le mot de passe maître par un mot de passe robuste.

 

  • Votre mot de passe maître était robuste, dans ce cas les pirates auront beaucoup de difficultés pour déverrouiller votre coffre, mais ce n'est pas impossible ! Je doute fortement qu'ils cherchent à utiliser la technique de brute de force pendant plusieurs années. Je vous invite tout de même à modifier les mots de passe de votre coffre-fort pour limiter les risques.

Dans tous les cas si vous voulez ne prendre aucun risque, il faut modifier le mot de passe des sites présent dans votre coffre-fort.

Réinitialiser le mot de passe maître LastPass

Connectez-vous sur votre compte puis à gauche, cliquez sur Account Setting.

le dashboard de lastpass
Modifier le "master password".

Le mot de passe est modifié, il faudra sans doute reconnecter vos comptes sur les différents équipements.

Enfin pour ceux qui recherchent une autre solution je vous invite à regarder KEEPASS ou encore BITWARDEN.

Exporter ses données LASTPASS

Vous pouvez exporter sous format .csv l'ensemble de vos données (login , mot de passe, url , carte bancaire) depuis votre Dashboard LastPass.

A découvrir  Comment récupérer des fichiers cryptés .crypt par CryptXXX
export lastpass
Exporter ses données LastPass.

Vous devez saisir votre mot de passe maître et validé.

Le fichier en .csv est alors téléchargé, attention, il contient en clair vos données !

Source : Le dernier communiqué de Last Pass

Tutos-Info

Fondateur de Tutos-Informatique, je suis Administrateur Systèmes et Réseaux. Je propose des tutoriels suite à mes interventions clients.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.