03-01-2023, 07:53
Le gestionnaire de mots de passe LastPass sous le feu des critiques :
Une intrusion de quatre jours : La firme annonce que les ennuis ont commencé en août, il y a eu une première intrusion informatique. Dans un message ultérieur, LastPass précise que le pirate a pu rester sur son réseau quatre jours, sans preuve d’un éventuel accès à des données clients ou à des coffres-forts chiffrés de mots de passe. Après enquête, l’entreprise estime que le hacker malveillant a pu pénétrer sur le réseau en se faisant passer pour un développeur, contournant ainsi l’authentification multifactorielle.Fuite de données d’ampleur : Deux nouveaux messages, en novembre et à la fin décembre, prouvent que l’incident est loin d’être terminé pour LastPass.
Le dernier message, publié quelques jours avant Noël, est le plus inquiétant. Via un service de stockage cloud tiers, le pirate informatique a ainsi pu mettre la main sur des données de clients, comme des adresses de messagerie, des adresses IP ou des numéros de téléphone, ainsi que sur des coffres-forts de mots de passe chiffrés.
Comme l’admet LastPass, l’attaquant peut donc tenter de retrouver des mots de passe en testant à la volée toutes les combinaisons possibles. En raison du chiffrement utilisé (AES 256 bits), il « serait extrêmement difficile » de le faire pour les internautes ayant suivi les préconisations en matière de robustesse de mot de passe, précise toutefois l’entreprise. Il faudrait alors, ajoute LastPass, « des millions d’années » à un attaquant « pour deviner votre mot de passe principal ».
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
