Panique sur LastPass, 2ᵉ hacké en 5 mois

En décembre, LastPass Password Manager a de nouveau été piraté. En août, des pirates ont volé des informations vitales pour mieux revenir en décembre. LastPass a embauché la société de cybersécurité Mandiant, mais la situation semble être plus grave qu’annoncée. Dans tous les cas, comment faire à nouveau confiance à LastPass ?

Premier hack de l’année en août

Diverses informations techniques volées ont permis aux pirates de s’introduire dans des parties de l’infrastructure de LastPass stockées dans un cloud partagé avec la société mère GoTo. Des informations personnelles ont également pu être volées, et bien que Lastpass affirme que les mots de passe restent cryptés en toute sécurité (grâce à l’architecture Zero Knowledge de LastPass), l’attaque semble avoir été beaucoup plus grave qu’annoncé…

Les utilisateurs expliquent leur hack sur Twitter

Certains ont subi une attaque majeure et même leur portefeuille crypto a été vidé, malgré un long mot de passe, le cryptage des données et 2FA (authentification à deux facteurs). L’utilisateur de Twitter cité ci-dessous semble avoir conservé ses pièces sur CEX (un échange centralisé). Cependant, sur LastPass, les urls des sites ne sont pas cryptées (ce qui attire forcément plus l’attention des hackers qu’un site de jardinage). Si LastPass Authenticator était utilisé pour stocker et sauvegarder la clé 2FA, les pirates pouvaient accéder à l’échange. Il raconte son histoire ci-dessous.

Choisir un mot de passe long et complexe

Les gestionnaires de mots de passe sont gérés par un mot de passe maître. Une fois piratée, la porte est ouverte à tout le reste : mots de passe, documents personnels, etc. Par conséquent, il est très important que vous choisissiez ce mot de passe avec soin et surtout que vous ne le stockiez pas en ligne, dans le cloud ou dans un fichier texte. Trop de personnes utilisent encore des mots de passe simples (123456) comme vous pouvez le voir dans cet article « Testez votre mot de passe et votre adresse email ». Le mot de passe principal doit contenir au moins 12 caractères et ne peut pas être utilisé ailleurs.

Centralisation des données personnelles : une bonne idée ?

De nombreuses personnes utilisent depuis longtemps des gestionnaires de mots de passe sans aucun problème. Or, la centralisation des données personnelles est un véritable « pot de miel » qui attirera de plus en plus de hackers à l’avenir. Le portail France Connect lui-même a été piraté en août 2022, entraînant usurpation d’identité et fraude (notamment fraude à la carte vitale). Les noms d’entreprise, les noms d’utilisateur, les adresses de facturation, les adresses e-mail, les numéros de téléphone, les adresses IP, etc. ont été volés sur les comptes LastPass. LastPass ne peut pas encore dire si des informations bancaires ont également été volées : « Il n’y a aucune preuve que des informations de carte de crédit non cryptées aient été consultées. » Un peu vague pour des informations aussi sensibles. Dans tous les cas, attendez-vous à du phishing dans les mois à venir.

Pourquoi sécuriser mes données si je n’ai rien à cacher ?

On parle beaucoup d’identité numérique et de services publics qui s’engagent à protéger nos données personnelles. Il reste encore beaucoup de travail à faire dans ce sens (voir France Connect hack). La cybersécurité est un gros enjeu car même si vous n’avez « rien à cacher », vous ne voulez certainement pas que vos comptes bancaires soient vidés ou que votre identité soit utilisée à des fins néfastes (usurpation d’identité). C’est pourquoi il est plus que jamais impératif de protéger vos mots de passe, vos adresses e-mail, vos comptes en ligne et, bien sûr, vos portefeuilles cryptographiques. N’hésitez pas à relire l’article pour protéger votre email et vos mots de passe et suivez les bons conseils de cet autre article.

Informations fournies par LastPass sur son site Web (plus d’informations dans la section anglaise du site Web de LastPass).

Peu de gens réalisent à quel point les pirates informatiques sont créatifs lorsqu’il s’agit d’utiliser des informations personnelles. Si les administrations et les banques tentent de sécuriser au mieux les formulaires de contact, coordonnées bancaires et autres données, vous êtes également responsable de votre sécurité sur Internet. Le choix de mots de passe forts, le fait de ne cliquer sur aucun lien et les autres mesures décrites ci-dessus offrent une sécurité minimale. Dans le cas de LastPass, vous n’êtes certainement pas responsable, mais si votre mot de passe principal était faible (ou utilisé sur d’autres sites), il sera plus facile à pirater. N’attendez pas les instructions de LastPass et sécurisez vos données immédiatement.

Obtenez un tour d’horizon de l’actualité du monde de la cryptographie en vous abonnant à notre nouveau service de newsletter quotidien et hebdomadaire afin de ne manquer aucun élément essentiel de Cointribune !

Subprime, crises financières, inflation galopante, paradis fiscaux… Bitcoin a été conçu pour plus de transparence et pourrait enfin changer la donne. J’essaie de comprendre ce nouvel environnement et j’essaie de l’expliquer moi-même. La route est sans doute longue, mais elle en vaut la peine.

Laisser un commentaire