Panique chez LastPass, 2ᵉ piratage en 5 mois

L’application de gestion de mots de passe LastPass a été piratée en décembre. En août, des pirates ont volé des informations vitales pour mieux revenir en décembre. LastPass a embauché la société de cybersécurité Mandiant, mais la situation semble être plus grave qu’annoncée. Dans tous les cas, comment faire à nouveau confiance à LastPass ?

Premier hack de l’année en août

Diverses informations techniques volées ont permis aux pirates d’accéder à des parties de l’infrastructure de LastPass, stockées dans un cloud partagé avec la société mère GoTo. Ils ont également pu voler des données personnelles, et bien que Lastpass affirme que les mots de passe restent cryptés en toute sécurité (grâce à l’architecture Zero Knowledge de LastPass), il semble que l’attaque était beaucoup plus grave qu’annoncé…

Les utilisateurs expliquent leur hack sur Twitter

Certains ont subi une attaque massive et ont même vu leur portefeuille crypté vidé, malgré un long mot de passe, le cryptage des données et 2FA (authentification à deux facteurs). Il semble que l’utilisateur de Twitter mentionné ci-dessous ait stocké ses pièces sur un CEX (échange centralisé). Cependant, dans LastPass, les URL des sites ne sont pas cryptées (ce qui attire inévitablement l’attention des pirates, plus qu’un site de jardinage). Si LastPass Authenticator était utilisé pour stocker et sauvegarder la clé 2FA, les pirates pourraient accéder à l’échange. Il raconte son histoire ci-dessous.

Choisir un mot de passe long et complexe

Les gestionnaires de mots de passe sont gérés par un mot de passe maître. Une fois piratée, la porte est ouverte à tout le reste : mots de passe, documents personnels, etc. Il est donc très important de bien choisir ce mot de passe et surtout de ne pas le sauvegarder en ligne, dans le cloud ou dans un fichier texte. Trop de personnes utilisent encore des mots de passe simples (123456), comme on peut le voir dans cet article « Testez votre mot de passe et votre adresse email ». Le mot de passe principal doit comporter au moins 12 caractères et ne peut pas être utilisé sur un autre site.

À Lire  Comment savons-nous si les graines que nous conservons pousseront ?

Centralisation des données personnelles : une bonne idée ?

Beaucoup utilisent des gestionnaires de mots de passe depuis longtemps sans aucun problème. Or, la centralisation des données personnelles est un véritable « pot de miel » qui attirera de plus en plus de hackers à l’avenir. Le portail France Connect lui-même a été piraté en août 2022, ce qui a entraîné des campagnes de phishing et des escroqueries (principalement fraude à la carte vitale). Des noms d’entreprise, des noms d’utilisateur, des adresses de facturation, des adresses e-mail, des numéros de téléphone, des adresses IP, etc. ont été volés sur des comptes LastPass. LastPass ne peut toujours pas dire si des informations bancaires ont également été volées : « Rien n’indique que des données de carte de crédit non cryptées ont été consultées. » Un peu vague pour des informations aussi sensibles. En tout cas, une campagne de phishing est attendue dans les mois à venir.

Pourquoi sécuriser mes données si je n’ai rien à cacher ?

On parle beaucoup d’identité numérique et de services publics qui s’engagent à sécuriser nos données personnelles. Il reste encore beaucoup de travail à faire à cet égard (voir le hack de France Connect). La cybersécurité est un enjeu majeur car même si vous n’avez « rien à cacher », vous ne souhaitez certainement pas que vos comptes bancaires soient vidés ou que votre identité soit utilisée à des fins néfastes (usurpation d’identité). Il est donc plus important que jamais de protéger vos mots de passe, vos adresses e-mail, vos comptes en ligne et, bien sûr, vos portefeuilles cryptographiques. N’hésitez pas à relire l’article pour sécuriser vos emails et mots de passe et suivez les bons conseils de cet autre article.

À Lire  Conseil jardinage de Marie Marcat : l'héliconia, une plante aux allures tropicales

Informations fournies par LastPass sur son site Internet (plus d’informations sur la section anglaise du site Internet de LastPass).

Personne ne se rend compte que des hackers créatifs utilisent des données personnelles. Alors que les administrations et les banques essaient de protéger au mieux les formulaires de contact, coordonnées bancaires et autres données, vous êtes également responsable de votre propre sécurité sur Internet. Choisir des mots de passe forts, ne pas cliquer sur les liens et les autres mesures décrites ci-dessus garantissent un minimum de sécurité. Avec LastPass, vous n’êtes certainement pas responsable, cependant, si votre mot de passe principal est faible (ou utilisé sur d’autres sites), il est plus facile à pirater. N’attendez pas les instructions de LastPass et protégez vos données immédiatement.

Obtenez un tour d’horizon des nouvelles du monde de la crypto-monnaie en vous abonnant à notre nouveau service de newsletter quotidien et hebdomadaire afin de ne pas manquer un Cointribune essentiel !

Subprimes, crises financières, inflation galopante, paradis fiscaux… Bitcoin a été conçu pour plus de transparence et peut-être à terme changer la donne. J’essaie de comprendre ce nouvel environnement et d’essayer de m’expliquer. La route est sans doute longue, mais elle en vaut la peine.