Le gestionnaire de mots de passe LastPass est sous les feux de la rampe après avoir avoué avoir été victime de deux piratages aux mois d’août et octobre 2022. La firme a publié son rapport d’enquête et explique comment les pirates informatiques sont parvenus à mettre la main sur les informations personnelles de leurs utilisateurs.

Tous les experts en sécurité nous le disent, c’est important et judicieux d’utiliser un gestionnaire de mots de passe. Ça permet d’avoir des mots de passe longs, forts et surtout diversifiés pour chacun de nos comptes et donc de réduire drastiquement les risques que nos comptes soient piratés.

Seulement la confiance envers les gestionnaires de mots de passe en a pris un coup. LastPass, un des gestionnaires de mots de passe les plus utilisés au monde, a avoué avoir été victime de deux attaques informatiques. La première attaque est survenue au mois entre le 12 et 26 août 2022 et la deuxième en octobre 2022.

Dans un rapport d’enquête publié sur leur site, LastPass détaille comment ces attaques ont pu survenir et le moins que l’on puisse dire c’est que ça ne rassurera personne…

Un keylogger a fait dérailler la sécurité de LastPass

En décembre 2022, LastPass avouait sur son blogue avoir été victime d’une attaque informatique qui avait compromis certaines informations de ses utilisateurs.

Noms d’utilisateurs

Adresse de facturation

Adresses courriel

Adresses IP

Numéro de téléphone

Autant d’informations qui peuvent être utilisées pour lancer des attaques d’hameçonnages sur les utilisateurs pour tenter de leur soutirer le mot de passe maître de leur compte LastPass.

Car oui, les pirates sont aussi parvenus à mettre la main sur les mots de passe et les coffres-forts des usagers. Heureusement, le tout est protégé par chiffrement. Pour les déchiffrer, il faut le mot de passe maître et cette information n’est pas stockée par LastPass.

Bien que déjà alarmant, cette nouvelle prend une nouvelle ampleur quand on lit le rapport d’enquête de LastPass.

On y apprend que les pirates informatiques sont parvenus à voler ces données en pénétrant sur l’ordinateur personnel d’un ingénieur informatique sénior de LastPass. Ils ont ensuite installé un logiciel enregistreur de frappe (keylogger) pour voler ses mots de passe.

Avec les mots de passe de l’ingénieur en main, ils ont pu extirper les informations nécessaires pour orchestrer leur deuxième attaque en octobre.

Cette deuxième attaque a alors visé un espace de stockage en nuage sur les serveurs d’Amazon (AWS). Cet espace, réservé à 4 développeurs de LastPass, héberge les voûtes et copies de sauvegardes de l’entreprise.

Voilà ainsi comment les pirates informatiques sont parvenus à mettre la main sur les informations précédemment énumérées.

Doit-on faire confiance en LastPass?

Bien que LastPass fait preuve de transparence en dévoilant le tout, il reste que ces révélations concernant le piratage de leur gestionnaire de mots de passe ont de quoi ébranler la confiance des utilisateurs.

La bonne nouvelle, s’il y en a une, c’est que les pirates n’ont pas concrètement accès aux mots de passe et aux informations dans les coffres-forts des utilisateurs puisque le tout est protégé par chiffrement.

Par contre, toute cette histoire illustre les lacunes majeures de sécurité de l’entreprise.

Tous les utilisateurs de LastPass sont ainsi à risque de compromettre leurs mots de passe s’ils tombent dans un piège d’hameçonnage orchestré par les pirates.

Certes, il existe des trucs pour détecter les tentatives d’hameçonnages, mais sortir puis supprimer ses mots de passe de leur gestionnaire pourrait être également très judicieux afin d’éviter tout risque.

Il existe évidemment d’autres gestionnaires de mots de passe où l’on peut stocker nos précieuses informations.