La violation de données LastPass vient de s’aggraver… Encore une fois
S’il vous plaît, arrêtez d’utiliser LastPass.
Après avoir été piraté en août, LastPass a promis que les données des clients étaient en sécurité. Plus tard, la société a admis que les données des clients avaient été compromises, mais a affirmé que les mots de passe des utilisateurs ne faisaient pas partie de la violation de données. Malheureusement, LastPass était complètement et totalement faux.
Selon un nouveau communiqué de presse LastPass, les pirates ont obtenu une « sauvegarde des données du coffre-fort client » lors de la grande faille de sécurité plus tôt cette année. Les informations stockées dans ces données de coffre-fort sont chiffrées, mais un pirate peut les déchiffrer à l’aide de votre mot de passe principal, c’est-à-dire le mot de passe que vous utilisez pour vous connecter à LastPass.
Si votre mot de passe principal LastPass est quelque chose de simple, comme « password1234 » ou « guitarhero1984 », vous êtes probablement foutu. Les pirates peuvent facilement deviner ces mots de passe simples en utilisant la force brute. Pour des raisons de sécurité, veuillez changer immédiatement votre mot de passe sur chaque site Web. (Un gestionnaire de mots de passe concurrent qui n’a pas été piraté, tel que 1Password, peut vous aider à faire le travail.)
Les utilisateurs qui ont créé un mot de passe principal fort peuvent être en clair. Du moins, c’est ce que dit LastPass. L’entreprise affirme qu’il serait « extrêmement difficile » de deviner les mots de passe principaux pour les clients qui suivraient les directives des « meilleures pratiques » de l’entreprise.
« L’acteur de la menace peut tenter d’utiliser la force brute pour deviner votre mot de passe principal et déchiffrer les copies des données du coffre-fort qu’il a prises. En raison des méthodes de hachage et de cryptage que nous utilisons pour protéger nos clients, il serait extrêmement difficile de tenter de deviner par force brute des mots de passe principaux pour les clients qui suivent nos meilleures pratiques en matière de mots de passe.
Même si vous utilisez un mot de passe principal fort, il est possible que des pirates tentent de vous soutirer certaines informations. LastPass avertit qu’il « ne vous appellera jamais, ne vous enverra jamais d’e-mail ou de SMS et vous demandera de cliquer sur un lien pour vérifier vos informations personnelles ».
Pour être clair, LastPass enquête toujours sur cette violation de données. Et après quatre mois de « désolé, c’est pire que ce que nous pensions », les clients s’inquiètent à juste titre que LastPass n’ait pas tous les détails. Pour autant que nous sachions, les choses pourraient encore empirer.
Nous avons demandé à nos lecteurs d’arrêter d’utiliser LastPass en juillet 2020. Et nous vous implorons toujours d’éviter ce service. LastPass a un long historique de violations de données, dont deux se sont produites cette année !
Source : Last Pass