Piraté ? Ce gestionnaire de mot de passe très populaire répond
Il est peut-être temps de mettre à jour votre équipement, voire vos identifiants.
Une masse critique d’utilisateurs du gestionnaire de mots de passe LastPass aurait décelé des tentatives de connexion réussies à leur compte, utilisant donc le code maître qui permet d’accéder à l’app puis à tous leurs autres mots de passe. Impossible de savoir précisément combien de victimes ont été visées pour le moment, néanmoins le chiffre est probablement important puisque l’éditeur a depuis réagi et publiquement.
Selon lui, il n’y aurait tout simplement rien à craindre avec son password manager. Une affirmation qui inquiète tout de même bon nombre de clients, qui affirment pour leur part avoir bel et bien été informés d’un accès à distance réalisé par un tiers.
Pour LastPass en revanche, ses services ne seraient pas compris mais l’attaque aurait pu être perpétrée par une fuite de données issue d’autres entreprises. Il arrive en effet que des fichiers soient en vente libre sur le darknet, puis utilisés par des hackers pour tenter d’accéder à telle ou telle plateforme. Car oui, beaucoup utilisent encore le même mot de passe sur divers services : ce serait donc leur faute.
UPDATE: To reiterate, we have no indication that #LastPass was breached or compromised.
Here’s how LastPass protects you and steps you can take to stay secure: https://t.co/gNNjx333ps pic.twitter.com/rcWSIo9Q1x
— LastPass (@LastPass) December 29, 2021
Solutions
Pire encore: il semble que parmi les plaignants, beaucoup n’ont tout simplement pas mis à jour leur mot de passe depuis longtemps. Or, il est conseillé de justement le faire régulièrement afin d’éviter ce genre de débâcle.
Si vous pensez avoir été ciblé, le plus judicieux reste donc pour le moment de changer votre mot de passe maître. Vous pouvez également activer la double authentification. Celle-ci vous demandera de valider chaque connexion depuis l’un de vos appareils.
Gare aux promesses trop alléchantes
Comme pour l’iPhone qui se déverrouille sans l’autorisation de son propriétaire avec Pegasus ou Predator, aucun programme n’est infaillible, pas même un gestionnaire de mots de passe vendu comme “sécurisé”.
Un internaute malveillant peut ainsi, que ce soit avec de l’ingénierie sociale ou tout simplement en ayant accès physiquement à vos machines, compromettre ces dernières. Il est même possible, dans certains cas faisant par exemple appel à des failles zero-day, de réaliser de telles opérations de vol de données ou de surveillance en toute discrétion. Les applications de chiffrement ne sont alors pas toujours suffisantes face à la menace.
jb
29 décembre 2021 à 18 h 00 min
C’est quoi l’intérêt de changer son mot de passe régulièrement? S’il est compromis, il faut le changer tout de suite. Dans le cas contraire, ça avance à quoi de le changer?
SebC
5 janvier 2022 à 15 h 37 min
Changer son DAS régulièrement permet de se protéger contre une attaque de longue haleine visant à compromettre ce fameux mot de passe (ce dont on ne s’aperçoit pas nécessairement rapidement).
L’effet pernicieux est que les gens ont du coup tendance à mettre des mots de passe similaires, “pour s’en souvenir”, d’une fois sur l’autre :
ex : motdepasse-01 => motdepasse-02
Ce qui tue complètement l’interet.
De mon coté, je préfère mettre une bonne grosse phrase, bien longue (mais que je vais taper rarement), et activer la double authent.
Du coup, je ne la change pas, le risque de compromission étant faible, et le MFA couvre suffisamment le risque residuel.