LastPass hacké : mot de passe maître à changer

Le par  |  0 commentaire(s) Source : LastPass
LastPass

Le gestionnaire de mots de passe LastPass a été la cible de hackers et des données ont été dérobées. Par mesure de précaution, il est demandé aux utilisateurs de changer leur mot de passe maître.

LastPass vient d'annoncer avoir détecté et bloqué une activité douteuse sur son réseau qui a eu lieu vendredi dernier. Une intrusion de " hackers " qui ont pu dérober des données en relation avec les 76 millions d'utilisateurs du gestionnaire de mots de passe.

En l'occurrence, des adresses email de comptes, des indices de mots de passe, le salage et le hachage. Par contre, le service indique n'avoir aucune preuve d'une compromission des données chiffrées ou de l'accès aux comptes des utilisateurs.

LastPass se montre du reste plutôt confiant vis-à-vis des mesures de protection (chiffrement) qu'il a mis en place :

" Nous renforçons le hachage d'authentification par un salage aléatoire et 100 000 itérations côté serveur PBKDF2-SHA256, en plus des itérations effectuées côté client. Ce renforcement supplémentaire rend difficile une attaque des hachages volés. "

Du salage est employé par utilisateur. Un mot de passe est haché des milliers de fois avant d'être envoyé à LastPass, puis haché 100 000 fois avant stockage. Cela étant, les utilisateurs sont tout de même invités à changer leur mot de passe maître par mesure de précaution.

LastPass-logoEn clair, l'expert en sécurité Graham Cluley explique que le mot de passe maître n'a pas été volé par les attaquants mais ils ont pu obtenir les hashes d'authentification qui sont utilisés par LastPass pour vérifier que le mot de passe maître est correct lorsqu'un utilisateur tente d'accéder au service.

Il n'y a priori pas de raison de paniquer, d'autant que les attaquants n'ont manifestement pas eu accès aux coffres-forts des mots de passe. Nul besoin de changer les mots de passe pour chacun de ses sites en ligne.

Si l'on devait donner une priorité, ceux qui doivent agir le plus rapidement sont ceux dont le mot de passe maître est faible (basé sur le dictionnaire) ou réutilisé sur d'autres sites. Le cas échéant, il devra également être modifié sur les autres sites.

En 2011, des anomalies détectées dans le trafic réseau de LastPass avaient déjà été à l'origine d'une demande de changement du mot de passe maître… par précaution.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]