Au mois d'août dernier, le gestionnaire de mots de passe LastPass avait informé d'une intrusion et d'un accès à un environnement de développement (isolé de l'environnement de production), via la compromission du compte d'un développeur.

Grâce à l'exploitation d'informations obtenues, un tiers non autorisé a par la suite été en mesure d'avoir accès à certaines données de clients de LastPass. Lié au premier, ce deuxième incident de sécurité a été révélé fin novembre.

Malgré cette mauvaise nouvelle, la communication de LastPass était plutôt rassurante. Toutefois, les choses empirent désormais et l'exercice de transparence de LastPass - même s'il est à saluer - devient de plus en plus délicat.

De mal en pis

LastPass indique désormais que l'attaquant a pu copier une " sauvegarde des données du coffre-fort du client à partir d'un conteneur de stockage chiffré. " La notion de coffre-fort fait forcément tiquer, en pensant aux coffres-forts de mots de passe chiffrés. Pas de précision cependant pour savoir si la sauvegarde était récente ou pas.

Le billet de blog de LastPass souligne que l'assaillant peut avoir en sa possession des données en clair comme des URL de sites web, ainsi que des données complètement chiffrées comme les identifiants et mots de passe pour des sites, notes sécurisées et données de formulaires.

" Ces champs chiffrés restent sécurisés par un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé de chiffrement unique dérivée du mot de passe maître de chaque utilisateur. […] Le mot de passe maître n'est jamais connu de LastPass et n'est pas stocké ou conservé par LastPass. "

À envisager au cas où

En ayant suivi les pratiques idoines pour le choix du mot de passe maître, le succès d'une attaque par force brute paraît très peu probable. " Il faudrait des millions d'années pour deviner votre mot de passe maître à l'aide d'une technologie généralement disponible pour casser des mots de passe ", assure LastPass.

À défaut des bonnes pratiques et notamment celles en vigueur depuis 2018, LastPass recommande tout de même d'envisager de minimiser les risques en modifiant les mots de passe des sites web qui ont été enregistrés… De quoi froncer les sourcils pour certains.

Des métadonnées telles que des noms d'entreprises, noms d'utilisateurs, adresses de facturation, adresses email, numéros de téléphone et adresses IP à partir desquelles des clients accédaient au service LastPass ont par ailleurs été exposées. Attention dès lors au phishing et autres tentatives d'arnaques.