LastPass vient d'annoncer avoir détecté et bloqué une activité douteuse sur son réseau qui a eu lieu vendredi dernier. Une intrusion de " hackers " qui ont pu dérober des données en relation avec les 76 millions d'utilisateurs du gestionnaire de mots de passe.
En l'occurrence, des adresses email de comptes, des indices de mots de passe, le salage et le hachage. Par contre, le service indique n'avoir aucune preuve d'une compromission des données chiffrées ou de l'accès aux comptes des utilisateurs.
LastPass se montre du reste plutôt confiant vis-à-vis des mesures de protection (chiffrement) qu'il a mis en place :
" Nous renforçons le hachage d'authentification par un salage aléatoire et 100 000 itérations côté serveur PBKDF2-SHA256, en plus des itérations effectuées côté client. Ce renforcement supplémentaire rend difficile une attaque des hachages volés. "
Du salage est employé par utilisateur. Un mot de passe est haché des milliers de fois avant d'être envoyé à LastPass, puis haché 100 000 fois avant stockage. Cela étant, les utilisateurs sont tout de même invités à changer leur mot de passe maître par mesure de précaution.
En clair, l'expert en sécurité Graham Cluley explique que le mot de passe maître n'a pas été volé par les attaquants mais ils ont pu obtenir les hashes d'authentification qui sont utilisés par LastPass pour vérifier que le mot de passe maître est correct lorsqu'un utilisateur tente d'accéder au service.
Il n'y a priori pas de raison de paniquer, d'autant que les attaquants n'ont manifestement pas eu accès aux coffres-forts des mots de passe. Nul besoin de changer les mots de passe pour chacun de ses sites en ligne.
Si l'on devait donner une priorité, ceux qui doivent agir le plus rapidement sont ceux dont le mot de passe maître est faible (basé sur le dictionnaire) ou réutilisé sur d'autres sites. Le cas échéant, il devra également être modifié sur les autres sites.
En 2011, des anomalies détectées dans le trafic réseau de LastPass avaient déjà été à l'origine d'une demande de changement du mot de passe maître… par précaution.
