Sur le blog de la société, les équipes de LastPass ont annoncé que les infrastructures avaient subi une attaque le week-end dernier. Cette attaque n’est pas très grave, mais les ingénieurs recommandent toutefois de modifier le mot de passe maître. Les mots de passe protégés n’auraient pas été compromis.

LastPass

Dans un article de blog particulièrement détaillé, les équipes du fameux logiciel de gestionnaire de mots de passe LastPass (concurrent de 1Password) ont dévoilé les détails de cette attaque. Durant le week-end, des pirates ont réussi à mettre la main sur certaines données des utilisateurs du service : les adresses e-mail, les indices de mot de passe, le salage et la fonction de hachage. Toutefois, même avec ces données, les pirates n’auraient pas réussi à accéder aux mots de passe maîtres des utilisateurs et donc aux mots de passe stockés par les serveurs. Cela s’explique par l’architecture utilisée par LastPass pour accéder aux données protégées (plus de 100 000 itérations de la fonction PBKDF2-SHA256).

Afin d’éviter que l’attaque ne débouche sur un vol des mots de passe, l’équipe de LastPass a pris des mesures un peu plus draconiennes. Ainsi, l’accès au compte depuis un nouvel appareil ou une nouvelle adresse IP requiert une double vérification par e-mail, à moins que le compte soit déjà protégé avec l’authentification multifacteur. Il sera également demandé aux utilisateurs de modifier leur mot de passe maître. Il semblerait que tous les utilisateurs ne soient pas affectés par cet incident de sécurité puisque l’équipe précise qu’il ne sert à rien de modifier son mot de passe pour les utilisateurs qui ne recevraient pas de mail de la part de LastPass. Mais l’article demande toutefois aux utilisateurs qui ont utilisé ce mot de passe sur d’autres sites web de le modifier sur ces sites afin d’éviter une attaque grâce à l’adresse e-mail.

A lire sur le sujet : LastPass passe (enfin) à Material Design

Last Pass en profite pour rappeler que les mots de passe trop simples, basés sur les dictionnaires (comme « robert1, mustang, 123456799, password1! ») sont à proscrire et doivent être modifiés le plus rapidement possible.