Violation des données LastPass : il est temps d’abandonner ce gestionnaire de mots de passe

Vous l’avez entendu encore et encore : vous devez utiliser un gestionnaire de mots de passe pour générer des mots de passe forts et uniques et en garder une trace pour vous. Et si vous avez finalement sauté le pas avec une option gratuite et grand public, notamment dans les années 2010, c’était probablement LastPass. Pour les 25,6 millions d’utilisateurs du service de sécurité, cependant, la société a fait une annonce inquiétante le 22 décembre : Un incident de sécurité que l’entreprise avait précédemment signalé (le 30 novembre) était en fait une violation de données massive et préoccupante qui a exposé des coffres-forts de mots de passe cryptés – les joyaux de la couronne de tout gestionnaire de mots de passe – ainsi que d’autres données utilisateur.

Les détails fournis par LastPass sur la situation il y a une semaine étaient suffisamment inquiétants pour que les professionnels de la sécurité commencent rapidement à demander aux utilisateurs de passer à d’autres services. Maintenant, près d’une semaine après la divulgation, la société n’a pas fourni d’informations supplémentaires aux clients confus et inquiets. LastPass n’a pas renvoyé les multiples demandes de commentaires de WIRED sur le nombre de coffres-forts de mots de passe compromis lors de la violation et le nombre d’utilisateurs touchés.

L’entreprise n’a même pas précisé quand la violation s’est produite. Cela semble avoir été quelque temps après août 2022, mais le moment est important, car une grande question est de savoir combien de temps il faudra aux attaquants pour commencer à « craquer », ou à deviner, les clés utilisées pour chiffrer les coffres-forts de mots de passe volés. Si les attaquants ont eu trois ou quatre mois avec les données volées, la situation est encore plus urgente pour les utilisateurs de LastPass impactés que si les pirates n’ont eu que quelques semaines. La société n’a pas non plus répondu aux questions de WIRED sur ce qu’elle appelle « un format binaire propriétaire » qu’elle utilise pour stocker des données de coffre-fort cryptées et non cryptées. En caractérisant l’ampleur de la situation, la société a déclaré dans son annonce que les pirates étaient « capables de copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage crypté ».

« À mon avis, ils font un travail de classe mondiale en détectant les incidents et un travail vraiment, vraiment minable en évitant les problèmes et en répondant de manière transparente », déclare Evan Johnson, un ingénieur en sécurité qui a travaillé chez LastPass il y a plus de sept ans. « Je serais soit à la recherche de nouvelles options, soit à voir un regain d’intérêt pour renforcer la confiance au cours des prochains mois de la part de leur nouvelle équipe de direction. »

La violation inclut également d’autres données client, notamment les noms, adresses e-mail, numéros de téléphone et certaines informations de facturation. Et LastPass a longtemps été critiqué pour le stockage de ses données de coffre-fort dans un format hybride où des éléments comme les mots de passe sont cryptés mais d’autres informations, comme les URL, ne le sont pas. Dans cette situation, les URL en clair d’un coffre pourraient donner aux attaquants une idée de ce qu’il contient et les aider à prioriser les coffres à pirater en premier. Les coffres, qui sont protégés par un mot de passe principal sélectionné par l’utilisateur, posent un problème particulier aux utilisateurs qui cherchent à se protéger à la suite de la violation, car changer ce mot de passe principal maintenant avec LastPass ne fera rien pour protéger les données du coffre qui sont déjà volé.

Ou, comme le dit Johnson, « avec les coffres récupérés, les personnes qui ont piraté LastPass ont un temps illimité pour les attaques hors ligne en devinant les mots de passe et en essayant de récupérer les clés principales d’utilisateurs spécifiques ».