Un gestionnaire de mot de passe connu du grand public rencontre une faille de sécurité importante qui résulte d’une divulgation de données personnelles.
En Août dernier, LastPass a communiqué sur une attaque les ayant pris pour cible. Malgré une première communication réassurante de la part de l’éditeur, l’attaque s’est avérée beaucoup plus sérieuse.
Depuis peu, il a été révelé que les cybercriminels avaient pu extraire les données de milliers d’utilisateurs.
Mais quelles sont ces données ? D’après une annonce de LastPass, les voici :
- noms et prénoms
- adresses mail
- adresses de facturation
- numéro de téléphone
- adresses IP
- coffre-forts contenant tous les mots de passe enregistrés
La détention d’une copie d’un coffre-fort ne permet pas obligatoirement l’accès à son contenu. LastPass chiffre ces coffre-forts afin qu’ils ne puissent être ouvrir seulement par les personnes détenant le « master password » (mot de passe maître).
Les cybercriminels devront tenter de brute force* votre master password afin d’accéder au contenu de votre coffre-fort. Un mot de passe fort et respectant les bonnes pratiques de sécurité informatique vous rend insensible à ce type d’attaque.
LastPass’s Notice : Notice of Recent Security Incident
*brute force : attaque automatique testant des milliers de mots de passe différent à la seconde. Inutile face à un mot de passe fort.