Piratage de LastPass : les coffres-forts chiffrés exposés

Karim Toubba, PDG de LastPass, a fait le point, le 22 décembre 2022, sur le piratage informatique dont a été victime le gestionnaire de mots de passe américain, fin novembre 2022. Cette intrusion a été rendue possible par une précédente cyberattaque, en août 2022.

Karim Toubba a confirmé que les cybercriminels étaient parvenus à copier les coffres-forts des 33 millions de clients de LastPass. Ces coffres-forts contiennent des informations personnelles non-chiffrées, incluant noms d’utilisateur, adresses de facturation, e-mails, numéros de téléphone ou adresses IP.

Les coffres-forts indiquent aussi en clair les différents services, applications et sites où l’internaute utilise LastPass. En revanche, les identifiants et mots de passe liés à ces services demeurent chiffrés pour les pirates.

« Ces éléments chiffrés restent sécurisés par un chiffrement AES 256 bits et ne peuvent être déchiffrés qu’à l’aide d’une clé de chiffrement unique dérivée du mot de passe principal de chaque utilisateur […] Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass », précise l’entreprise américaine.

La société ajoute qu’il « faudrait des millions d’années pour deviner votre mot de passe principal à l’aide d’une technologie courante de craquage de mots de passe ». La force brute serait à peine plus efficace, grâce aux choix techniques de LastPass pour définir les mots de passe maîtres, défend la compagnie.

En revanche, un utilisateur de LastPass ayant choisi un mot de passe principal qu’il utilise pour un autre service est en danger, et doit le modifier au plus vite.

En dehors de ce cas, le risque principal que fait courir cette intrusion aux utilisateurs est le phishing. Les cybercriminels disposent en effet de tous les éléments nécessaires pour se faire passer pour LastPass et extorquer ainsi des informations sensibles, notamment ce fameux mot de passe maître.