PiratageLe gestionnaire de mots de passe laisse ses clients dans l’expectative
Des pirates ont volé des coffres-forts de sésames du populaire service LastPass, qui tente de rassurer ses utilisateurs.
Coup dur pour le crédit du gestionnaire de mots de passe et sa promesse commerciale.
L’éditeur LastPass a fini par lâcher le morceau. Alors qu’il avait annoncé le mois dernier l’accès de cybercriminels à «certains éléments» des informations clients, il en a désormais précisé la gravité. La société, dont la promesse commerciale est de conserver les mots de passe dans un seul endroit sécurisé, a indiqué que les pirates ont pu «copier une sauvegarde des données du coffre-fort client». Par coffre-fort, il faut «songer à un coffre-fort physique, mais pour les objets de valeur en ligne», selon le descriptif de la société. Cela signifie que, théoriquement, les cybercriminels peuvent accéder à tous ces mots de passe… à condition de casser les clés de chiffrement des données des coffres-forts volés.
Zone grise
LastPass tente de rassurer ses clients en affirmant que leurs données sont en sécurité en cas de mot de passe principal robuste avec les paramètres par défaut les plus récents. Mais, dans le même temps, la firme invite ceux qui ont «un mot de passe faible ou moins de sécurité» à «envisager de minimiser les risques en modifiant les mots de passe des sites web stockés». Cela signifie ni plus ni moins le travail fastidieux de changer les mots de passe pour chaque site web pour lesquels ils avaient fait confiance à LastPass pour les stocker. Et LastPass n’a jusqu’ici proposé aucun outil pour que les clients puissent savoir si leur sésame peut être qualifié de robuste ou pas.
LastPass boucle mal une année qui avait commencé par une bourde peut-être prémonitoire. Des utilisateurs avaient reçu une fausse alerte de la part du service leur indiquant que leur mot de passe principal avait été compromis après une attaque informatique.