Le piratage qui fait douter de la sécurité des gestionnaires de mots de passe <!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
LastPass a été victime de deux cyber attaques.
LastPass a été victime de deux cyber attaques.
©Omar TORRES / AFP

Sécurité en ligne

Le piratage qui fait douter de la sécurité des gestionnaires de mots de passe

LastPass, le célèbre gestionnaire de mots de passe, a été victime de deux cyberattaques au cours des derniers mois.

Loïc Guézo
Loïc Guézo

Loïc Guézo

Fort de 30 ans d'expérience, Loïc Guézo conseille les grandes entreprises sur leurs stratégies de défense en matière de cybersécurité. Depuis 2023, Loïc est Vice-Président du CLUSIF (association de référence de la sécurité du numérique en France, forte de 1200 membres) et par ailleurs Lieutenant-Colonel (RCDS) de la Gendarmerie Nationale, rattaché au commandement de la gendarmerie dans le cyberespace (COMCYBERGEND).
Voir la bio »

Atlantico : Que sait-on de cette cyberattaque ayant visé LastPass ?

Loïc Guezo : Une fuite de données a été déclarée par LastPass mais cela ne touchait pas les données sensibles. On a quand même eu des informations complémentaires, donc on a appris que des données personnelles avaient fuité. Des mises à jour de ces informations ont annoncé un niveau de gravité supérieur. Des informations contenant des mots de passe avaient fuité. L’attaquant avait continué à être présent dans les infrastructures, et avait obtenu des données chiffrées, mais inutilisables. 

Puis on a appris qu’un des clients de LastPass s’était fait voler par une Brute Force son portefeuille de bitcoins pour un montant de 50 000 euros, alors qu’il avait respecté toutes les conditions d’emploi, à savoir notamment la longueur minimum du mot de passe pour la clé Net. Quelqu’un aurait tout de même réussi à forcer le « masterkey ». 

Est-ce qu’on doit réinterroger la pertinence de ces gestionnaires ?

La pertinence n’est pas remise en cause, car il y a toujours une règle du choix de la solidité intrinsèque de LastPass. Ensuite, le mot de passe-maitre relève de la responsabilité de l’usager. Et les attaquants n’ont pas eu accès à des clés Net qui leur permettent d’avoir accès à des données chiffrées. 

En cas de faille, il faut être capable d’avoir l’information concernant la faille et en tant qu’utilisateur, il faut changer l’ensemble des mots de passe sur le site. 

Cela doit nous inciter à prendre des précautions supplémentaires ?

LastPass apporte de la sécurité pour mettre en place un mot de passe unique pour l’utilisateur. Mais ce mot de passe doit être vraiment complexe, sinon l’ensemble des comptes est compromis. 

Ajouter une seconde couche de sécurité avec l’authentification à deux facteurs est recommandé ?

Cela peut se faire pour le déverrouillage du portefeuille LastPass, mais là, c’est bien LastPass qui a été attaquée dans les infrastructures qui nous permettent d’extraire les données des clients. Mais ces données étaient bien gérées puisqu’elles étaient chiffrées. Le produit n’a pas montré ses insuffisances dans le module final. 

Quelle est la solution pour améliorer la sécurité ?

C’est un équilibre entre la mise en place du système et la facilité d’utilisation de cette sécurité. Le mieux est d’avoir plein de mots de passe compliqués mais c’est ingérable pour l’utilisateur. LastPass reste donc un bon moyen de sécuriser l’ensemble des mots de passe. 

Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !