Le gestionnaire de mots de passe LastPass a été la cible d’une intrusion informatique. Le service recommande de changer son mot de passe maître.
LastPass, le gestionnaire de mots de passe utilisé par les internautes et les entreprises, a été victime d’une intrusion. Dans un message posté sur son site lundi, Joe Siegrist, CEO de LastPass, a révélé que les adresses email des comptes et les hash d’authentification, notamment, ont été compromis. Pour le moment, on ne sait pas combien d’utilisateurs ont été touchés.
« Nous n’avons aucune preuve que les données chiffrées de nos utilisateurs on été compromises, tout comme l’accès aux comptes », a écrit Siegrist.
La société a alerté les utilisateurs par e-mail en demandant aux personnes se connectant à partir d’un nouvel appareil ou utilisant une nouvelle adresse IP de vérifier leur compte par e-mail (à moins que l’utilisateur ne dispose d’une authentification multi-facteur).
LastPass tient à rassurer ses clients et explique que des mesures de sécurité ont été prévues lorsqu’un scénario de ce type se produit. Le service utilise par exemple une fonction (PBKDF2-SHA256) appliquée aux mots de passe maîtres qui permet de les protéger contre une attaque de type « brute-force ».
La société joue tout de même la carte de la prudence et demande à tous ses utilisateurs de changer leur mot de passe ‘maître’ si celui-ci est utilisé ailleurs sur le Web.
Ce n’est pas la première fois que le gestionnaire de mot de passe est victime d’une attaque. En 2011, des informations concernant 1,25 millions de comptes ont été volées. En 2013, un bug logiciel a exposé certains mots de passe d’utilisateurs utilisant le navigateur Internet Explorer.
