Le service de mots de passe LastPass a été victime d’une intrusion dans son système informatique.
LastPass, dont les quelque 33 millions d’utilisateurs et 100 000 clients professionnels en font le gestionnaire de mots de passe le plus populaire au monde, a été piraté. Le code source et les informations propriétaires de la plate-forme ont été volés, mais la société affirme qu’il n’y a aucune preuve que l’intrus ait accédé aux mots de passe principaux chiffrés, aux coffres-forts ou à d’autres données des utilisateurs.
LastPass a envoyé un e-mail aux utilisateurs les informant qu’une partie non autorisée avait eu accès à des parties de son environnement de développement. L’activité inhabituelle a été détectée il y a deux semaines. Le pirate s’est emparé de parties du code source interne du site et de documents relatifs à des informations techniques.
« Après avoir lancé une enquête immédiate, nous n’avons vu aucune preuve que cet incident impliquait un accès aux données client ou à des coffres-forts de mots de passe chiffrés », indique un billet de blog LastPass.
Contrairement au piratage Plex rapporté hier, LastPass ne conseille pas à ses utilisateurs de changer leurs mots de passe, les données consultées par Plex comprenaient des e-mails, des noms d’utilisateur et des mots de passe chiffrés.
L’intrus LastPass a obtenu l’accès via un seul compte de développeur compromis, bien qu’il n’y ait aucun détail sur la façon dont cela s’est produit. La société affirme avoir déployé des mesures de confinement et d’atténuation et engagé une entreprise leader dans le domaine de la cybersécurité et de la criminalistique. LastPass ajoute qu’il a mis en place des mesures de sécurité renforcées supplémentaires et ne voit aucune autre preuve d’activité non autorisée
Bien qu’il soit extrêmement populaire et qu’il s’agisse d’un excellent logiciel, ce n’est pas la première fois que LastPass fait la une des journaux pour de mauvaises raisons. En 2019, la société a corrigé une faille de sécurité qui aurait pu permettre aux pirates de récupérer les informations de connexion des derniers utilisateurs du site visités. Il y avait aussi une vulnérabilité d’extension de navigateur en 2017.
En décembre, les utilisateurs de LastPass ont commencé à signaler les tentatives de connexion à partir d’emplacements inconnus en utilisant leurs mots de passe principaux corrects. La société a affirmé que ceux-ci étaient probablement le résultat de personnes réutilisant des mots de passe sur plusieurs sites – ironiquement, ce que les gestionnaires de mots de passe sont conçus pour décourager – mais d’autres affirment qu’ils provenaient d’une autre vulnérabilité d’extension de navigateur LastPass.
Les utilisateurs de LastPass doivent télécharger l’application d’authentification pour protéger leur compte en exigeant des codes d’authentification à deux facteurs lors de la connexion.
