Prudence pour les utilisateurs de LastPass, le service confirme une intrusion dans son infrastructure qui a conduit au vol de données personnelles.
LastPass vient de confirmer que son infrastructure avait été victime d’une intrusion la semaine dernière, une attaque qui a permis de voler des données sensibles telles que des données personnelles, notamment des adresses de courrier électronique, ainsi que des éléments liés aux mots de passe. Par contre, les mots de passe eux-mêmes n’auraient pas été touchés.
Via une note publiée sur son blog, LastPass explique que « les indices de mots de passe, le salage et le hachage d’authentification ont été compromis », sans que les mots de passe eux-mêmes soient touchés.
« Nous n’avons aucune preuve que les données chiffrées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes », souligne l’entreprise.
LastPass se veut rassurant en annonçant un renforcement du hachage d’authentification par un salage aléatoire et 100 000 itérations supplémentaires côté serveur, pour rendre pratiquement impossible une attaque en utilisant des hachages volés.
« Parce que les données encryptées de nos utilisateurs n’ont pas été volées, vous n’avez pas besoin de changer les mots de passe des sites enregistrés dans votre coffre-fort LastPass », précise encore le communiqué de l’entreprise. Il est tout de même conseillé aux utilisateurs de vérifier que l’authentification multifacteur est activée et de contrôler leur compte par le biais de leur courrier électronique, pour détecter un éventuel nouvel appareil ou adresse IP.
« Nous allons également demander à tous nos utilisateurs de changer leur mot de passe « maître ». Il n’y a pas d’urgence à changer celui-ci tant que vous n’y êtes pas invité. Cependant, si vous réutilisez votre mot de passe maître comme mot de passe pour un autre site web, vous devez remplacer les mots de passe de ces autres sites », précise encore LastPass.
Cette attaque est l’occasion de rappeler qu’un mot de passe doit être suffisamment long et complexe, et qu’un même mot de passe ne doit surtout pas être utilisé pour plusieurs services en lignes.