LastPass, l’un des gestionnaires de mots de passe les plus populaires au monde avec plus de 33 millions d’utilisateurs, a annoncé en août de cette année qu’il était victime d’une attaque de cybercriminels qui ont eu accès au code source et aux informations techniques de l’entreprise et les ont volés.
Quelques semaines plus tard, la société a fait le point sur l’attaque et a déclaré que, bien que les cybercriminels aient eu accès à son système, cet accès était limité à l’environnement de développement, de sorte que les données des utilisateurs n’ont pas été compromises.
Selon une déclaration du PDG de la société, Karim Toubba, l’attaque du mois d’août a duré quatre jours. En outre, il a été garanti que « rien ne prouve que la menace ait persisté après cette période. Nous pouvons également confirmer qu’il n’y a aucune preuve que des informations sur les utilisateurs aient été consultées pendant cet incident. »
Selon le dirigeant, les cybercriminels ont eu accès à l’environnement de développement de LastPass parce que la sécurité de l’une des personnes travaillant dans cet environnement a été compromise et parce que les attaquants se sont fait passer pour l’un des employés après avoir authentifié son identité.
En réponse, Toubba a informé les clients et les utilisateurs de LastPass que le code source du site web avait été analysé pour s’assurer qu’aucun code malveillant n’avait été introduit, et que la société s’était associée à une entreprise de cybersécurité pour renforcer la sécurité de ses systèmes.
En revanche, LastPass a déclaré que les contrôles de sécurité et de surveillance, ainsi que les technologies utilisées par les équipes de développement et de productivité, ont été améliorés.
« Nous reconnaissons que les incidents de sécurité, quels qu’ils soient, sont déstabilisants, mais nous voulons nous assurer que les informations personnelles et les mots de passe sont sécurisés dans notre cas », a expliqué le dirigeant de l’entreprise.
Suggestions pour des phrases de passe solides
La sécurité des mots de passe utilisés pour accéder à des comptes ou à des profils sur des pages web susceptibles de contenir des informations sensibles est cruciale ; les particuliers devraient donc tenir compte d’une série de recommandations pour garantir la sécurité de leurs mots de passe et éviter d’être victimes de cyberattaques.
En général, chaque mot de passe pour chaque compte ou profil, qu’il s’agisse de réseaux sociaux ou d’e-mails, doit être unique. Ainsi, si un cybercriminel accède à un compte en utilisant ce mot de passe, il ne pourra pas l’utiliser pour accéder à un autre service.
En outre, il est recommandé de changer fréquemment de mot de passe à des fins de sécurité. Cela réduit la probabilité qu’un mot de passe non autorisé soit utilisé pour accéder à un compte.
Dans le cas des entreprises et des organisations, il est essentiel de favoriser une culture de la sécurité en investissant dans un système de sécurité adéquat et en demandant aux employés de changer régulièrement leurs mots de passe afin d’éviter qu’une seule cyberattaque ne paralyse l’ensemble de l’organisation.
Pour renforcer la sécurité d’un compte, il est possible d’activer l’authentification en deux étapes, ce qui permet à l’utilisateur d’empêcher à distance tout accès non autorisé à un profil. Cela peut impliquer une question, des informations biométriques ou une clé dynamique envoyée à un appareil personnel.