Panique chez LastPass, le 2ᵉ hack en 5 mois

L’application de gestion de mots de passe LastPass vient de nouveau d’être hackée en décembre. En août, les hackers avaient dérobé des informations essentielles pour mieux revenir en décembre. LastPass a engagé la société de cybersécurité Mandiant, mais la situation semble plus grave que celle annoncée. En tout état de cause, comment faire confiance de nouveau à LastPass ?

Premier hack de l’année en août

Diverses infos techniques volées avaient permis aux hackers de pénétrer dans certaines parties de l’infrastructure de LastPass, stockées dans un cloud partagé avec la société mère GoTo. Ils ont également pu dérober des données personnelles et, bien que Lastpass affirmait que les mots de passe restent cryptés en toute sécurité (grâce à l’architecture Zero Knowledge de LastPass), il semble que l’attaque était bien plus grave que celle annoncée…

Les utilisateurs expliquent leur hack sur Twitter

Certains ont subi une attaque massive et même leur wallet crypto a été vidé, malgré un mot de passe long, un encryptage des données, et un 2FA (double authentification). Il semble que l’utilisateur Twitter cité ci-dessous conservait ses cryptos sur un CEX (exchange centralisé). Or, sur LastPass, les url des sites ne sont pas cryptés (ce qui attire forcément l’attention des hackers, davantage qu’un site sur le jardinage). Si LastPass Authenticator était utilisé pour stocker et sauvegarder la clé 2FA, alors les hackers ont pu accéder à l’exchange. Il raconte son histoire ci-dessous.

I think the situation at @LastPass may be worse than they are letting on.

On Sunday the 18th, four of my wallets were compromised. The losses are not significant.

Their seeds were kept, encrypted, in my lastpass vault, behind a 16 character password using all character types.

— path.eth 🛡️ (@Cryptopathic) December 23, 2022

Choisir un mot de passe long et complexe

Les gestionnaires de mot de passe sont gérés par un mot de passe maître. Une fois celui-ci piraté, c’est la porte ouverte vers tout le reste : mots de passe, documents personnels, etc. Il est donc très important de bien choisir ce mot de passe et surtout de ne pas le sauvegarder en ligne, dans un cloud ou un fichier texte. Trop de gens utilisent encore des mots de passe simples (123456), comme on peut le constater dans cet article, « Testez votre mot de passe et adresse mail ». Le mot de passe maître doit être d’au moins 12 caractères et ne doit pas être utilisé sur un autre site.

Centralisation des données personnelles : une bonne idée ?

Beaucoup utilisent des gestionnaires de mot de passe sans aucun problème depuis longtemps. Toutefois, la centralisation de données personnelles est un véritable « pot de miel » qui, à l’avenir, attirera de plus en plus de hackers. Le portail France Connect a été lui-même hacké en août 2022, ce qui a entraîné des campagnes de phishing et des fraudes (notamment la fraude à la carte vitale). Dans les comptes LastPass, ce sont les noms des entreprises, noms d’utilisateurs, adresses de facturation, adresses mail, numéros de téléphone, adresses IP et bien d’autres informations qui ont été volés. LastPass ne peut pas encore dire si les informations bancaires ont été volées également : « Rien ne prouve que des données de cartes de crédit non cryptées aient été consultées ». Un peu vague pour des informations aussi sensibles. En tout cas il faut s’attendre à une campagne de phishing dans les mois à venir.

Pourquoi sécuriser mes données si je n’ai rien à cacher ?

On parle beaucoup d’identité numérique et des services publics qui s’engagent à sécuriser nos données personnelles. Il y a encore beaucoup de travail à faire en ce sens (voir le hack de France Connect). La cybersécurité est un enjeu majeur, car même si vous n’avez « rien à cacher », vous n’avez certainement pas envie que vos comptes bancaires soient vidés ou que votre identité soit utilisée à des fins crapuleuses (usurpation d’identité). Il est donc plus que jamais essentiel de protéger vos mots de passe, vos adresses mails, vos comptes en ligne et bien entendu vos wallets cryptos. N’hésitez pas à relire l’article pour sécuriser vos mails et mots de passe et suivez les excellents conseils dans cet autre article.

Informations données par LastPass sur son site (plus d’infos dans la partie en anglais du site de LastPass).

Peu de gens se rendent compte à quel point les hackers sont créatifs pour utiliser les données personnelles. Si les administrations et les banques essaient de sécuriser au mieux les formulaires de contact, données bancaires et autres données, vous êtes aussi responsables de votre sécurité sur internet. Choisir des mots de passe forts, ne pas cliquer sur n’importe quel lien et autres mesures décrites précédemment, vous assurent un minimum de sécurité. Dans le cas de LastPass, vous n’êtes certes pas responsables, néanmoins, si votre mot de passe maître était faible (ou utilisé sur d’autres sites), il sera plus facilement piratable. N’attendez pas les instructions de LastPass et sécurisez vos données immédiatement.