Le gestionnaire de mots de passe LastPass piraté

Stéphane Moussie |

LastPass, un service multiplateforme qui permet de stocker et synchroniser les mots de passe de tous ses comptes en ligne, a été piraté en fin de semaine dernière. Les malandrins, non identifiés, n’ont pas pu accéder aux comptes des utilisateurs, en revanche, ils ont dérobé « les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage et le hachage d’authentification ».

L'application LastPass pour Mac, disponible depuis le début de l'année

L’entreprise se veut toutefois rassurante : « LastPass renforce le hachage d’authentification par un salage aléatoire et 100 000 itérations côté serveur PBKDF2-SHA256, en plus des itérations effectuées côté client . Ce renforcement supplémentaire rend difficile une attaque des hachages volés. »

Selon le spécialiste des mots de passe Jeremi Gosney, ces mesures de sécurité, notamment les 100 000 itérations côté serveur, protègent efficacement les données dérobées.

Si les malandrins parvenaient quand même à déchiffrer le mot de passe maître du compte LastPass, ils seraient stoppés par la notification demandant de vérifier son adresse email quand on se connecte depuis un nouvel endroit (d’où la nécessité de ne jamais utiliser le même mot de passe pour différents services) ou par le second code de vérification si l’authentification en deux étapes est activée. LastPass recommande néanmoins à ses utilisateurs de changer leur mot de passe maître.

Quoi qu’en dise LastPass, cette attaque rappelle qu’aussi pratique soit-il, le « nuage » n’est pas inatteignable pour les personnes malintentionnées. Il est même une cible extrêmement intéressante puisqu’il renferme les données de nombreuses personnes.

Le gestionnaire de mots de passe 1Password, en promotion depuis hier (pour attirer les déçus de LastPass ?), permet, lui, de synchroniser les mots de passe localement, via Wi-Fi. Ainsi, on évite que le piratage d’un serveur expose l’intégralité de ses données sensibles.

avatar ovea | 

Quand on vous dit Madame l'Apple qu'on veut de l'iCloud local …

avatar Chazi | 

@ovea :
de l'iCloud local... ?

avatar AirForceTwo | 

J'imagine qu'il parle de serveur local. Mais ce n'est pas du cloud.

C'est très différent d'Amazon Web Services par exemple, qui est en mesure de récupérer vos données même si un missile vient s'abattre sur le datacenter principal hébergeant vos données. Ça c'est du cloud, du vrai.

avatar SugarWater | 

Pas sur le nuage, rien ne vaut la maison :)

avatar MacGyver | 

dites donc, vous etes rapide pour sortir les news de cette importance :)

avatar Strix | 

Il y a une promo 1Password en ce moment non ?

:P

avatar mac-ignare | 

C'est quoi un I Cloud local ? un disque dur perso ? non ?

avatar Cocopop | 

Le partenariat Macgé/1Password commence à être un peu trop "présent"... Entre la news à chaque fois qu'il y a une promo sur l'application et les mises en avant dans des articles de sécurité çà commence à faire beaucoup.

avatar Xap | 

@Cocopop :
C'est pas leur faute si ce logiciel est le meilleur hein ^^

Et puis ils parlent aussi beaucoup de Dashlane pour ceux qui préfèrent un abonnement.

avatar Strix | 

@Cocopop :
Bien d'accord !

MacG, faites de la pub pour des solutions non abouties !
Marre de ces articles sur les logiciels efficaces !

avatar r e m y | 

ben il leur arrive aussi de faire des articles sur OS X, non?

avatar vrts | 

putain arretez de raler parce que MacG veut gagner de l'argent, vous utilisez MacG gratuitement non ? alors on se detend est on les laisse gagner leur vie bande d'ingrats.

avatar karayuschij | 

Vive Dashlane !

avatar le ratiocineur masqué | 

"Lastpass" aurait du s'appeller "Firsthacked".

avatar GlobeTrotteur | 

Comme le note justement l'article, je pense également que la promo de 1Password n'est pas étrangère à la déconvenue de Lastpass.
On ne va pas leur jeter la pierre pour cet opportunisme. C'est le business.
Cela dit 1password est effectivement un excellent produit.
L'essayer c'est l'adopter. Je l'utilise en synchro locale pour éviter les mauvaises surprises du cloud.

Avec une authentification en 2 étapes via une clef Yubikey (que j'utilise avec mon compte Google par exemple, ou précédemment avec Lastpass), je n'hésiterais plus à faire la synchro via le Cloud.

avatar Orus | 

Je pense que la création d'une unité d'intervention anti-hackers pouvant agir partout dans le monde, est désormais irréversible. Voilà l'avenir délirant qui nous attends.

avatar Switcher | 

@ Orus

Et c'est la qu'on s'apercevra que les vilains "hackers" sont des mercenaires / fonctionnaires de nos "démocraties vertueuses" ou des "vilaines dictatures qui mangent les enfants". ;)

Et puis, "une unité d'intervention anti-hackers pouvant agir partout dans le monde" ça s'appelle GI Joe non ?
Mais c'était un dessin animé : dans la vie réelle, va donc prendre la température de ce type de projet aux USA, en Russie ou en Chine... Ou alors, il faudrait un Gouvernement Mondial Unifié, quoi...

avatar Liena | 

Ou du p2p sans intermédiaire avec un nas maison... Du cloud ? Oui mais du cloud maison :-)

avatar poco | 

Le Cloud, la dernière invention du secteur informatique pour vous croquer de l'argent tout les mois et mettre vos données perso (et même pro pour les plus téméraires) à disposition. Le pire c'est que les moutons font la queue pour se faire tondre.

CONNEXION UTILISATEUR