Le célèbre service de gestion des mots de passe LastPass est dans une mauvaise passe. Alors que l’activité de l’entreprise américaine est de protéger ses clients des fuites de données en sécurisant leurs mots de passe, la firme est dans la tourmente après un piratage informatique qui est en train de virer à la catastrophe. L’attaque a même été recensée par Wired dans le top du pire des piratages informatiques de 2022.
Une intrusion de quatre jours
Pour LastPass, les ennuis ont commencé en août. La firme déplore à ce moment une première intrusion informatique. Si l’entreprise cherche alors à calmer le jeu, remarquant que ses produits et services fonctionnent normalement, elle admet toutefois que des parties de son code source ont fuité.
Puis, dans un message ultérieur, LastPass précise que le pirate a pu rester sur son réseau quatre jours, sans preuve d’un éventuel accès à des données clients ou à des coffres-forts chiffrés de mots de passe.
Après enquête, l’entreprise estime que le hacker malveillant a pu pénétrer sur le réseau en se faisant passer pour un développeur, contournant ainsi l’authentification multifactorielle.
Fuite de données d’ampleur
Mais deux nouveaux messages, en novembre et à la fin décembre, prouvent que l’incident est loin d’être terminé pour LastPass.
Le dernier message, publié quelques jours avant Noël, est le plus inquiétant. Via un service de stockage cloud tiers, le pirate informatique a ainsi pu mettre la main sur des données de clients, comme des adresses de messagerie, des adresses IP ou des numéros de téléphone, ainsi que sur des coffres-forts de mots de passe chiffrés.
Comme l’admet LastPass, l’attaquant peut donc tenter de retrouver des mots de passe en testant à la volée toutes les combinaisons possibles. En raison du chiffrement utilisé (AES 256 bits), il « serait extrêmement difficile » de le faire pour les internautes ayant suivi les préconisations en matière de robustesse de mot de passe, précise toutefois l’entreprise. Il faudrait alors, ajoute LastPass, « des millions d’années » à un attaquant « pour deviner votre mot de passe principal ».
Polémique
Des affirmations rassurantes pourtant contestées par plusieurs experts du secteur. Cette mention de millions d’années de calcul pour identifier le mot de passe de la cible « semble reposer sur l’hypothèse que le mot de passe à 12 caractères de l’utilisateur a été généré par un processus complètement aléatoire », remarque Jeffrey Goldberg, le patron de la sécurité d’un service concurrent, 1Password. Or, ajoute-t-il, « les mots de passe créés par les humains sont loin de répondre à cette exigence ».
Comme relevé par The Verge, d’autres spécialistes, tel le chercheur en sécurité Wladimir Palant, ont également fustigé des omissions dans la communication de LastPass. Pour ce dernier, l’argumentation de l’entreprise vise d’abord à rejeter la responsabilité d’éventuels déboires sur ses clients qui n’auraient pas utilisé un mot de passe maître fort.
Ces derniers sont d’ailleurs invités par LastPass à changer d’urgence leurs mots de passe de services tiers.
Problèmes récurrents
Si LastPass est autant critiquée, c’est parce qu’elle commence à accumuler un grand nombre de problèmes de sécurité informatique. Selon Jeremi Gosney, la firme, qu’il accuse d’ignorer la communauté des chercheurs en sécurité informatique, a été victime de sept failles de sécurité majeures en 10 ans.
En 2021, par exemple, des mots de passe maîtres de certains utilisateurs avaient été révélés à la suite d’une attaque par bourrage d’identifiants, selon LastPass. L’année d’avant, l’entreprise avait connu une panne majeure. Et en 2019, un important problème de sécurité avait été découvert, tout comme en 2017 et en 2016.
Autant dire que la confiance dans le service de LastPass est pour le moins ébranlée. Ce qui explique les appels et les guides pour changer de gestionnaire de mots de passe, un outil essentiel pour la sécurité informatique dont l’utilisation est recommandée par l’Anssi.