LastPass piraté : à la recherche des mots de passe perdus

Les serveurs de LastPass ont été particulièrement sollicités ces dernières heures… au point de tomber à plusieurs reprises.

Cet emballement autour du gestionnaire de mots de passe et d’identités numériques s’explique par l’attaque informatique dont l’éditeur du service dit avoir été victime.

L’entreprise américaine, dont le siège européen se trouve en région parisienne, a communiqué ce lundi 15 juin sur un incident intervenu en fin de semaine dernière. En l’occurrence, « une activité douteuse détectée [le vendredi] et bloquée immédiatement ».

Dans sa contribution blog sur le sujet, le P-DG Joe Siegrist s’attache à dissiper l’inquiétude qui pourrait naître de la nature même de LastPass, assimilable à un « coffre-fort numérique » qui livrerait bien des trésors à quiconque en récupérerait l’accès.

Ainsi diverses mesures ont-elles été prises, dont certaines déjà appliquées en 2011, lors de la dernière alerte au piratage sur LastPass.

En premier lieu, la réinitialisation du compte est forcée pour toute tentative de connexion depuis un appareil ou une adresse IP inhabituels. Dans les autres cas, il est demandé aux utilisateurs d’effectuer une validation par e-mail, à moins qu’ils aient mis en place un dispositif d’authentification forte grâce à l’une des options proposées (Toopher, Duo Security, Yubico, etc.).

Il sera progressivement demandé à tous les utilisateurs de modifier leur mot de passe maître. Certains l’ont déjà fait, mais la réussite n’est pas systématique : la connexion au compte devient parfois impossible, à en croire les témoignages qui remontent sur les réseaux sociaux… où la nouvelle du hack est par ailleurs sortie avant d’être officialisée par LastPass.

Un butin chiffré

Quel bilan pour cette attaque ? Officiellement, les assaillants ont récupéré les adresses e-mail associées aux comptes d’utilisateurs, les indices éventuellement définis pour retrouver leur mot de passe, mais aussi l’algorithme de salage (ajout de caractères aléatoires dans le mot de passe) et le hachage d’authentification, ce dernier étant utilisé pour donner à LastPass la permission d’ouvrir une session.

D’après Joe Siegrist, lesdits hashs sont suffisamment chiffrés (« 100 000 itérations côté serveur PKBDF2-SHA256 ») pour retarder le travail des pirates le temps de réinitialiser le mot de passe maître.

Généralement recommandé par les experts en sécurité IT pour pallier les limites du cerveau humain (qui ne retient typiquement qu’une demi-douzaine de mots de passe que l’on a tendance à réutiliser), LastPass fonctionne sur un modèle économique freemium.

L’offre de base, gratuite, permet la synchronisation entre les navigateurs Web sur Windows, Mac et Linux, le remplissage automatique des formulaires (profils pour chaque carte de crédit, membre de la famille ou encore adresse de facturation), le partage d’identifiants de connexion, un générateur de mots de passe et l’authentification multifactorielle.

La formule Prime ajoute la synchronisation mobile illimitée, des options supplémentaires pour l’authentification forte et une assistance technique prioritaire. Avec l’offre Enterprise, on bénéficie d’une console d’administration centralisée, d’une intégration Active Directory, de dossiers partagés avec options de permissions ou encore de règles de sécurité et stratégies d’accès paramétrables.

Crédit illustration : Jochen Schoenfeld – Shutterstock.com