Mis à jour le jeudi 22 décembre 2022
À notre communauté LastPass,
Nous vous avons récemment informé que des personnes non autorisées ont eu accès à un service de stockage tiers basé sur le Cloud, que LastPass utilise pour stocker des sauvegardes archivées de nos données de production. Conformément à nos engagements de transparence, nous tenons à vous informer de l’évolution de notre enquête en cours.
Qu’avons-nous appris ?
Au cours de l’enquête que nous avons menée jusqu’à présent, nous avons appris qu’une personne malveillante inconnue a pu accéder à un environnement de stockage basé sur le Cloud en exploitant les informations obtenues lors de l’incident que nous avions déjà révélé en août 2022. Bien que l’incident d’août 2022 n’ait pas permis d’accéder aux données des clients, du code source et des informations techniques ont été dérobés dans notre environnement de développement et utilisés pour cibler un autre employé, obtenant ainsi des informations d’identification et des clés qui ont été utilisées pour accéder et déchiffrer plusieurs volumes de stockage dans le service de stockage basé sur le Cloud.
Les services de production de LastPass opèrent actuellement à partir de centres de données sur site, le stockage dans le Cloud étant utilisé à des fins diverses telles que le stockage des sauvegardes et les obligations de résidence régionale des données. Le service de stockage dans le Cloud auquel a accédé la personne malveillante est physiquement séparé de notre environnement de production.
À ce jour, nous avons déterminé qu’une fois que la clé d’accès au stockage dans le Cloud et la double clé de déchiffrement du conteneur de stockage ont été obtenues, la personne malveillante a copié les informations de la sauvegarde qui contenait des informations de base sur les comptes clients et les métadonnées associées, y compris les noms des sociétés, les noms des utilisateurs finaux, les adresses de facturation, les e-mails, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass.
La personne malveillante a également pu copier une sauvegarde des données du coffre-fort des clients à partir du conteneur de stockage chiffré. Ces données sont stockées dans un format binaire propriétaire comprenant à la fois des données non chiffrées, comme les URL des sites Web, et des champs sensibles entièrement chiffrés, comme les noms d’utilisateur et les mots de passe des sites Web, les notes sécurisées et les données remplies dans les formulaires. Ces champs chiffrés sont toujours sécurisés par un chiffrement AES 256 bits et ne peuvent être déchiffrés qu’à l’aide d’une clé de chiffrement unique dérivée du mot de passe maître de chaque utilisateur, grâce à notre architecture « zéro connaissance ». Pour rappel, LastPass n’a jamais connaissance du mot de passe maître. Il ne le stocke pas ni ne le conserve. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local. Pour plus d’informations sur notre architecture zéro connaissance et nos algorithmes de chiffrement, veuillez consulter cette page.
Il n’existe aucune preuve que des données de cartes de crédit non chiffrées ont pu être consultées. LastPass ne stocke pas les numéros complets des cartes de crédit et les informations relatives aux cartes de crédit ne sont pas archivées dans cet environnement de stockage dans le Cloud.
Que cela signifie-t-il ? Les clients courent-ils un risque avec leurs données ?
La personne malveillante peut tenter de recourir à la technique de l’attaque par force brute pour deviner votre mot de passe maître et déchiffrer les copies des données du coffre-fort qu’elle a dérobées. Les méthodes de hachage et de chiffrement que nous utilisons pour protéger nos clients font qu’il serait extrêmement difficile de tenter de deviner au moyen d’une attaque par force brute les mots de passe maîtres des clients qui suivent nos meilleures pratiques en matière de mots de passe. Nous soumettons régulièrement les dernières techniques de cassage de mots de passe à des tests contre nos algorithmes afin de maintenir à niveau et d’améliorer nos contrôles cryptographiques.
La personne malveillante peut également cibler les clients avec des attaques par phishing, par credential stuffing, ou d’autres attaques par force brute sur les comptes en ligne associés à votre coffre-fort LastPass. Pour vous protéger contre les attaques d’ingénierie sociale ou de phishing, il est important de savoir que LastPass ne vous appellera jamais, ni ne vous enverra d’e-mail ou de SMS pour vous demander de cliquer sur un lien afin de vérifier vos informations personnelles. Hormis lors de la connexion à votre coffre-fort depuis un client LastPass, LastPass ne vous demandera jamais votre mot de passe maître.
Que devraient faire les clients LastPass ?
Pour rappel, voici les paramètres par défaut et les meilleures pratiques pour le mot de passe maître de LastPass :
- Depuis 2018, nous exigeons que les mots de passe maître comportent au moins douze caractères. Cela restreint considérablement la possibilité de deviner un mot de passe au moyen d’une attaque par force brute.
- Pour renforcer davantage la sécurité de votre mot de passe maître, LastPass utilise une implémentation de 100 100 itérations (une valeur plus forte que le nombre habituellement utilisé) de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2). Cet algorithme de renforcement de mot de passe complique la découverte de votre mot de passe maître. Vous pouvez vérifier ici le nombre actuel d’itérations PBKDF2 pour votre compte LastPass.
- Nous vous recommandons également de ne jamais réutiliser votre mot de passe maître sur d’autres sites Web. Si vous réutilisez votre mot de passe maître et que celui-ci a été compromis, une personne malveillante peut utiliser des données d’identification compromises déjà disponibles sur Internet pour tenter d’accéder à votre compte (c’est ce que l’on appelle une attaque par « credential stuffing »).
Questions fréquentes
- Mon mot de passe principal ou celui de mes utilisateurs a-t-il été compromis ?
- Les données stockées dans mon coffre-fort ou celui de mes utilisateurs ont-elles été compromises ?
- Mes données personnelles ou celles de mes utilisateurs ont-elles été compromises ?
- Que dois-je faire pour assurer ma protection et celle des données stockées mon coffre-fort ?
- Comment puis-je obtenir plus d’informations ?