LastPass.comun service gratuit de gestion de mots de passe qui permet aux utilisateurs de déverrouiller l’accès à tous leurs sites protégés par mot de passe avec un seul mot de passe principal, oblige tous ses quelque 1,25 million d’utilisateurs à modifier leurs mots de passe principaux après avoir découvert que des intrus pourraient avoir accédé à la base de données d’utilisateurs de l’entreprise.
Dans une alerte publié sur le blog de l’entreprise mercredi soir, LastPass a déclaré que mardi matin, il avait repéré une « anomalie de trafic » – des transferts de données inexpliqués – à partir de l’une des bases de données de l’entreprise. De cette entrée de blog :
« Parce que nous ne pouvons pas non plus expliquer cette anomalie, nous allons être paranoïaques et supposer le pire : que les données que nous avons stockées dans la base de données ont été consultées d’une manière ou d’une autre. Nous connaissons à peu près la quantité de données transférées [sic] et qu’il est assez grand pour avoir transféré les adresses e-mail des personnes, le sel du serveur et leurs hachages de mots de passe salés de la base de données. Nous savons également que la quantité de données prises n’est pas suffisamment éloignée pour avoir extrait de nombreux utilisateurs des blobs de données chiffrées.
Si vous avez un mot de passe ou une phrase de passe fort et non basé sur un dictionnaire, cela ne devrait pas vous affecter – la menace potentielle ici est de forcer brutalement votre mot de passe principal à l’aide de mots du dictionnaire, puis d’aller à LastPass avec ce mot de passe pour obtenir vos données.Malheureusement pas tout le monde choisit un mot de passe principal qui est à l’abri de la force brute.
Pour contrer cette menace potentielle, nous allons forcer tout le monde à changer son mot de passe principal.
LastPass se compose d’une application logicielle de base installée sur les machines des utilisateurs et d’un plug-in de navigateur. Les mots de passe sont stockés sur le système de l’utilisateur, de sorte que personne chez LastPass ne puisse accéder aux informations. Ce que l’entreprise conserve, c’est un blob crypté de données charabia qui est généré en prenant le mot de passe principal et l’adresse e-mail de l’utilisateur et hachage les deux. Toutes les données sensibles enregistrées sur un compte sont sécurisées par la clé de cryptage sur le système de l’utilisateur, puis envoyées à LastPass. Étant donné que la clé de cryptage de l’utilisateur est créée localement chaque fois que les utilisateurs soumettent leur mot de passe principal et leur e-mail à LastPass, tout ce que l’entreprise stocke sont les données cryptées des utilisateurs.
Par mesure de précaution supplémentaire, LastPass a déclaré que les utilisateurs qui tentent de modifier leur mot de passe principal à partir d’un bloc d’adresses Internet que l’entreprise n’a jamais vu associé à leur compte devront valider leur adresse e-mail auprès de l’entreprise avant de choisir un nouveau mot de passe. Mais il semble y avoir un léger problème avec cette étape : les commentaires sur le blog LastPass suggèrent que de nombreux utilisateurs sont actuellement bloqués sur leurs comptes et ne peuvent plus accéder à leurs comptes de messagerie afin de valider leurs adresses. Les utilisateurs de LastPass Premium peuvent accéder à leurs mots de passe via des appareils mobiles tels que l’iPhone et le Blackberry, mais un certain nombre d’utilisateurs – y compris certains qui disent accéder au service via leur PC – signalent avoir reçu un message d’erreur indiquant que « les paramètres de compte limitent la connexion à partir de cet appareil mobile.
LastPass semble avoir fait du bon travail en concevant un service sécurisé, mais il semble qu’ils aient un peu laissé tomber la balle en testant et en renforçant leur infrastructure interne. Pourtant, leur transparence (apparente) sur ce qui s’est passé est un changement rafraîchissant par rapport à la forme de divulgation pratiquée à la suite d’autres violations beaucoup plus importantes ces derniers temps.