Dernier passageune entreprise qui offre aux utilisateurs un moyen de gérer de manière centralisée tous leurs mots de passe en ligne avec un seul mot de passe principal, divulgué lundi que des intrus s’étaient introduits dans ses bases de données et s’étaient enfuis avec des adresses e-mail d’utilisateurs et des rappels de mots de passe, entre autres données.
Dans une alerte publiée sur son blog, LastPass a déclaré que la société n’avait trouvé aucune preuve que ses données de coffre-fort d’utilisateurs cryptées avaient été prises, ni que les comptes d’utilisateurs de LastPass avaient été consultés.
« L’enquête a montré, cependant, que les adresses e-mail du compte LastPass, les rappels de mot de passe, les sels de serveur par utilisateur et les hachages d’authentification ont été compromis », a déclaré la société. « Nous sommes convaincus que nos mesures de cryptage sont suffisantes pour protéger la grande majorité des utilisateurs. LastPass renforce le hachage d’authentification avec un sel aléatoire et 100 000 tours de PBKDF2-SHA256 côté serveur, en plus des tours effectués côté client. Ce renforcement supplémentaire rend difficile l’attaque des hachages volés avec une vitesse significative.
L’analyse de la déclaration de LastPass nécessite une compréhension de base de la manière dont les mots de passe sont généralement stockés. Les mots de passe sont « hachés » en prenant le mot de passe en texte brut et en l’exécutant sur un algorithme mathématique théoriquement unidirectionnel qui transforme le mot de passe de l’utilisateur en une chaîne de chiffres et de lettres charabia censée être difficile à inverser.
La faiblesse de cette approche est que les hachages en eux-mêmes sont statiques, ce qui signifie que le mot de passe « 123456 », par exemple, calculera toujours le même hachage de mot de passe. Pour aggraver les choses, il existe de nombreux outils capables de mapper très rapidement ces hachages à des mots, noms et expressions courants du dictionnaire, ce qui annule essentiellement l’efficacité du hachage. De nos jours, le matériel informatique est devenu si bon marché que les attaquants peuvent facilement et à très bas prix construire des machines capables de calculer des dizaines de millions de hachages de mots de passe possibles par seconde pour chaque nom d’utilisateur ou adresse e-mail correspondant.
Mais en ajoutant un élément unique, ou «sel», à chaque mot de passe utilisateur, les administrateurs de base de données peuvent compliquer considérablement les choses pour les attaquants qui peuvent avoir volé la base de données utilisateur et s’appuyer sur des outils automatisés pour déchiffrer les mots de passe utilisateur.
« Ce qu’est un sel rend difficile la recherche de nombreux mots de passe à la fois par opposition au mot de passe d’un utilisateur, car chaque utilisateur nécessite une estimation distincte et cette estimation séparée va prendre un temps considérable », a déclaré Steve Belovinprofesseur d’informatique à Université de Colombie . « Avec un sel, même si plusieurs utilisateurs ont le même mot de passe, comme ‘123456’, tout le monde aurait un hachage différent. »
Plus préoccupant dans cette violation particulière, a déclaré Bellovin, c’est que les rappels de mot de passe des utilisateurs ont également été volés.
« Je soupçonne que pour un nombre important de personnes, le rappel de mot de passe – en plus de l’adresse e-mail de l’utilisateur – va être utile pour un attaquant », a-t-il déclaré. « Mais les rappels de mot de passe sont utiles pour les attaques ciblées, pas pour les attaques massives. Cela signifie que si votre rappel ou indice de mot de passe n’est pas particulièrement révélateur pour quelqu’un qui ne vous connaît pas, cela n’a probablement pas beaucoup d’importance. Sauf dans le cas d’attaques de phishing ciblées », qui pourraient essayer de tirer parti des données connues sur une cible spécifique (comme un indice de mot de passe) pour inciter l’utilisateur à abandonner la réponse à son rappel de mot de passe.
Alors, quel est le plat à emporter ici? Si vous confiez tous vos mots de passe à LastPass, ce serait le moment idéal pour changer votre mot de passe principal.