LastPass a découvert en août que le code source et les informations techniques de son logiciel avaient été volés. Le vol aurait eu lieu dans un service de stockage externe utilisé par l’entreprise.
LastPass a initialement signalé qu’aucune donnée client ou mot de passe n’avait été capturé lors de l’attaque. Le mois dernier, il est apparu que les pirates avaient volé des noms d’utilisateur, des adresses, des adresses e-mail, des numéros de téléphone et des adresses IP. Il semble maintenant que les pirates aient également eu accès aux coffres-forts de mots de passe via un détour.
Selon LastPass, les utilisateurs concernés n’ont pas à s’inquiéter du vol des mots de passe. Ceux-ci sont cryptés et, selon l’entreprise, ne peuvent être décryptés qu’avec un soi-disant mot de passe maître. Cela ne stocke pas LastPass, mais les utilisateurs en sont propriétaires.
Le gestionnaire de mots de passe reconnaît que les pirates pourraient déchiffrer les mots de passe via un soi-disant Force brute-attaque. Un pirate utilise alors un logiciel qui essaie différentes combinaisons de noms de connexion et de mots de passe.
Mais selon LastPass, casser un mot de passe maître déterminé selon les directives du gestionnaire de mots de passe et composé de douze caractères dure des millions d’années. Les personnes qui ont un mot de passe plus court ou qui l’utilisent ailleurs sont invitées à le changer.
On ne sait pas combien d’utilisateurs sont concernés. Les utilisateurs qui n’ont pas reçu d’e-mail n’ont pas à s’inquiéter, selon le gestionnaire de mots de passe.