L’attaque a eu lieu vendredi, mais c’est hier soir que le service a révélé l’intrusion dans un blog après l'enquête menée par son équipe de sécurité sur « l’activité suspecte » identifiée sur son réseau. Selon LastPass, il n’y a pas d’éléments permettant de dire que les assaillants ont volé des données cryptées dans les coffres numériques où les utilisateurs conservent leurs mots de passe, ni de dire si les intrus ont eu accès aux comptes LastPass des utilisateurs. Néanmoins, les pirates ont réussi à voler les adresses de compte mail, les mails de renvoi de mots de passe, la liste « server-per-user-salt », et les hash d'authentification.

Ces deux dernières informations pourraient permettre aux attaquants de deviner les mots de passe maîtres « faibles ». Mais le CEO Joe Siegrist affirme que les protections de sécurité de LastPass, notamment la fonction PBKDF2-SHA256 exécutée à une fréquence de 100 000 cycles côté serveur, rendent « difficile toute attaque des hashs volés ». Néanmoins, LastPass demande à tous les utilisateurs de redéfinir un mot de passe maître pour leur coffre-fort, et toute personne se connectant à son compte à partir d'une autre adresse IP ou avec un autre terminal devra valider son identité par courrier électronique si elle n’a pas activé l’authentification à deux facteurs.

Un service pratique mais vulnérable 

LastPass stocke les mots de passe de connexion des sites Internet afin que l’utilisateur puisse se connecter automatiquement sans avoir à se souvenir de chaque mot de passe individuellement. Le service comprend des outils pour générer des mots de passe forts avec des chaînes de caractères complexes, et les utilisateurs doivent juste renseigner leur mot de passe principal pour utiliser le service. Mais toute la sécurité repose sur LastPass et sur sa capacité à résister aux attaques. Le changement de mot de passe maître est particulièrement important pour les utilisateurs qui ont des mots de passe faibles qui pourraient être découverts facilement. Par ailleurs, les personnes qui utilisent leur mot de passe LastPass principal pour d'autres comptes sont également invitées à le modifier.

Ce n’est pas la première fois que LastPass est victime d’un piratage. En 2011, le service a déjà subi une violation, mais l’attaque de vendredi est différente parce que la plateforme a su immédiatement quelles données avaient été volées et elle a pu renforcer son système de stockage de mots de passe afin de mieux se protéger contre les tentatives de craquage. Avec ses 7 millions d’utilisateurs, LastPass est aujourd'hui – avec Password Box d’Intel - l’une des plateformes de stockage de mots de passe les plus populaires, en partie parce que le service est offert gratuitement aux personnes qui veulent protéger leurs identifiants de connexion et d'autres informations sécurisées. Pour l’instant, on ne sait pas combien d'utilisateurs ont été affectés par le piratage.