LastPass : le gestionnaire de mots de passe a été piraté !

Date de dernière mise à jour : le 5 avril 2016 à 11 h 56 min

LastPass ça vous dit quelque chose ? Si vous utilisez un gestionnaire de mots de passe, vous connaissez sans aucun doute (pas l’émission de Julien Courbet) LastPass. Ce gestionnaire figure parmi les meilleurs du marché avec Dashlane et 1Password et compte des millions d’utilisateurs à travers le monde. Aujourd’hui, nous avons une mauvaise nouvelle pour les utilisateurs de LastPass puisque le service a été piraté.

lastpass pirate

Pour ceux qui ne sauraient pas ce qu’est un gestionnaire de mots de passe, il s’agit d’un logiciel qui permet de stocker tous ses mots de passe dans un coffre virtuel accessible à l’aide d’un seul et unique mot de passe appelé « mot de passe maître ».

Le problème c’est que dès lors que le mot de passe maître est piraté, il y a un risque que toutes les informations sur les autres mots de passe soient récupérés par les pirates. Même si LastPast a fait l’objet d’une attaque il a tenu à préciser que les données cryptées n’ont pas été récupérées mais que les informations comme les adresses email, les indices de mots de passe etc. ont été compromises.

Néanmoins, la firme en charge du gestionnaire a demandé à ses utilisateurs de changer leur mot de passe maître dans les plus brefs délais. Pour les mots de passe contenus dans le coffre virtuel, il n’est pas obligatoire de tout changer, LastPass précisant qu’ils n’ont pas été piratés.

C’est un évènement plutôt malvenu pour un logiciel censé protéger les données de l’utilisateur. De ce fait, en réaction à cette attaque, LastPass a mis en place de nouvelles mesures de sécurité visant à éviter que ce genre de désagrément (ou pire) ne se reproduise.

Ainsi, à partir de maintenant, si une personne se connecte sur un compte LastPass depuis un nouvel appareil, son identité sera vérifiée. Et vous, utilisez-vous LastPass, ou préférez-vous un autre gestionnaire ?

Via

Réagissez à cet article !
  • Ombilicus

    Le jour où ils arriveront à pirater mon petit carnet en bon papier où je note mes pwd… :)

    • 1messager

      Je ne fais pareil mais c’est tellement mieux d’avoir une liste physique comme toi que sur le web surtout chez soi à l’abri excepter le perdre tu risque rien.

      • Ombilicus

        J’ai toujours dit que la meilleure solution si tu veux être peinard à ce niveau, c’est un papier, et un stylo…

        • la_tarrask

          Facile le copier coller et la saisie automatique dans ce cas.

    • Warlh

      Tu l’oublis qqpart, et on a tout tes mdp.
      L’écrire, c’est super pas safe.

      • Ombilicus

        Ça ne sort pas de chez moi…
        Les pwd principaux sont tous dans ma tête (j’ai une bonne mémoire pour ça…), pour les autres, ils sont dans mon petit carnet, caché chez moi ^^

        Après, c’est sur que si je me fais braquer et qu’on me le vole… (rien n’est infaillible :) )

        • B.E

          Bah si, ton cerveau :p

          • Ombilicus

            Mon cerveau ? Infaillible ? Mdr j’y compte pas :p

          • B.E

            haha :D

          • Ombilicus

            T’as jamais eu subitement des petits trous de mémoire quand tu veux penser à quelque chose ? ^^

          • B.E

            Sisi, mais généralement ça revient toujours à un moment ou à un autre, donc je m’en fais pas trop ^^

          • Ombilicus

            Oui ça revient toujours, mais quand ça revient, t’en as plus besoin lol

          • B.E

            Haha c’est vrai, mais je dis ça, je fais pareille, papier stylo, caché sous le pied de mon écran au cas ou, parfait :D

          • merci de nous avoir révélé cette information. De notre côté sachez qu’un comité de 6 personnes viendras le 17 juin 2015 à 14h50 vérifier la véracité.
            Comité de lutte contre le piratage des mots de passe.

          • B.E

            Oups, je m’en vais de ce pas changer ma cachette :D

    • Noel Flantier

      Solide mais chiant surtout si t’es pas chez toi quant t’as besoin d’un mdp. Jsuis chez 1password je l’utilise pour tous les services dont je me fous un peu style disqus et les forums.

      • Ombilicus

        Pour les services récurrents, j’ai mon cerveau ^^
        J’ai une vingtaine de pwd en tête là…

    • kenny33

      Ton gosse, ta femme avant de te quitter, ta femme de ménage, un ami peu scrupuleux, le plombier qui tombe dessus, le cambrioleur etc…. alors lastpass n’est pas parfait certes mais je garde cette solution ^^

      • Athena223

        La c’est le scénario catastrophe , car l’enfant et la femme , y a des chances mais encore faut il avoir l’esprit tordu.
        Mais le plombier qui fouine dans la piece ou y a le pc … Quand au voleur, ils ont plus de temps et surtout ont des cibles précise et bien plus rentable, liquide, bijoux, smartphone , tablette, ordinateur portable , même les Tv les intéresses plus …
        Un carnet  » crypter  » c’est une bonne option et du coup même pas besoin de le caché ;-)

      • Ombilicus

        Non mais je dis pas de noter sur un carnet, puis de l’encadrer sur la porte d’entrée !
        Un peu de « bon sens », si ces pwd sont « sensibles », tu les caches un minimum et tu fermes ta bouche concernant son emplacement :D

        • kenny33

          oué c’est sur genre je m’en vente pas sur un forum lol

  • kenny33

    Ouais alors faut apprendre a lire l’anglais !!

    Le mail de lastpass : « No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised. »

    Dans l’article : « LastPast a fait l’objet d’une attaque il a tenu à préciser que les informations comme les adresses email, les indices de mots de passe etc. n’ont pas été récupérées par les pirates. »

    Donc en fait tout l’inverse, aller je vous aide : « Aucune donnée cryptée dans votre coffre n’a été récupérée toutefois d’autres données comme votre mail ou votre rappel de mot de passe ont été compromis. »

    • Impega

      …..

      Merci Kenny !

    • Homoursporc

      On est toujours mieux informé via les coms ici :)

      • Romain Vitt

        C’est aussi ça Phonandroid, la communauté nous aide à donner la meilleure information possible ;)

        • leatherface

          La différence c’est qu’on n’est pas payé pour ça …

    • Romain Vitt

      Ça a été corrigé. Ce n’est pas l’information que nous avions ce matin lorsque nous écrivions ces lignes. L’article a été mis à jour en conséquences. Merci de nous avoir alertés. ;)

  • Athena223

    « C’est un événement inattendu  » Oui, mais totalement prévisible.

    Car ce type de service est une cible de choix pour les hackers.

    • kenny33

      oui prévisible et même prévu puisque seuls les mails et reminders ont été compromis, et que le reminder oblige a passer par un mail de validation seul le phishing ciblé peut avoir une efficacité mais vu que tous les clients ont reçu un mail ils seront probablement attentifs…

      • Athena223

        Il faut l’espérer …

  • guest

    Pourquoi ne pas utiliser un gestionnaire de mot de passe en local ? du genre keepass (open source) ? ça éviterait ce genre de désagrément. En plus, on peut transférer la base de données contenant nos mdp d’un périphérique à l’autre, pratique pour l’avoir à la fois sur le PC & le smartphone.

    • Allan Landstar

      J’ai ça sur mon téléphone. Un mot de passe pour s’authentifier et c’est okay :)

    • leatherface

      C’est exactement la bonne réponse. Dans mon cas, afin d’avoir ma base de mots de passe sur mon téléphone, ma tablette et mon laptop, elle est déposée sur mon serveur dédiée et synchronisée grâce à Owncloud. Comme ça dès que je la modifie, les changements sont répercutés automatiquement sur toutes les plateformes.

  • Erimen

    Moi j’utilise un gestionnaire de mots de passes super efficace, ma tête, impossible à hacker :)

    • Erimen

      Pour le moment …

    • Romain Lanz

      Sauf que ta tête ne sera jamais assez bonne pour retenir une centaine de mots de passe uniques avec une trentaine de caractères dont des spéciaux !

      • Homoursporc

        On a pas besoin de retenir une centaine de mot de passe. Une dizaine ca doit etre largement suffisant.

        • Romain Lanz

          Pourquoi utiliser seulement 10 mot de passes lorsque tu peux en avoir facilement des plus complexes et uniques ?

          Tout dépend de ton utilisation d’Internet, pour certains, ce service sera complètement inutile, pour d’autre ce service est très utile. Je préfère cliquer sur un bouton, qui me génère un mot de passe complexe de 60 caractères et que je n’ai pas besoin de retenir, que d’utiliser plusieurs mots de passe globaux qui seront moins complexes et donc plus facilement piratable.

          • Homoursporc

            Le brute force est efficace sur des pass vraiment simple. Maintenant c’est plutot le piratage des DB, ou phishing … Mais un mot de passe de 60 caracteres c’est completement inutile, et encore pire si il est stocke en ligne : c’est nimporte quoi.

      • Erimen

        Faut utiliser des pass phrases comme :
        J’@1me l3s CAR0TTES
        ou encore :
        F@c1l3 à R3t3n1r & c0mpl1qué

  • Computeur

    Ils peuvent pirater ce qu’ils veulent je n’ai aucune donné lié à mon nom sur le net.
    La meilleur sécurité se trouve entre les 2 oreilles de l’utilisateur… quoi que pour d’autres je ne suis pas certain

  • Homoursporc

    Je comprend pas comment on peut avoir l’idee de stocker ses mots de passe en ligne Oo !

    • Ombilicus

      « Allez… viens… on est bien… » :)

  • Over

    Quelle est l’utilité d’avoir mis ses mots de passes en ligne? Les gens ne sont pas au courant du piratage du cloud de apple? xD
    Je ne vois pas l’interet …. Autant on pourrait avoir un logiciel sur l’ordi mais c’est risqué .. autant sur le net, il suffit de ne pas avoir internet a ce moment là pour etre dans la merde … ;-) (a moins qu’on stocke que des mots de passe pour des sites internet)
    Il vaut mieux un bout de papier chez soi. (ou plusieurs si on a peur de perdre les papiers)
    Il y a quand même largement moins de risque (meme apres un cambriolage) de se faire prendre ses mots de passe que de les mettres sur son pc ou sur le net (Dans un cambriolage,, y a de forte chance qu’ils ne vont pas chercher ce qu’il y a marqué dans un calepin )

  • Romain Vitt

    L’erreur est humaine, pas la peine de crier au loup chaque fois que vous en constatez une, on se croirait dans une cour de récré ou chacun veut se faire remarquer et faire celui qui a la science infuse. Il faut se détendre, on fait de notre mieux pour vous donner l’info qui vous intéresse. Tout le monde peut se tromper, la preuve dans votre phrase il y a un « S » à la fin de « fort » donc on écrit « forts » ;) A moins que la phrase que vous vouliez écrire « ils font très très fort » auquel cas en effet il n’y a pas de « S »

    • Homoursporc

      Ok, mais ici les erreurs de traduction et d’interpretation c’est vraiment souvent.

      Dsl depuis ce matin mon swiftkey n’arrive pas a telecharger mes langues, du coup plus de correction, et quand on est habitue a swiftkey c’est tres dure. (j’ai meme plus les accents)

      • Romain Vitt

        Vu le nombre d’articles que nous écrivons chaque jour, ce n’est pas si souvent. Il faut avoir un aperçu du travail dans son ensemble pour pouvoir en juger. C’est un peu comme les lecteurs qui nous accusent de parler énormément d’Apple alors que cette marque ne représente qu’un faible pourcentage de nos publications sous prétexte qu’à leurs yeux c’est beaucoup trop. Nous faisons tous de notre mieux pour vous proposer de bonnes informations. Mais nous ne sommes pas des machines et parfois il y a des loupés ;) Mais nous y travaillons.

        • Homoursporc

          J’avoue avoir ete un peu violent, mais des fois c’est quand meme un abuse, comme la, traduction completement inverse … C’est moyen.

          C’est vrai que si c’etait vraiment de la merde ce site, je ne reviendrais plus :)
          Mais je suis la depuis les debuts ;)
          Je m’excuse, a+

      • Insomnia

        Tu sais si tu n’es pas content, il existe d’autres sites, à bon entendeur

  • Idrissa

    Il ne faut espérer une sécurité absolue dans le domaine informatique: « Tout ce qui est fait par les hommes peut être défait par eux ». nous sommes juste en sursis attendant un jour ou l’autre une indéniable attaque.
    Peut-être même que nous sommes déjà victimessans que nous nous rendions compte que ça s’est passée.

  • Cerveau

    J’ai mon cerveau pour faire la gestion des MDP …

  • leatherface

    Keepass(x) permet de définir des macros pour extraire automatiquement les mots de passe et nom d’utilisateur.

    • DaFKa

      Ah ok, je l’ignorais. Mais du coup, ça fonctionne comme un LastPass ou bien même le gestionnaire de mot de passe d’un firefox? Arrivé sur la page internet, ça rentre automatiquement les identifiants?

      • leatherface

        Non pas exactement. Ce n’est pas aussi user-friendly. Il faut définir toi même ta séquence de touches, et en fonction de chaque appli.

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
2b8703b733ee3e0fef8ca2b57d943225:::::::::::::::::::::