Les répercussions du piratage de LastPass en 2022 continuent de se faire sentir, révélant des pertes totalisant 16 millions d’euros pour les utilisateurs. Les failles de sécurité, combinées à de mauvaises pratiques de gestion des mots de passe, posent de sérieux risques. L’importance de sécuriser ses données n’a jamais été aussi cruciale.
Juste au moment où l’on pensait que la violation de LastPass en 2022 était derrière nous, nous découvrons à quel point le piratage a été préjudiciable. Selon l’expert en blockchain ZachXBT et repéré par The Block, 5,36 millions d’euros ont été volés à 40 utilisateurs lors d’une série d’attaques. Cela s’ajoute aux 4,4 millions d’euros volés en octobre 2023 et aux 6,2 millions d’euros plus tôt cette année en février 2024.
Le piratage initial remonte à 2022, lorsque des hackers ont prétendu avoir accédé aux données de LastPass, qui contenaient des jetons API, des clés clients, des graines d’authentification multifacteur (MFA) et des coffres-forts de mots de passe chiffrés. Bien qu’aucune information officielle n’explique comment la violation s’est produite, il est possible que le hacker responsable ait eu accès à des informations aidant à cette intrusion. Les hackers ont réussi à entrer malgré le chiffrement des coffres-forts de mots de passe, car les utilisateurs avaient réutilisé des combinaisons faibles ou précédemment divulguées. Cet accès, combiné aux mots de passe faibles ou réutilisés des utilisateurs, a conduit à la compromission de divers comptes.
« Je ne le dirai jamais assez, si vous pensez avoir un jour stocké votre phrase de départ ou vos clés dans LastPass, migrez immédiatement vos actifs cryptomonnaies », a écrit ZachXBT dans un post X l’année dernière.
Seul le temps dira si cette série d’attaques se poursuit, ce qui vous amène à vous demander si LastPass est sûr. Mais comment la violation initiale s’est-elle produite ? LastPass a révélé que les hackers avaient dérobé le code source de l’application. Lors d’une attaque ultérieure, les hackers ont combiné les données volées avec celles découvertes lors d’une autre violation de données.
Les hackers ont ensuite exploité une vulnérabilité d’une application d’accès à distance utilisée par les employés de LastPass. Cela a permis au hacker d’installer un enregistreur de frappe sur l’ordinateur d’un ingénieur senior de LastPass, qui a enregistré toutes les saisies de touches.
La violation souligne l’importance d’avoir toujours un mot de passe fort sur tous vos comptes. Ne réutilisez jamais de mots de passe ou n’utilisez pas de mots de passe faciles à deviner que les hackers adoreront. Si créer des mots de passe longs et forts n’est pas votre truc, vous pouvez toujours utiliser l’un des meilleurs générateurs de mots de passe.