Le gestionnaire de mots de passe LastPass piraté

LastPass, le service de gestion en ligne de mots de passe, a reconnu avoir été piraté vendredi dernier.

Les données chiffrées des utilisateurs ne semblent pas avoir été compromises.

En revanche, les adresses de courriels, les indices de mots de passe, le salage, et le hachage d’authentification ont été compromis.

Le salage, est une méthode permettant de renforcer la sécurité des informations, comme un mot de passe, qui sont destinées à être hachées, en y ajoutant une donnée supplémentaire afin d’empêcher que deux informations identiques conduisent à la même empreinte, afin de lutter contre les attaques par analyse fréquentielle.

Le hachage est une fonction particulière qui, à partir d’une donnée fournie en entrée, comme un mot de passe, calcule une empreinte servant à identifier rapidement, bien qu’incomplètement, la donnée initiale.

Le système de LastPass fonctionne avec un mot de passe ‘maître’, qui doit être compliqué et qui sert à protéger tous les autres mots de passe de l’utilisateur.

Si ce mot de passe n’est pas assez compliqué, ou si le mot de passe était utilisé pour d’autres services – une très mauvaise idée – les mots de passe de l’abonné pourraient être compromis par les pirates.

Il est donc recommandé de changer immédiatement le mot de passe maître.

L’abonné peut aussi, et devrait, utiliser l’authentification à facteurs multiples, qui nécessite une deuxième étape avant de débloquer l’accès au compte.

LastPass propose de nombreux systèmes au choix, comme les applications gratuites d’authentification de Google ou de Microsoft, voire des solutions d’entreprises ou des solutions payantes.

Tant que les mots de passe resteront un pilier de la sécurité, un gestionnaire de mots de passe demeure une bonne idée, qu’il soit géré par l’utilisateur ou par un service.

Car un mot de passe doit être de longueur suffisante, construit aléatoirement, et avoir une utilisation unique, pour prétendre à une quelconque sécurité. Dans ces conditions, il est impossible de se souvenir de tous ses mots de passe.