Home-theater-designers
Les informations personnelles et les coffres-forts de mots de passe contenant les identifiants de connexion de millions d'utilisateurs sont désormais entre les mains de criminels. Si vous avez déjà utilisé le gestionnaire de mots de passe, LastPass, vous devriez changer tous vos mots de passe pour tout, maintenant. Et vous devez immédiatement prendre des mesures supplémentaires pour vous protéger.
Que s'est-il passé lors de la violation de données LastPass de 2022 ?
LastPass est un service de gestion de mots de passe qui fonctionne sur un modèle 'freemium'. Les utilisateurs peuvent stocker tous leurs mots de passe et identifiants pour les services en ligne avec LastPass et y accéder via l'interface Web, via des modules complémentaires de navigateur et via des applications dédiées pour smartphone.
Les mots de passe sont stockés dans des 'coffres', qui sont protégés par un seul mot de passe principal.
En août 2022, LastPass a annoncé que des criminels avaient utilisé un compte de développeur compromis pour accéder à l'environnement de développement, au code source et aux informations techniques de LastPass.
De plus amples détails ont été publiés en novembre 2022, lorsque LastPass a ajouté que certaines données client avaient été divulguées.
La véritable gravité de l'infraction a été révélée le 22 décembre, lorsqu'un Article de blog LastPass a noté que les criminels avaient utilisé certaines des informations obtenues lors de l'attaque précédente pour voler des données de sauvegarde, notamment les noms, adresses et numéros de téléphone des clients, les adresses e-mail, les adresses IP et des numéros de carte de crédit partiels. De plus, ils ont réussi à voler des coffres-forts de mots de passe d'utilisateurs contenant des URL de sites Web et des noms de sites non cryptés, ainsi que des noms d'utilisateur et des mots de passe cryptés.
Est-il difficile pour les criminels de déchiffrer votre mot de passe principal LastPass ?
Théoriquement, oui, les pirates devraient avoir du mal à déchiffrer votre mot de passe principal. Le billet de blog LastPass note que si vous utilisez leurs paramètres recommandés par défaut, 'il faudrait des millions d'années pour deviner votre mot de passe principal à l'aide de la technologie de craquage de mot de passe généralement disponible'.
configurer une nouvelle adresse e-mail
LastPass exige que le mot de passe principal contienne au moins 12 caractères et recommande 'de ne jamais réutiliser votre mot de passe principal sur d'autres sites Web'.
Cependant, LastPass est unique parmi les services de gestion de mots de passe en ce sens qu'il permet aux utilisateurs de définir un indice de mot de passe pour leur rappeler leur mot de passe principal en cas de perte.
En effet, cela encourage les utilisateurs à utiliser des mots et des phrases du dictionnaire dans le cadre de leur mot de passe, plutôt qu'un mot de passe fort vraiment aléatoire. Aucun indice de mot de passe ne vous aidera si votre mot de passe est 'lVoT=.N]4CmU'.
Les coffres-forts de mots de passe LastPass sont entre les mains de criminels depuis un certain temps maintenant, et même s'ils sont cryptés, ils finiront par faire l'objet d'attaques par force brute .
Les attaquants trouveront leur travail plus facile grâce à l'existence de bases de données massives de mots de passe couramment utilisés. Vous pouvez télécharger une liste de mots de passe de 17 Go comprenant les 613 millions de mots de passe les plus courants à partir de ont été nés , par exemple. D'autres listes de mots de passe et d'identifiants sont disponibles sur le dark web.
Essayer chacune des demi-milliards de clés les plus courantes contre un coffre-fort individuel prendrait quelques minutes, et bien que relativement peu soient les 12 caractères requis, il est probable que les cybercriminels pourront facilement pénétrer dans une bonne proportion de coffres-forts.
Ajoutez à cela le fait que la puissance de calcul augmente d'année en année et que les criminels motivés peuvent utiliser des réseaux distribués pour aider à l'effort ; 'des millions d'années' ne semble pas faisable pour la majorité des comptes.
La violation LastPass affecte-t-elle uniquement les mots de passe ?
Alors que les gros titres sont que les criminels peuvent prendre leur temps pour s'introduire dans votre coffre-fort LastPass, ils peuvent profiter de vous d'autres manières en utilisant votre nom, adresse, numéro de téléphone, adresse e-mail, adresse IP et numéro de carte de crédit partiel.
Ceux-ci peuvent être utilisés à plusieurs fins néfastes, notamment attaques de harponnage contre vous et vos contacts , l'usurpation d'identité, la souscription de crédits et d'emprunts à votre nom et les attaques par échange de carte SIM.
Comment pouvez-vous vous protéger après les violations de données LastPass ?
Vous devez supposer que d'ici quelques années, votre mot de passe principal sera compromis et que tous les mots de passe qu'il contient seront connus des criminels. Vous devez les modifier maintenant et utiliser des mots de passe uniques que vous n'avez jamais utilisés auparavant et qui ne figurent dans aucune des listes de mots de passe couramment utilisées.
En ce qui concerne les autres criminels de données obtenus de LastPass, vous devriez geler votre crédit , et engagez un service de surveillance du crédit pour surveiller toute nouvelle demande de carte ou de prêt en votre nom. Si vous êtes en mesure de changer votre numéro de téléphone sans trop d'inconvénients, vous devriez le faire aussi.
Assumez la responsabilité de votre propre sécurité
Il est facile de blâmer LastPass pour les violations de données qui ont vu vos coffres-forts de mots de passe et vos informations personnelles tomber entre les mains de criminels, mais les services de gestion de mots de passe qui sécurisent votre vie et vous aident à générer des combos uniques restent le meilleur moyen de sécuriser votre vie en ligne.
Une façon de rendre plus difficile pour les voleurs potentiels d'accéder à vos données vitales est d'héberger un gestionnaire de mots de passe sur votre propre matériel. C'est bon marché, facile à faire, et certaines solutions, comme VaultWarden, peuvent même être déployées sur un Raspberry Pi Zero.