Si vous avez suivi le scandale de la violation de données de LastPass au cours des derniers mois, vous pourriez être pardonné de penser que cela ne pouvait pas être pire. Toutes les semaines, l’entreprise annonce de sombres nouvelles sur l’ampleur du piratage. Aujourd’hui, la société mère de LastPass, GoTo, a révélé qu’elle avait elle aussi été victime du piratage.
Dans un article de blog, Paddy Srinivasan, PDG de GoTo, a publié une mise à jour informant les clients que des produits autres que LastPass ont été compromis dans la brèche. Les services GoTo qui partageaient un serveur avec LastPass, tels que Central, Pro, join.me, Hamachi et RemotelyAnywhere, ont vu leurs informations sensibles volées lors du piratage de LastPass, notamment les noms d’utilisateur, les mots de passe salés et hachés, les paramètres d’authentification multifactorielle, ainsi que les informations sur les produits et les licences. En outre, un petit sous-ensemble des paramètres d’authentification multifactorielle des services Rescue et GoToMyPC a été touché par la brèche.
Srinivasan indique que les clients concernés sont contactés directement et que, bien que les informations relatives aux mots de passe aient été salées et hachées, GoTo réinitialise leurs mots de passe par souci de prudence. En outre, l’entreprise fait migrer les comptes concernés vers une plateforme de gestion des identités améliorée afin de fournir une sécurité et des options d’authentification supplémentaires lors de la connexion.
La violation de données en question s’est produite en août 2022. À l’époque, le gestionnaire de mots de passe a affirmé que le piratage ne concernait que le code source de LastPass et d’autres informations techniques. Cependant, au fur et à mesure que l’année 2022 avançait, de plus en plus de détails sont apparus. Fin novembre, LastPass a admis que « certains éléments d’information de nos clients » avaient été volés par les pirates. Aucun détail sur le type d’informations dont il pouvait s’agir n’a été donné à l’époque.
Puis, juste avant Noël, le gestionnaire de mots de passe a annoncé que les pirates avaient obtenu une « sauvegarde des données du coffre-fort du client ».
Un vol qui prend de l’ampleur
Le vol de la sauvegarde du coffre-fort signifie que les pirates ont désormais un nombre illimité de tentatives pour deviner le mot de passe principal de tous les clients de LastPass et accéder à toutes les informations relatives aux clients contenues dans le coffre-fort. LastPass a déclaré que les données des clients étaient toujours en sécurité tant que les utilisateurs créaient un mot de passe principal fort — une affirmation qui a été démentie quelques jours plus tard par 1Password, concurrent de LastPass.
Il semble maintenant que le problème pourrait être bien plus grave qu’il n’y paraissait à la fin de l’année 2022, avec l’inclusion de données volées provenant de services extérieurs à LastPass. Et si nous espérons que c’est la fin des mises à jour de ce scandale, les derniers mois ont montré qu’il a toujours le potentiel de s’aggraver.