Les mots de passe de LastPass hackés

Les mots de passe de LastPass hackés
L'application de gestion de mots de passe LastPass a été hackée. 2 experts viennent d'en faire la démonstration.

La conférence Black Hat est un rendez-vous incontournable pour apprendre de nouvelles révélations en matière de sécurité informatique. L'édition européenne de 2015 ne déroge pas à la règle : 2 experts viennent d'y expliquer comment ils ont réussi à accéder à la base de données des mots de passe de LastPass, l'un des services en ligne leader dans la protection des... Mots de passe. Averti, LastPass a déjà mis en place les correctifs nécessaires, et a pu rassurer ses utilisateurs à travers le monde.

Pour arriver à leurs fins, les deux spécialistes de sécurité Alberto Garcia et Martin Vigo ont exploité des failles dans les processus de récupération des comptes des clients de LastPass . La procédure se base sur un "One Time Password" utilisé par défaut, qui est malheureusement accessible en lançant de fausses requêtes de récupération. Reste alors à casser la clé de chiffrement, un jeu d'enfant pour les deux hackers, pour accéder à la base de données de LastPass. La faille issue de l'ouverture de fausses sessions a été fermée par le gestionnaire de mots de passe, qui a aussi renforcé la sécurité des authentifications des utilisateurs, par l'utilisation obligatoire de codes envoyés par SMS. À la fin de leur démonstration lors de la conférence Black Hat Europe 2015, Alberto Garcia et Martin Vigo ont néanmoins loué la réactivité de LastPass, qui a apporté ces correctifs moins de 72 heures après leurs révélations.


Photo : © LastPass.