LastPass, le coffre-fort à mots de passe attaqué

Le service de coffre-fort à mots de passe LastPass vient d’être attaqué. Dans un billet de blog, son patron, Joe Siegrist, se veut rassurant : « au cours de notre enquête, nous n’avons pas trouvé d’indice suggérant le vol de données du coffre-fort chiffré d’utilisateurs ou de l’accès à des comptes utilisateurs ».

Toutefois, Joe Siegrist déplore que les adresses e-mail des comptes d’utilisateurs de LastPass, leurs éléments pour retrouver un mot de passe perdu, et certaines données cryptographiques ont été compromis. Détaillant des processus de chiffrement rigoureux, le patron de LastPass se dit toutefois confiant dans leur capacité à « protéger la vaste majorité de nos utilisateurs ».

Jouant la carte de la prudence, le service demande cependant à tous ses utilisateurs de changer leur mot de passe. Et à plus forte raison si celui a également été utilisé pour d’autres sites Web… En outre, pour limiter le risque de détournement de compte – maintenant ou ultérieurement, il recommande vivement d’activer l’authentification à facteurs multiples.

LastPass propose des services de coffre-fort à mots de passe et données de formulaires pour les particuliers, mais également pour les entreprises. Là, il ajoute des capacités d’ouverture de session unique (SSO) pour de nombreuses applications Web, dont Office 365, les Google Apps, Salesforce, Concur, Successfactors ou encore Citrix Sharefile.

Le service offre en outre un portail Web d’administration des règles de sécurité et supporte l’intégration avec des annuaires Active Directory et LDAP. Il propose en outre la préconfiguration des coffre-fort des employés avec les données d’accès à leurs applications d’entreprise.