Le hack de LastPass mettrait certains portefeuilles de cryptomonnaies en grave danger
Après une fuite de données qui a eu lieu il y a plusieurs mois, le gestionnaire de mots de passe LastPass révèle que le hacker pourrait avoir accédé à certaines informations sensibles des clients. Il convient donc de prendre certaines précautions, pour les personnes qui auraient stocké des « seed phrases » de portefeuilles de cryptomonnaies via ce service.
Le gestionnaire de mots de passe LastPass victime d’un hack
Jeudi dernier, les équipes du gestionnaire de mots de passe LastPass ont informé qu’un hacker avait eu accès à des données sensibles, compromises lors d’une fuite qui a eu lieu le 25 août dernier :
« Sur la base de notre enquête à ce jour, nous avons appris qu’un acteur malveillant inconnu a accédé à un environnement de stockage basé sur le cloud en exploitant les informations obtenues à partir de l’incident que nous avons précédemment divulgué en août 2022. »
Un gestionnaire de mots de passe permet, comme son nom l’indique, de stocker l’ensemble de ses mots de passe, et d’en générer facilement des nouveaux hautement sécurisés. La base de données de LastPass, victime de hack, comporte les informations personnelles des clients stockées sur leur coffre-fort. Ledit coffre-fort pouvant contenir toutes sortes de données, comme des documents d’identités ou des clés privées de portefeuilles cryptomonnaies, ces données sont donc aujourd’hui sujettes à des fuites.
Comme les coffres-forts sont sécurisés par des mots de passe qui ne sont pas stockés par LastPass, la société précise que les données qu’ils contiennent restent malgré tout soi-disant sécurisées, tant que le mot de passe n’est pas trouvé.
Pourtant, un investisseur estime que LastPass omettrait de dévoiler toute l’ampleur de la situation, car quatre de ses portefeuilles secondaires, dont il stockait la « seed phrase » sur l’application, ont été vidés :
I think the situation at @LastPass may be worse than they are letting on.
On Sunday the 18th, four of my wallets were compromised. The losses are not significant.
Their seeds were kept, encrypted, in my lastpass vault, behind a 16 character password using all character types.
— path.eth 🛡️ (@Cryptopathic) December 23, 2022
Si la victime rassure en affirmant que les pertes ne sont pas significatives, il insiste sur le fait que le mot de passe de son coffre-fort était utilisé nul par ailleurs, et que sa complexité écarte la possibilité d’un craquage par « attaque de force brute ».
? Limitez le risque de hack grâce à 7 bonnes pratiques
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒Que faire si vous utilisez LastPass ?
Compte tenu des données sensibles qui peuvent se cacher derrière l’ensemble de ces mots de passe, il conviendrait de ne pas faire confiance à la seule communication publique de LastPass.
Si vous stockiez des seed phrases de wallets crypto sur ce service, il serait sage de transférer l’ensemble de ces fonds vers une adresse reposant sur une clé privée différente par précaution.
Changer le mot de passe principal permettant d’accéder au coffre-fort ne suffira pas, car l’actuel mot de passe resterait le même sur la base de donnée volée, et le ou les hackers pourraient quand même accéder aux informations hébergées dessus.
Il serait donc prudent de changer de gestionnaire de mots de passe, mais surtout de réinitialiser tous les mots de passe de l’ensemble de vos comptes considérés comme « sensibles ». Pour les authentifications à deux facteurs (2FA) hébergés sur l’application, il convient également de les réinitialiser pour utiliser un autre service.
Si cette fuite de données est belle est bien plus grave que ce qu’affirme LastPass, il faut aussi prendre en compte le fait que les éventuelles cartes de crédit ou documents d’identités qui étaient stockés dans ces coffres-forts pourraient aussi être en danger.
? Écoutez cet article et toutes les autres actualités crypto sur Spotify
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrunSource : LastPass
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.