Urgent ! Si vous utilisez LastPass : occupez-vous-en IMMÉDIATEMENT
Si vous utilisez LastPass, des attaquants possèdent probablement une copie de votre coffre-fort et de tous vos mots de passe.
Changer maintenant votre mot de passe principal ne servira à rien, car ils ont déjà une copie qui peut être déchiffrée avec votre ancien mot de passe.
Contexte :
LastPass, un gestionnaire de mots de passe bien connu, a récemment été piraté et tous les mots de passe stockés par le service ont été volés. Les hackers ont réussi à acquérir une copie de sauvegarde des données des clients du service, qui contenait des données sensibles et bien sûr les mots de passe, même si ceux-ci étaient chiffrés. Le 22 décembre, LastPass a annoncé sur le blog officiel qu’une intrusion non autorisée avait eu lieu : les hackers ont réussi à obtenir une copie de sauvegarde contenant “à la fois des données non chiffrées comme les URLs de sites Web ainsi que toutes les données sensibles chiffrées comme les noms d’utilisateur, mots de passe, indices de sécurité et données de remplissage automatique des formulaires.”
Que faire ? 
1.) N’utilisez plus LastPass.
Nous ne savons pas à quel point la situation est grave. Il est possible que les attaquants aient encore accès. Ne vous contentez donc pas de changer vos mots de passe et de les enregistrer dans LastPass. Nous nous occuperons d’abord des comptes urgents, manuellement, puis nous mettrons en place un nouveau gestionnaire de mots de passe.
2.) Si vous avez des actifs virtuels et des phrases de récupération stockées dans votre LastPass, vous devez vous en occuper IMMÉDIATEMENT.
Créez de nouveaux portefeuilles, écrivez les phrases de récupération SEULEMENT sur un morceau de papier et transférez tous vos actifs vers les nouveaux portefeuilles.
Ne perdez pas de temps à chercher une solution parfaite pour leur conservation, car c’est du temps que vous n’avez pas. Si l’attaquant a accès à vos phrases de récupération, il peut voler vos actifs à tout moment et vous ne pourrez pas le récupérer. Mettez vos actifs à l’abri d’abord et réfléchissez à une conservation à long terme par la suite.
3.) Changez vos mots de passe pour les échanges et autres produits financiers.
Notez d’abord vos mots de passe sur papier. Utilisez un mot de passe différent pour chaque échange.
Activez la 2FA et assurez-vous que le code 2FA n’est pas enregistré sur LastPass. Si c’est le cas, retirez la 2FA et configurez-la dans une autre application.
4.) Changez les mots de passe de vos comptes de messagerie.
Quiconque a accès à vos e-mails peut accéder à vos autres comptes via les mécanismes “mot de passe oublié”, alors assurez-vous que vos e-mails sont sécurisés. Un mot de passe unique par service, notez-le sur papier, utilisez une 2FA qui n’a pas été enregistrée sur LastPass.
5.) Changez également les mots de passe et le 2FA de vos comptes Apple iCloud et Google.
Ces comptes peuvent probablement accéder aux données sur votre iPhone/Android via des sauvegardes et des synchronisations cloud et pourraient vous exclure, alors changez-les le plus rapidement possible.
6.) Vous avez maintenant protégé vos données les plus importantes. Mettez maintenant en place un nouveau gestionnaire de mots de passe.
Envisagez 1Password/Bitwarden/Keepass. Notre préféré est Keepass. Nous avons également publié une vidéo à ce sujet.
Configurez-en un, avec un nouveau mot de passe principal fort. Enregistrez vos nouveaux mots de passe dans ce gestionnaire. Pas de phrases de récupération ! Elles sont trop critiques pour un gestionnaire de mots de passe en ligne.
7.) Maintenant que vous avez un nouveau gestionnaire de mots de passe, utilisez-le pour changer les mots de passe de tous vos comptes non critiques.
Oui, tous.
Vous en avez probablement beaucoup, alors priorisez les plus importants. Comptes professionnels, stockage de fichiers/photos, médias sociaux.
8.) Nous avons récemment publié la vidéo “sans mot de passe”. Assurez-vous de la regarder, car cela (jeton de sécurité USB) aide à ce que cela ne se reproduise plus.
