quels risques pour les utilisateurs ?

quels risques pour les utilisateurs ?



Quelques mois après un grand piratage, l’éditeur du gestionnaire de mots de passe LastPass est de nouveau victime d’une attaque. S’il a assuré qu’aucun mot de passe n’était en danger, l’étendue des dégâts n’est pas encore connue.

Il fallait s’y attendre, mais l’attaque qu’a subie en août dernier le gestionnaire de mots de passe LastPass a eu des conséquences ! Après avoir la dérobé le code source de l’application ainsi que des informations sur son fonctionnement, les pirates ont de nouveau pris pour cible l’entreprise, comme vient de le révéler son patron Karim Toubba dans un billet de blog daté du 30novembre 2022. Pour rappel, les gestionnaires de mots de passe permettent de stocker tous ses mots de passe, informations de paiement et informations de connexion essentielles dans une base de données ou un coffre-fort hautement chiffré. L’utilisateur peut accéder à tous ces éléments avec un seul mot de passe principal. Autant dire que LastPass contient des données d’une grande valeur pour les hackers… Or, LastPass a détecté le 30 novembre une « activité anormale » au niveau d’un « service de stockage dans le cloud » que la firme partage avec son partenaire GoTo. Si l’application est toujours fonctionnelle, certains « éléments d’informations des clients » ont pu être consultés par les auteurs de l’attaque – la firme reste plutôt vague concernant leur nature et le nombre d’utilisateurs touchés. D’après les premières informations, les pirates auraient utilisé des données qui avaient été récupérées lors de la précédente attaque. LastPass affirme que « nous travaillons avec diligence pour comprendre la portée de l’incident et identifier les informations spécifiques qui ont été consultées« .

L’entreprise se veut toutefois rassurante, affirmant que « les mots de passe de nos clients restent chiffrés et sécurisés grâce à l’architecture Zero Knowledge« , faisant référence à son modèle de sécurité qui s’assure que les données soient chiffrées uniquement sur l’appareil de l’utilisateur, soit avant leur synchronisation avec le service – en théorie, si LastPass ne connait pas les données, les pirates non plus. Espérons qu’elle dise vrai. L’entreprise indique également avoir fait appel à la société spécialiste en cybersécurité et criminalistique Mandiant dans le cadre de son programme de gestion des risques – ce qui avait pourtant déjà été le cas après la précédente attaque – et prévenu les forces de l’ordre. « Comme toujours, nous vous tiendrons informés dès que nous en saurons plus« , promet-elle. Reste que cette seconde attaque porte un sacré coup à son image…

LastPass : la conséquence d’un piratage antérieur

En temps normal, l’utilisation d’un gestionnaire de mots de passe est un bon moyen de protéger ses comptes personnels et ses informations – et de s’en souvenir. Mais de par les données sensibles qu’ils contiennent, ces outils sont souvent visés par des tentatives de piratage. Début août, l’éditeur du gestionnaire de mots de passe LastPass avait détecté des traces « d’activités non autorisées, » comme il l’avait annoncé dans un communiqué. L’intrusion s’était produite suite à la compromission d’un compte de développeur et avait permis à un pirate d’avoir accès à l’environnement de développement. Ce dernier avait réussi à voler des portions de code source et des informations techniques propriétaires de la firme, qui s’était néanmoins voulue rassurante. « Nos produits et services fonctionnent normalement, » avait-t-elle déclaré. A priori, les identifiants et les mots de passe des utilisateurs n’avait pas semblé avoir été compromis. LastPass avait expliqué avoir « contenu le problème, mis en œuvre des mesures de sécurité supplémentaires », et ne pas avoir « été témoin d’autres tentatives d’activité non autorisée ».

Après avoir ouvert une enquête, la firme avait, par précaution, fait là aussi appel à Mandiant. Elle avait découvert que l’intrusion s’était « limitée » à une période de quatre jours, et que « la conception et les contrôles de notre système ont empêché l’acteur menaçant d’accéder aux données des clients ou aux coffres-forts de mots de passe cryptés. »  Elle avait ajouté que, de toute façon, « nous ne stockons jamais et n’avons jamais connaissance de votre mot de passe maître. »

Pour le moment, l’entreprise ne recommande aucune action particulière de la part des utilisateurs et des administrateurs. Toutefois, comme elle rappelle, il vaut mieux –  qu’il y ait eu cyberattaque ou non  – renforcer la sécurité de son compte en activant la double authentification – également appelée authentification à plusieurs facteurs. Pour ce faire, il suffit de suivre le tutoriel de la firme.





Lien de l’article original

Laisser un commentaire