Posté le août 27, 2022 à 7:16
LASTPASS CONFIRME LE PIRATAGE DE SA PLATEFORME DE GESTION DE MOTS DE PASSE
Le service de gestion de mots de passe LastPass a confirmé qu’il avait récemment fait l’objet d’une attaque de cybersécurité. Selon l’entreprise, l’attaque a conduit à l’exposition de certaines informations techniques et du code source de son serveur. Le problème s’est produit il y a deux semaines, mais la société a enquêté sur l’incident. Selon LastPass, les hackers ont ciblé son environnement de développement, mais aucun mot de passe crypté ni aucune donnée client n’ont été accessibles.
Le président-directeur général de LastPass, Karim Toubba, a commenté l’événement. Il a déclaré que la personne non autorisée a accédé à certaines parties de l’environnement de développement de LastPass, volant des portions du code source ainsi que certains détails techniques exclusifs de LastPass.
Lors de l’enquête sur l’incident, LastPass a fait appel aux services d’une société d’expertise et de cybersécurité. Le service de gestion de mots de passe a informé les utilisateurs qu’il avait déjà mis en place des solutions de sécurité supplémentaires pour éviter toute nouvelle exposition ou violation.
La direction de l’entreprise a déclaré qu’elle ne stockait pas les mots de passe des utilisateurs sur son système, ce qui signifie qu’aucun mot de passe utilisateur ou mot de passe principal n’a été exposé.
Rien ne prouve qu’il y ait eu accès à des données cryptées
LastPass a également déclaré que l’enquête sur l’incident n’a révélé aucune preuve d’un accès non autorisé à des données cryptées. La société a assuré aux utilisateurs que leur environnement n’est pas compromis. Pour l’instant, la société n’a recommandé aucune action à entreprendre mais a conseillé aux utilisateurs de continuer à appliquer les contrôles de sécurité et de suivre les meilleures pratiques pour protéger leurs données.
Bien que LastPass affirme avoir maîtrisé l’attaque et qu’aucune autre action n’est nécessaire, elle n’a pas fourni de détails sur la méthode d’atténuation exacte utilisée pour renforcer l’environnement.
L’entreprise affirme avoir plus de 100 000 comptes professionnels et plus de 33 millions d’utilisateurs actifs.
La société a également publié une FAQ pour que les utilisateurs puissent obtenir plus d’informations sur le statut de l’incident et savoir s’ils ont été exposés. Elle a indiqué que tous les produits et services LastPass fonctionneront normalement, malgré la violation.
Cependant, la question de savoir si les données propriétaires compromises permettront aux acteurs de la menace de découvrir des failles dans le produit de gestion des mots de passe de l’entreprise a suscité de vives inquiétudes.
LastPass a assuré aux utilisateurs qu’il utilise un modèle de cryptage « zéro connaissance » pour débloquer l’accès au compte d’un utilisateur. Le processus implique le stockage du mot de passe principal uniquement sur l’appareil du client.
Toutefois, la société a conseillé aux utilisateurs de s’assurer qu’ils activent l’authentification multifactorielle (AMF) sur leurs comptes. Cela donnera aux utilisateurs une couche de sécurité supplémentaire au cas où le portail en ligne qu’ils utilisent serait exposé. LastPass a informé les utilisateurs que d’autres mises à jour sur l’incident et les mesures à prendre suivront au fur et à mesure que l’enquête se poursuivra.
Deux attaques en moins d’un an
Ce sera la deuxième fois que LastPass subira une violation en l’espace d’un an. En décembre dernier, la société a été victime d’une attaque de credential stuffing qui a permis aux hackers d’accéder au mot de passe maître d’un utilisateur. Selon le rapport, les mots de passe maîtres ont été volés par des hackers propageant le logiciel malveillant RedLine.
À l’époque, plusieurs utilisateurs de LastPass ont signalé que leurs mots de passe maîtres avaient été violés après avoir reçu des avertissements indiquant que quelqu’un avait tenté de se connecter à leur compte depuis un lieu inconnu.
La notification informait également l’utilisateur que le logiciel de sécurité bloquait les tentatives de pénétration puisqu’elles étaient faites à partir d’emplacements inconnus.
LastPass a ensuite déclaré qu’il s’agissait d’une attaque de credential stuffing. La société a déclaré qu’elle avait examiné les rapports sur les tentatives de connexion bloquées et découvert qu’il s’agissait d’une activité commune de botnet d’un acteur malveillant. La société a également indiqué qu’il n’y avait aucune information indiquant qu’un compte utilisateur avait été consulté avec succès et que des mesures avaient été prises pour assurer la sécurité des utilisateurs.
LastPass est invité à renforcer sa sécurité
En juin 2015, le gestionnaire de mots de passe a dû faire face à une autre violation après avoir confirmé que des acteurs de la menace avaient accédé au réseau. Contrairement à aujourd’hui, les utilisateurs ont été conviés à changer leurs mots de passe principaux lorsqu’ils se connectent à la plateforme. Dans le dernier incident, il est bon que les données des clients n’aient pas été violées.
Toutefois, il est alarmant de constater que les auteurs de la menace ont eu accès à des « informations techniques exclusives et à des codes sources ». Ceci est d’autant plus inquiétant qu’il n’y a pas d’autres détails concernant ce qui a été volé.
Bien que LastPass ait été franc à propos de tout incident de piratage lorsqu’il se produit, la société a été chargée de renforcer sa sécurité. Il lui a été demandé de donner la priorité à la sécurité et à la protection des mots de passe des clients afin de maintenir la confiance qu’elle a acquise au fil des ans.