Posté le mars 1, 2023 à 7:09
LASTPASS RÉVÈLE DES PROBLÈMES DE SÉCURITÉ SUPPLÉMENTAIRES SUITE AU PIRATAGE DE L’ORDINATEUR PERSONNEL D’INGÉNIEURS DE HAUT NIVEAU
LastPass a fait la une des journaux en raison d’une importante faille de sécurité sur sa plateforme en août dernier. Le gestionnaire de mots de passe assiégé a révélé une autre faille de sécurité majeure. Cela pourrait être la goutte d’eau qui fait déborder le vase pour les utilisateurs qui ont juré d’abandonner le gestionnaire de mots de passe à la recherche d’une alternative plus sûre.
LastPass révèle d’autres problèmes de sécurité
Au cours des derniers mois, depuis la violation de l’entreprise l’été dernier, Last Pass a publié des mises à jour concernant la violation majeure de l’entreprise. Le gestionnaire de mots de passe a alors révélé qu’un hacker avait accédé à l’écosystème de développement de l’entreprise et à une partie du code source.
Toutefois, la société a affirmé par la suite qu’il n’y avait « aucune preuve » que la violation ait affecté les données des utilisateurs. L’entreprise a publié une mise à jour en décembre, déclarant qu’elle avait commis une erreur dans la mise à jour initiale concernant l’absence de compromission des données des utilisateurs. Au lieu de cela, elle a admis que cette violation avait effectivement affecté les données des utilisateurs.
En décembre, LastPass avait déclaré qu’il ne partagerait pas les informations compromises sur les utilisateurs en raison de la violation de l’entreprise. Cependant, après quelques semaines, le gestionnaire de mots de passe assiégé a révélé ce qui s’était passé et les parties prenantes touchées par la violation.
L’entreprise a révélé que la violation avait touché des données de coffre-fort appartenant à des utilisateurs. Cette révélation a choqué les utilisateurs, car cette violation des données aurait pu entraîner la compromission de comptes.
Depuis la dernière mise à jour en décembre, LastPass n’a pas partagé de détails supplémentaires jusqu’à récemment. L’effet de la violation sur le gestionnaire de mots de passe pourrait être pire que ce que la plupart des utilisateurs avaient imaginé, ce qui pourrait être la goutte d’eau qui fera déborder le vase pour que de nombreux utilisateurs abandonnent le service.
L’ordinateur personnel d’un ingénieur de LastPass a été piraté
LastPass a publié un communiqué de presse ce lundi. Selon la société, la violation initiale des données en août a permis aux acteurs de la menace d’obtenir un accès non autorisé à l’ordinateur personnel de l’un des employés les plus privilégiés de LastPass.
L’employé en question est un ingénieur DevOps senior, parmi les quatre seuls employés de l’entreprise ayant accès aux clés de décryptage. Les hackers peuvent utiliser les clés à l’origine de cette violation pour déverrouiller l’environnement cloud partagé de la plateforme.
Le hacker en question a installé un keylogger dans l’ordinateur de l’ingénieur. Cette intrusion a permis au hacker de voler le mot de passe maître LastPass de cet employé. Le hacker a ensuite utilisé ce mot de passe pour s’introduire dans le coffre-fort des mots de passe de l’ingénieur LastPass.
Après avoir obtenu un accès non autorisé, les cybercriminels ont accédé à l’environnement cloud partagé de LastPass, qu’ils ont utilisé pour voler un large éventail de données importantes appartenant à l’employé. Ces données pourraient également être utilisées pour accéder à l’environnement cloud partagé de LastPass, où les hackers ont réussi à voler un grand nombre de données sensibles et importantes.
Le communiqué de presse de l’entreprise indique que le cybercriminel « a exporté les entrées natives du coffre-fort de l’entreprise et le contenu des dossiers partagés, qui contenaient des notes sécurisées cryptées avec les clés d’accès et de décryptage nécessaires pour accéder aux sauvegardes de production AWS S3 LastPass, à d’autres ressources de stockage dans le cloud et à certaines sauvegardes de base de données critiques connexes. »
La dernière mise à jour de LastPass montre que l’ampleur de la faille de sécurité est encore plus grave que ce qui avait été imaginé. Cette mise à jour ne plaira pas à la plupart des clients de la plateforme qui avaient déjà exprimé leurs inquiétudes face à l’évolution du problème de sécurité signalé l’été dernier.
La mise à jour montre que le cybercriminel à l’origine de cette attaque a réussi à infiltrer en grande partie les systèmes de LastPass. Elle montre aussi d’importantes faiblesses dans les défenses de sécurité utilisées par le gestionnaire de mots de passe.
Les experts conseillent déjà aux utilisateurs de LastPass d’abandonner la plateforme. Le chercheur en sécurité Joseph Cox estime que tous les internautes devraient s’abstenir d’utiliser LastPass en raison de la menace croissante des failles de sécurité. Selon le chercheur en sécurité, LastPass a des mesures de sécurité inadéquates, des tactiques de relations publiques suspectes et un manque de transparence.
Le piratage de l’ordinateur personnel de l’ingénieur pourrait être la goutte d’eau qui fait déborder le vase avant que les utilisateurs n’abandonnent la plateforme. La mesure dans laquelle le cybercriminel à l’origine de cette violation a compromis la plateforme a suscité des inquiétudes. Les nouveaux détails qui émergent régulièrement au sujet de la faille de sécurité dépeignent LastPass comme une entreprise dont les systèmes de défense sont faibles et qui n’est pas assez transparente pour qu’on lui confie les mots de passe des utilisateurs.