Les attaquants ont obtenu les mots de passe de 30 millions d’utilisateurs et de 85 000 entreprises dans le cadre d’une faille de sécurité LastPass

LastPass

Au cours des derniers mois, LastPass a été au centre de plusieurs problèmes impliquant des fuites de données utilisateur. En décembre de l’année dernière, LastPass a publié un rapport qui révèle qu’il a été attaqué en novembre. À l’époque, la société n’avait pas révélé beaucoup de détails sur l’attaque. Cependant, de nouvelles enquêtes révèlent maintenant que l’attaque remonte à quelques mois. De plus, l’attaquant a obtenu les mots de passe de 30 millions d’utilisateurs et de 85 000 entreprises auprès de LastPass. LastPass est un outil de gestion de mots de passe en ligne multiplateforme freemium. Il vise à résoudre le problème de la saisie fréquente des mots de passe en centralisant les mots de passe des utilisateurs dans le cloud. Ce système prend en charge la plupart des navigateurs et plates-formes sur le Web.

Dernier passage

La violation de données la plus appréciée ?

Pour cette raison, si certaines de vos informations sont liées à LastPass, vous avez de bonnes raisons de vous inquiéter.

FTM déclare dans le rapport : « Il s’agit peut-être de l’une des bases de données volées les plus précieuses de tous les temps. La base de données implique des millions d’utilisateurs, et chaque utilisateur stocke généralement des dizaines de mots de passe ».

LastPass a mené quatre rapports l’année dernière, et les problèmes révélés dans les rapports sont devenus plus sérieux. Le directeur général, Karim Toubba, a déclaré en août dernier qu’un pirate informatique avait eu accès à l’espace de développement de l’entreprise via le compte d’un employé. Toubba a déclaré que l’activité du pirate était « limitée » et que les clients de LastPass n’ont pas à s’inquiéter ni à prendre de mesures.

Un autre rapport de LastPass toujours à la mi-septembre affirme qu’une enquête interne révèle que des pirates ont eu accès à ses systèmes pendant quatre jours mais n’ont rien fait de grave. LastPass a signalé une autre cyberattaque fin novembre, avec des pirates accédant à « certains éléments d’informations sur les clients ». Mais LastPass insiste sur le fait qu’il n’y a aucune raison de s’inquiéter.

Dernier passage

LastPass a annoncé le 22 décembre, trois jours avant Noël l’année dernière, que des pirates avaient volé les noms, adresses, e-mails, numéros de téléphone des utilisateurs, etc. Cependant, la société insiste toujours sur le fait qu’il n’y a pas de problèmes majeurs à craindre. Tant que les clients ont un bon mot de passe principal, leurs mots de passe sont sûrs, a déclaré la société. LastPass a déclaré qu’il faudrait des millions d’années pour déchiffrer un mot de passe à 12 caractères en utilisant des « techniques universellement disponibles ».

LastPass subit plusieurs violations de données

En décembre, The Verge a signalé que l’outil de gestion des mots de passe, LastPass, avait une autre violation de données. Les pirates ont accédé aux serveurs de stockage cloud tiers de LastPass et ont obtenu des informations critiques sur certains de ses clients, a déclaré le PDG Karim Toubba dans un article de blog.

Dans son article de blog, Tuba n’a pas précisé quelles informations les pirates avaient volées ni combien d’utilisateurs avaient été touchés. « Grâce à l’architecture Zero Knowledge de LastPass, les mots de passe de nos clients restent cryptés en toute sécurité », a déclaré Tuba dans un article de blog. L’architecture dite à connaissance zéro indique que seul l’utilisateur connaît le mot de passe principal. De plus, le cryptage ne se produit qu’au niveau de l’appareil au lieu du côté serveur, et LassPass ne le saura pas.

Actualité mobile (sous-titrée) de notre partenaire de la semaine


LastPass a eu une fuite de code source en août de cette année et a admis que des pirates avaient pénétré dans les systèmes internes de LastPass. L’attaque reçue en novembre devrait être liée à l’incident d’août. Tuba a déclaré que les pirates « ont utilisé les informations obtenues lors de l’incident d’août 2022 » pour accéder aux données des utilisateurs.

LastPass admet que le code source a été volé par des pirates

En août, LastPass a publiquement admis un incident de sécurité. Il révèle que le compte d’un développeur a été compromis et que des criminels ont obtenu une partie du code source et des informations techniques exclusives. Cependant, la société affirme qu’il n’y a aucune fuite de données utilisateur et que ses produits de service sont sûrs. La société révèle également que ses produits et services fonctionnent normalement et que les utilisateurs n’ont rien à faire.

Dernier passage

LastPass a déclaré avoir découvert que la faille de sécurité avait été exploitée en novembre de l’année dernière. Cependant, son travail révèle que toutes les données des utilisateurs sont en sécurité car l’entreprise n’a initialement stocké aucun mot de passe principal sur son serveur. Ainsi, ces mots de passe n’ont jamais été en danger.

« Nous avons déterminé qu’une partie non autorisée a obtenu un accès partiel à l’environnement de développement LastPass via un compte de développeur compromis et a obtenu des parties du code source et certaines informations techniques propriétaires de LastPass. Nos produits et services fonctionnent normalement. Cela s’est produit dans notre environnement de développement. Nos conclusions indiquent qu’aucune personne non autorisée n’a accédé aux données chiffrées du coffre-fort. Notre modèle garantit que seul le client lui-même a le droit de déchiffrer les données du coffre-fort. Actuellement, nous ne recommandons aucune action de la part de nos utilisateurs ou administrateurs ».

Les mots de passe dans LastPass sont protégés par un mot de passe principal, chiffrés localement et synchronisés avec n’importe quel navigateur. LastPass prend également en charge des fonctionnalités telles que le remplissage automatique de formulaires, la génération de mots de passe aléatoires et le partage de mots de passe.

LastPass piraté, le PDG assure qu’aucune donnée utilisateur n’a été divulguée

De retour en août, LastPass a admis que ses systèmes avaient été piratés et que certaines informations sensibles avaient été obtenues sur une période d’environ quatre jours. Le PDG de LastPass affirme que la société travaillera en étroite collaboration avec les experts en sécurité de Mandiant pour découvrir qu’aucune donnée utilisateur n’a été divulguée. Il affirme que les données de ses utilisateurs sont plus importantes.

1676111708 881 Les attaquants ont obtenu les mots de passe de 30.webp

Le PDG a assuré que bien que LastPass ait été piraté, aucune donnée utilisateur n’a été divulguée. D’après les informations jusqu’à présent, les attaquants ont obtenu le code source du gestionnaire de mots de passe LastPass et des informations techniques. Cependant, il est limité au dev. système du service et n’a rien à voir avec les données de l’utilisateur. Sans oublier que LastPass lui-même n’avait pas accès aux mots de passe principaux des utilisateurs. En fait, la société affirme que les mots de passe principaux ne se trouvent pas sur son serveur en premier lieu. Ainsi, les pirates n’ont pas pu les voler.

Après avoir utilisé une authentification multifacteur, les attaquants ont utilisé le point de terminaison d’un développeur et se sont fait passer pour le développeur. C’est ainsi qu’ils ont eu accès pour voler quelques informations.