Le feuilleton LastPass continue : 4,4 millions de dollars dérobés en crypto-monnaie !

Camille Coirault
07 novembre 2023 à 11h41
12
Sale période pour LastPass, qui ne sort pas la tête de l'eau © Shutterstock
Sale période pour LastPass, qui ne sort pas la tête de l'eau © Shutterstock

LastPass se retrouve encore une fois en pleine confusion. La plateforme vient encore de subir une intrusion, et les responsables se sont fait la malle avec 4,4 millions de dollars.

Voilà plusieurs mois que LastPass, un gestionnaire de mots de passe plutôt populaire, est victime de plusieurs attaques de hackers. Des attaques bien ciblées, puisqu'elles visent particulièrement les usagers de la plateforme détenteurs de crypto-monnaies. Depuis 2022, elles commencent à peser lourd, et on estimait les pertes à plus de 35 millions de dollars à la rentrée. La série noire continue, et des chercheurs experts en fraude à la crypto viennent de découvrir que 4,4 millions de dollars supplémentaires viennent d'être subtilisés au mois d'octobre.

La faille et ses conséquences

Le casse virtuel a eu lieu le 25 octobre et a été mis sous le feu des projecteurs par Taylor Monahan et ZachXBT, deux développeurs travaillant chez MetaMask, un portefeuille logiciel de crypto-monnaie. Les deux compères traquent avec attention tout ce qui se rapproche de près ou de loin aux vols de devises numériques ou autres incidents pouvant s'en rapprocher. ZachXBT s'est exprimé auprès du média Bleeping Computer : « Régulièrement, des personnes ayant subi des vols de leurs actifs en crypto nous contactent par messages privés. Il nous arrive aussi de contacter des victimes directement sur la blockchain. » Il complète : « À force de questions posées aux potentielles victimes de LastPass, nous en arrivons à la conclusion qu'ils ont tous un point en commun : ils utilisent ce logiciel de gestionnaire de mots de passe ».

La faille ne date pas d'hier, puisqu'une partie du code source de la plateforme avait été dérobé en 2022. Deux intrusions plutôt importantes ont également permis aux pirates de s'emparer de données de clients, et des coffres-forts virtuels remplis de mots de passes cryptés. Le PDG de LastPass, Karim Toubba, s'était montré plutôt rassurant. Selon lui, le fait de détenir les coffres-forts ne suffisaient pas à avoir accès au mot de passe principal, que seuls les clients détiennent. Du moins, c'était la théorie, mais cela n'a pas empêché les différents vols d'avoir lieu.

Tweet de ZachXBT du 27 octobre, qui détaille le vol © ZachXBT sur X.com
Tweet de ZachXBT du 27 octobre, qui détaille le vol © ZachXBT sur X.com

Prévention et réduction des risques

L'entreprise avait tout de même conseillé aux utilisateurs avec un mot de passe principal considéré comme faible de le réinitialiser complètement. Un communiqué du support de LastPass indiquait au mois de mars : « Selon la longueur et la complexité de votre mot de passe principal et les réglages du compteur de tentatives, il serait judicieux de le réinitialiser ».

Pour Monahan et ZachXBT, cela ne fait pas l'ombre d'un doute : si les voleurs ont eu accès aux coffres-forts, ils ont eu le champ libre pour subtiliser des clés cryptées reliées à des portefeuilles de crypto-monnaies. Une fois ces informations en poche, un simple transfert vers leurs propres wallets était nécessaire pour détrousser leurs victimes. Monahan a expliqué sur X.com au mois d'août : « À ce stade, je suis plutôt assuré du fait que, dans la plupart de ces cas, les clés compromises ont été volées chez LastPass. Impossible d'ignorer le fait qu'un grand nombre de ces victimes avaient leurs clés en stock sur la plateforme ».

LastPass est loin d'être sortie du bourbier. Si vous utilisez cette plateforme et que votre compte a été actif lors des intrusions d'août et de décembre 2022, nous vous conseillons de changer vos mots de passe. Ou plus radicalement, de changer de crèmerie.

Source : Bleeping Computer

Camille Coirault

Camille Coirault

Une fois réveillé dans le bateau arrivé en Morrowind, j’avais mis le doigt dans l'engrenage. Un autre de mes doigts fut lui aussi coincé entre les pages des livres d’auteurs classiques : Charles Baud...

Lire d'autres articles

Une fois réveillé dans le bateau arrivé en Morrowind, j’avais mis le doigt dans l'engrenage. Un autre de mes doigts fut lui aussi coincé entre les pages des livres d’auteurs classiques : Charles Baudelaire, Émile Zola, Choderlos de Laclos ou Victor Hugo pour ne citer qu’eux. Vingt ans après, quelques milliers d'heures à jouer, à lire, et me voilà ! Mon coeur balance toujours entre ma passion de la tech, des jeux vidéo et mon amour incommensurable pour les Lettres. Spoiler : je n’ai pas choisi et cela ne risque pas d’arriver de sitôt.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (12)

max6
Finalement je ne suis pas mécontent de la solution choisie. KeepassXC est un gestionnaire local opensource j’ai donc une base de donnée crypté que je dépose sur un cloud européen que j’ai payé à vie (petite taille c’est pas cher par rapport à un abonnement ) qui m’assure de savoir ou est le serveur. Les données déposées dessus sont aussi cryptés (donc deux protections successives par deux logiciels qui n’ont rien à voir entre eux). Et j’en dispose sur tous mes terminaux.<br /> Avantage si une faille voit le jours sur le gestionnaire je peux en changer comme je peux changer la méthode de chiffrement du cloud qui offre plusieurs algorithmes différents. Voir chiffrer la base à partir des appareils avec un autre logiciel (suffit qu’il soit disponibles sur tous les OS utilisés).
Mindview
Le concept de confier mes mots de passe à un service tier m’a toujours laissé perplexe puisque que dans l’absolu tout ce qui est numérique est potentiellement piratable.
nicgrover
Merci du tuyau, je ne connaissais pas. Je vais tester.
sylvebarbe78
Voilà pourquoi jamais je n’utiliserai un gestionnaire de mots de passe en ligne. Mon gestionnaire de mots de passe c’est un carnet papier et un crayon.
Loposo
Oui enfin quand je vois la simplicité de copie de chrome à edge a Firefox Les mots de passe, j ai pas plus confiance.<br /> Perso j utilise bitwarden et pas plus inquiet que ca<br /> Surtout que la ça semble est des compte bien précis<br /> Après keypass, si on a un keylogger la personne pourra aussi voler nos mots de passe bref en lical n est pas forcément plus sécurisé.<br /> Il h à juste que j enregistré jamais mes cartes sur les sites de e commerce, et il y a que la banque ou je n enregistré pas le mot de passe
Oracle1
Last tour de passe passe LOL, ok je sort…!!
max6
c’est bien mais même pour les recopier des mots de passe un peu complexes comme celui-là «&nbsp;LD@yf`{q,3y7s4ZS.W&amp;&nbsp;» et ben il vaut mieux un gestionnaire pas forcément en le confiant à une boite dont on ne sait ni ou ni comment elle les gère là je suis d’accord.
max6
Quelle différence entre keypass qui est local et bitwarden en ligne par rapport au keylogger ?
sylvebarbe78
Je préfère perdre 5 minutes que 5€
Pernel
chiffré*<br /> J’utilise Keepass «&nbsp;tout court&nbsp;» c’est austère et simpliste mais c’est top.
max6
le logiciel est gratuit et le cloud payé 150 € à vie il y a 7 ans et qui me sert à sauvegarder les documents vraiment importants (c’est un coffre fort externe quoi). On peut même dire qu’il est gratuit pour cet usage puisque ce n’est pas sa fonction première.<br /> Et si c’était sa seule utilité aujourd’hui ce stockage me revient à 1,8 € par mois et cela diminue tous les mois puisque je l’ai payé en une seule fois.
Carmageddon
Pour ma part, j’utilise une clé sécurisée : l’Apricorn Aegis Secure Key 3.0 dont un petit test de la 3z est visible ici : Examen Apricorn Aegis Secure Key 3z - StorageReview.com , le capuchon de la mienne englobe toutes les touches, il existe aussi la 3NX et la 3NXC (USB-C).<br /> Concernant mon expérience pour la 3.0, Il est impossible de s’en servir sans avoir enregistré un code, sans code le système d’exploitation ne détecte pas la clé.<br /> Ce code administrateur peut contenir entre 7 et 16 chiffres auquel on peut éventuellement rajouter un code utilisateur pour une autre personne qui n’aura pas accès aux fonctions administrateurs.<br /> Un nombre de faux codes peut être défini entre 2 et 10, au bout de par exemple 10 faux codes, le mode force brute sera activée et la clé verrouillée, il faudra alors suivre la procédure du manuel (appuyer simultanément sur le cadenas ouvert + touche 5 puis rentrer le code «&nbsp;last try&nbsp;» qui est indiqué dans ce manuel pour avoir 10 tentatives supplémentaires (soit 20 en tout), si les codes sont de nouveau faux, le contenu de la clé sera effacé. Dans le cas minimum de 2 codes faux configurés, cela donnera donc 2 + 2 en «&nbsp;last try&nbsp;» donc 4 tentatives en tout au minimum.<br /> Il est aussi possible de définir un code d’autodestruction des données de 7 à 16 chiffres qui une fois tapé supprimera directement celles-ci. Donc des codes que tout le monde va tenter en premier comme 123456789 par exemple. Je trouve dommage de ne pas pouvoir descendre en dessous de 7 pour être plus rapide lorsqu’on l’a en main.<br /> Un mode lecture seule est disponible (il sera impossible de créés ou modifier les documents présents) qui est utile sur des ordinateurs publics qui peuvent être infectés par un malware.<br /> Les 3 LED présentes permettent de voir l’état de la clé, il y a 13 états (voir page 6 du manuel) avec des LED variant de fixe, à clignotement rapide ou lent en passant par le changement d’état. En gros, la première rouge, la clé est verrouillée, la deuxième verte, la clé de déverrouillée et la troisième bleue, la clé est en mode administrateur pour configurer les diverses fonctions. Aucun logiciel n’est nécessaire pour la configuration.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

LastPass : une gueule de bois qui n'en finit plus LastPass : une gueule de bois qui n'en finit plus
Le RecApp' : Amazon, Firefox, Windows, les actus qu'il ne fallait pas manquer cette semaine Le RecApp' : Amazon, Firefox, Windows, les actus qu'il ne fallait pas manquer cette semaine
Jeux en ligne : le fléau des cartes bancaires volées sur le Dark Web Jeux en ligne : le fléau des cartes bancaires volées sur le Dark Web
Connaissez-vous l'étonnante histoire de la marque X.com ? Connaissez-vous l'étonnante histoire de la marque X.com ?
Le RecApp' : Windows, Chrome, WhatsApp, les actus qu'il ne fallait pas manquer cette semaine Le RecApp' : Windows, Chrome, WhatsApp, les actus qu'il ne fallait pas manquer cette semaine