Lastpass : le gestionnaire de mots de passe piraté durant 4 jours mais rien n'aurait fuité... selon le P.-D.G.

Rémi Bouvet
21 septembre 2022 à 13h30
8
Pirate

Les conclusions de l’enquête sont limpides pour l’entreprise : aucune donnée client n’a été dérobée.

Le 25 août, Karim Toubba, P.-D.G. de LastPass, un gestionnaire de mots de passe, informait le public d’une intrusion dans l’environnement de développement. Il garantissait à l’époque que les cybercriminels n’avaient pas réussi à voler les données utilisateurs. Dans une nouvelle publication, Karim Toubba détaille la conclusion de l’enquête menée avec Mandiant, apportant ainsi davantage de précisions sur cet évènement.

Sauvé par un système Zero Knowledge

Pas de rétropédalage : les données utilisateurs n’ont pas été volées. L’entreprise explique qu’un pirate a effectivement accédé à l’environnement de développement de LastPass après avoir compromis le terminal d’un développeur et obtenu ses codes d’authentification.

Fort heureusement pour les utilisateurs du service, ce gestionnaire de mots de passe utilise, comme de coutume, un système dit Zero Knowledge.

L’environnement de développement ne contient ni donnée client ou ni coffre-fort crypté ; il est physiquement séparé de l’environnement de production et il n’y a pas de lien direct entre eux. Ainsi, LastPass ne dispose pas des mots de passe principaux des coffres-forts de ses clients, et sans ce mot de passe principal, il est en pratique quasiment impossible pour un tiers de décrypter les données du coffre-fort d’un utilisateur.

Reste que le pirate aurait pu profiter de son accès à la plateforme de développement pour injecter du code malveillant. Une analyse complète du code source n’a rien révélé de tel. De fait, l’entreprise explique que la faculté d’injecter du code source depuis l’environnement de développement vers l’environnement de production est limitée aux développeurs composant une petite équipe séparée. Ce processus est également jalonné par de nombreuses phases de test/validation.

Enfin, il n'y a aucune preuve d'une quelconque activité malveillante au-delà de la période établie de quatre jours.

Des contrôles supplémentaires

Karim Toubba rapporte que cet incident a néanmoins conduit son entreprise à conclure un partenariat avec une société de cybersécurité « de premier plan ». Il évoque aussi l’établissement de nouveaux contrôles de sécurité et le renforcement des procédures.

Le P.-D.G. conclut : « Nous sommes conscients que les incidents de sécurité, quels qu'ils soient, sont déstabilisants, mais nous tenons à vous assurer que vos données personnelles et vos mots de passe sont en sécurité chez nous ». Autrement dit, l'incident n'a fait aucune victime…

Source : LastPass

Rémi Bouvet

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (8)

MHC
Quelle merveilleuse idée que de stocker ses mots de passe en ligne chez un prestataire… Au pire tu le fais dans un fichier que tu as toi-même bien bien crypté…
Titan
tout simplement des fichiers texte dans une clé usb et le tour est joué, élémentaire, en, plus c’est une des plus vieille fonction sur Windows, la base, toujours
Killa_Bees_Be
C’est probablement le pire conseil à donner …
Sweety
Je donne gracieusement des cours au sénior, des le premier jour je leur demande de prendre un carnet alphabétique comme on en utilisait pour noter les numéros de téléphone. Cela permet de noter les sites avec les identifiants et mot de passe.
backsec
Dès lors que ce carnet ne quitte jamais le domicile, c’est effectivement un bon conseil.
backsec
C’était peut-être un sarcasme.
pocketalex
« tu le fais dans un fichier que tu as toi-même bien bien crypté… »<br /> un logiciel open source comme Keepass, avec pour entrer dans la base un mot de passe personnel + la sélection d’un fichier clé situé quelque part dans l’ordinateur, me semble un niveau de protection relativement correct et assez élevé<br /> Le cryptage est de niveau SHA-256, du dire des développeur de Keepass aucun outil n’est actuellement capable de casser une telle protection. A vérifier, mais largement de quoi décourager un pirate qui aurait eu accès à votre ordinateur personnel et ramené la base<br /> Après comme tout vol, physique ou digital, soit on a pas grand chose à se faire voler les et les malandrins n’useront pas d’une grande énergie pour tenter de récupérer vos données si les protections sont élevées, soit on a affaire à quelqu’un qui ne vient pas par hasard
Pernel
Prenez KeePass (tous les OS), voir même la version sans installation sur une clé, rien de mieux que le local, gratuit, opensource etc.
Titan
Explique moi çà, alors
ld9474
pocketalex:<br /> Le cryptage est de niveau SHA-256, du dire des développeur de Keepass aucun outil n’est actuellement capable de casser une telle protection<br /> Effectivement aujourd’hui on ne casse pas de SHA-256 mais ce n’est pas un algo reversible. Je ne pense donc pas que c’est ce qui est utilisé. On utilise cet algo pour valider un mdp par exemple, ce qui évite de le stocker en clair quelque part sur un serveur. On stocke la valeur cryptée que l’on va comparer au mot de passe saisi que l’on encrypte et on valide leur égalité. Pour plus de sécu et limiter un crackage de type Brute Force on va également ajouter des éléments supplémentaires dans le mot de passe (email de l’utilisateur, x caractère du nom, du pseudo bref tout ce qui peut pourrir la vie d’un potentiel hacker).
MHC
Euh … sur une partition cryptée oui, sinon, si tu perds ta clé…
Voir tous les messages sur le forum

Top gestionnaires de mot de passe

NordPass
NordPass Voir l'offre
Dashlane
Dashlane Voir l'offre
1Password
1Password Voir l'offre

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

LastPass attaqué, que s'est-il passé ? LastPass attaqué, que s'est-il passé ?
Pourquoi LastPass pourrait risquer une amende de 20 millions dans le cadre du RGPD ? Pourquoi LastPass pourrait risquer une amende de 20 millions dans le cadre du RGPD ?
Lastpass intègre ExpressVPN à son service de gestion de mot de passe Lastpass intègre ExpressVPN à son service de gestion de mot de passe
En 2022 Infomaniak redoublera d'efforts pour contrer Google, Microsoft et cie En 2022 Infomaniak redoublera d'efforts pour contrer Google, Microsoft et cie
7 fournisseurs de VPN 7 fournisseurs de VPN "zero log" font fuiter plus de 1 To... de logs