Lastpass : le gestionnaire de mots de passe piraté durant 4 jours mais rien n'aurait fuité... selon le P.-D.G.

21 septembre 2022 à 13h30
8
Pirate

Les conclusions de l’enquête sont limpides pour l’entreprise : aucune donnée client n’a été dérobée.

Le 25 août, Karim Toubba, P.-D.G. de LastPass, un gestionnaire de mots de passe, informait le public d’une intrusion dans l’environnement de développement. Il garantissait à l’époque que les cybercriminels n’avaient pas réussi à voler les données utilisateurs. Dans une nouvelle publication, Karim Toubba détaille la conclusion de l’enquête menée avec Mandiant, apportant ainsi davantage de précisions sur cet évènement.

Sauvé par un système Zero Knowledge

Pas de rétropédalage : les données utilisateurs n’ont pas été volées. L’entreprise explique qu’un pirate a effectivement accédé à l’environnement de développement de LastPass après avoir compromis le terminal d’un développeur et obtenu ses codes d’authentification.

Fort heureusement pour les utilisateurs du service, ce gestionnaire de mots de passe utilise, comme de coutume, un système dit Zero Knowledge.

L’environnement de développement ne contient ni donnée client ou ni coffre-fort crypté ; il est physiquement séparé de l’environnement de production et il n’y a pas de lien direct entre eux. Ainsi, LastPass ne dispose pas des mots de passe principaux des coffres-forts de ses clients, et sans ce mot de passe principal, il est en pratique quasiment impossible pour un tiers de décrypter les données du coffre-fort d’un utilisateur.

Reste que le pirate aurait pu profiter de son accès à la plateforme de développement pour injecter du code malveillant. Une analyse complète du code source n’a rien révélé de tel. De fait, l’entreprise explique que la faculté d’injecter du code source depuis l’environnement de développement vers l’environnement de production est limitée aux développeurs composant une petite équipe séparée. Ce processus est également jalonné par de nombreuses phases de test/validation.

Enfin, il n'y a aucune preuve d'une quelconque activité malveillante au-delà de la période établie de quatre jours.

Des contrôles supplémentaires

Karim Toubba rapporte que cet incident a néanmoins conduit son entreprise à conclure un partenariat avec une société de cybersécurité « de premier plan ». Il évoque aussi l’établissement de nouveaux contrôles de sécurité et le renforcement des procédures.

Le P.-D.G. conclut : « Nous sommes conscients que les incidents de sécurité, quels qu'ils soient, sont déstabilisants, mais nous tenons à vous assurer que vos données personnelles et vos mots de passe sont en sécurité chez nous ». Autrement dit, l'incident n'a fait aucune victime…

Source : LastPass

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
8
8
MHC
Quelle merveilleuse idée que de stocker ses mots de passe en ligne chez un prestataire… Au pire tu le fais dans un fichier que tu as toi-même bien bien crypté…
Titan
tout simplement des fichiers texte dans une clé usb et le tour est joué, élémentaire, en, plus c’est une des plus vieille fonction sur Windows, la base, toujours
Killa_Bees_Be
C’est probablement le pire conseil à donner …
Sweety
Je donne gracieusement des cours au sénior, des le premier jour je leur demande de prendre un carnet alphabétique comme on en utilisait pour noter les numéros de téléphone. Cela permet de noter les sites avec les identifiants et mot de passe.
backsec
Dès lors que ce carnet ne quitte jamais le domicile, c’est effectivement un bon conseil.
backsec
C’était peut-être un sarcasme.
pocketalex
« tu le fais dans un fichier que tu as toi-même bien bien crypté… »<br /> un logiciel open source comme Keepass, avec pour entrer dans la base un mot de passe personnel + la sélection d’un fichier clé situé quelque part dans l’ordinateur, me semble un niveau de protection relativement correct et assez élevé<br /> Le cryptage est de niveau SHA-256, du dire des développeur de Keepass aucun outil n’est actuellement capable de casser une telle protection. A vérifier, mais largement de quoi décourager un pirate qui aurait eu accès à votre ordinateur personnel et ramené la base<br /> Après comme tout vol, physique ou digital, soit on a pas grand chose à se faire voler les et les malandrins n’useront pas d’une grande énergie pour tenter de récupérer vos données si les protections sont élevées, soit on a affaire à quelqu’un qui ne vient pas par hasard
Pernel
Prenez KeePass (tous les OS), voir même la version sans installation sur une clé, rien de mieux que le local, gratuit, opensource etc.
Titan
Explique moi çà, alors
ld9474
pocketalex:<br /> Le cryptage est de niveau SHA-256, du dire des développeur de Keepass aucun outil n’est actuellement capable de casser une telle protection<br /> Effectivement aujourd’hui on ne casse pas de SHA-256 mais ce n’est pas un algo reversible. Je ne pense donc pas que c’est ce qui est utilisé. On utilise cet algo pour valider un mdp par exemple, ce qui évite de le stocker en clair quelque part sur un serveur. On stocke la valeur cryptée que l’on va comparer au mot de passe saisi que l’on encrypte et on valide leur égalité. Pour plus de sécu et limiter un crackage de type Brute Force on va également ajouter des éléments supplémentaires dans le mot de passe (email de l’utilisateur, x caractère du nom, du pseudo bref tout ce qui peut pourrir la vie d’un potentiel hacker).
MHC
Euh … sur une partition cryptée oui, sinon, si tu perds ta clé…
Voir tous les messages sur le forum

Derniers actualités

Êtes-vous prêts pour le bracelet de paiement ? Le français Fyve se lance en couleurs
Pourquoi les joueurs préfèrent les cartes graphiques milieu et bas de gamme ?
Mort de Stadia : Google aurait annulé une suite de Death Stranding
Samsung : découvrez les rendus du futur Galaxy A14
Airbnb va donner de l'argent aux hôtes qui font des travaux de rénovation énergétique
Crypto et influenceurs : pourquoi Kim Kardashian risque-t-elle 1,26 million de dollars d'amende ?
Là où meurent les Autolib... un cimetière découvert en pleine campagne
Profitez d'une belle remise sur le Samsung Galaxy S20 FE
Non, l'iPhone 15 n'aura pas Touch ID (ni les iPhone suivants)
Gboard Bar, ce clavier dévoilé par Google Japon est parfaitement incroyable
Haut de page