LastPass : le piratage de novembre est bien plus large que ce qu'on croyait

28 janvier 2023 à 15h00
14
LastPass © Shutterstock
© Shutterstock

La maison-mère de LastPass, GoTo, en a dit plus sur les dégâts causés sur le gestionnaire de mots de passe, touché par plusieurs fuites majeures. Au passage, l'entreprise a révélé que plusieurs autres de ses services avaient aussi été touchés.

Le feuilleton LastPass a connu un nouveau rebondissement cette semaine. L'entreprise GoTo, basée à Boston, a publié il y a quelques jours sa « réponse à un récent incident de sécurité. » Plus particulièrement, la maison-mère de LastPass est revenue sur le piratage subi par le gestionnaire au mois de novembre qui, rappelons-le, était le second de l'année civile. Ceci avait d'ailleurs, à la fin de l'année 2022, suscité les vives critiques de ses concurrents, mais pas que !

Un service piraté qui en cachait… quatre autres !

Concernant la brèche du mois de novembre, le PDG de GoTo, Paddy Srinivasan, a confirmé que des pirates ont bien exfiltré des sauvegardes, des données qui étaient stockées dans le Cloud, depuis un service lui-même lié à d'autres produits.

Le patron de GoTo précise que le serveur VPN Hamachi, que le service de visioconférence Join.me, que le logiciel dédié aux entreprises Central et que la solution d'accès à distance RemotelyAnywhere ont aussi été touchés. Les attaquants ont, en effet, pu récupérer une certaine quantité de données liées à ces logiciels.

Les hackers sont parvenus à obtenir une clé permettant de déchiffrer une partie des sauvegardes. Parmi les données exfiltrées, GoTo évoque des noms d'utilisateur ou encore des mots de passe hachés et salés. Petite précision, il ne faut pas confondre un mot de passe chiffré (qui suppose donc qu'il existe un moyen de le déchiffrer) avec un mot de passe salé et haché, qui va être transformé, auquel on va ajouter des caractères et qui ne fonctionne qu'à sens unique (en d'autres termes, qui est beaucoup plus sécurisé qu'un mot de passe simplement chiffré).

Des données sur les règles d'applications et des informations de licence ont aussi été dérobées. Si elles n'ont pas été volées par les pirates, les bases de données de Rescue et de GoToMyPC ont néanmoins été impactées, avec le vol potentiel de certains réglages d'authentification à factures multiples (MFA).

GoTo s'active pour rassurer ses clients et utilisateurs

GoTo affirme être en train de contacter progressivement l'ensemble de ses clients et utilisateurs, pour leur distiller quelques recommandations utiles à une meilleure sécurisation de leur compte. Tous les utilisateurs concernés par la fuite du mois de novembre ont vu leurs mots de passe (même si salé et haché) réinitialisés. GoTo évoque ici le choix de la « prudence ».

Les différents services frappés ont depuis été migrés vers une plateforme davantage sécurisée, ce qui inclut les comptes des utilisateurs. L'entreprise ajoute que l'infrastructure « fournira une sécurité supplémentaire, avec des options d'authentification et de sécurité basées sur une connexion plus robuste ».

Et pour rassurer les plus inquiets, et pendant que l'enquête autour de cette brèche se poursuit, GoTo a rappelé ne pas stocker les coordonnées bancaires complètes de ses utilisateurs, ni les informations personnelles qui permettraient de les identifier, comme la date de naissance, l'adresse postale ou le numéro de sécurité sociale.

Source : GoTo

A découvrir en vidéo

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
14
13
peper_1_1
« le vol potentiel de certains réglages d’authentification à factures multiples (MFA) »<br /> Ça va leur coûter cher cette histoire
Biggs
J’imagine mal qu’une boîte qui a foiré à tel point sur son fonds de commerce principal puisse s’en relever. J’aimerais bien savoir combien de clients ont fichu le camp après cette histoire (moi ça serait mon premier réflexe).
bmustang
allez tous chez bitwarden qui sait vous protéger et pas comme ces rigolos
Belgarath
Jusqu’au jour où cela leur arrivera (ce que je ne souhaite évidemment pas).
LeChien
Personne dans ce domaine n’est en attente d’un produit messie.<br /> BW est un produit parmi d’autres.
arnaques_tutoriels_aide_informatique_tests
Jai jamais fais confiance à ces cibles parfaites pour les hackeurs…c’est comme les banques ou bijoutiers…
yabadabado
il faut être stupide pour héberger ses mots de passe dans des clouds …
yabadabado
meme scam que les autres
gemini7
Hé-hé, c’est une des raisons pour lesquelles je n’ai pas confiance en ce genre de produits.
Oli1
« Les différents services frappés ont depuis été migrés vers une plateforme davantage sécurisée, ce qui inclut les comptes des utilisateurs. L’entreprise ajoute que l’infrastructure « fournira une sécurité supplémentaire, avec des options d’authentification et de sécurité basées sur une connexion plus robuste ». »<br /> …cela n’aurait pas dû être fait dès le départ ?<br /> Sinon, pour les sempiternels « il faut être stupide pour héberger ses mots de passe dans des clouds », je rappelle qu’aucune solution n’est parfaite, même celle que vous allez nous développer.<br /> A mon avis, le plus sûr (mais pas 100%) reste Keepass en local. Très sécurisé, vraiment.
heauton
Bonjour,<br /> Bitwarden et keepass, cités ici en commentaires ont quoi de plus ou de plus sûr, non pas tant face aux agresseurs mais dans leur structure et leur manière de protéger et des multiplier les entraves à ces agressions ? Et accessoirement un peu face aux agresseurs ?<br /> Merci
yAAm
« (en d’autres termes, qui est beaucoup plus sécurisé qu’un mot de passe simplement chiffré). » Je ne suis pas d’accord, on ne peut pas comparer le niveau de sécurité. Le hashage s’appuie sur le fait qu’on ne connais pas de méthode permettant d’inverser ce dernier, du moins pas de méthode rapide, mais le brute force pourrait être plus simple que celui d’une clef qu’on a pas. De même le sel pourra être déduis après avoir réussi à réverser quelques hash.
Zimt
Les Gestionnaires de mot de passe en ligne… mon Dieu, cette sélection naturelle…
Oli1
@heauton<br /> Keepass en particulier est pensé pour être utilisé en local (mais reste synchronisable).<br /> En plus du mot de passe classique permettant l’ouverture du coffre, Keepass peut être lié à un PC en particulier (non recommandé si l’on est amené à changer celui-ci, mais cela reste une option intéressante). Mais ce qui fait la différence à mon avis, c’est que la possibilité d’adjoindre un fichier quelconque (par ex. un texte en .txt), qui sans sa présence, bloque le coffre. Ainsi, même avec le mot de passe correct, Keepass reste inutilisable. Il existe également une version portable. C’est, je crois, le coffre le plus sécurisé et le mieux fait du marché, et il reste gratuit. On peut y stocker, en outre, des fichiers. Les options sont très nombreuses (ce qui en fait un outil certes complet, mais qui demande un apprentissage qui en vaut largement la peine).<br /> Vous pouvez stocker Keepass sur une clef USB, sans le fichier clef ; ainsi, le coffre ne sera réellement utilisable qu’en présence de ce dernier, une fois la clef installée sur votre PC.<br /> Bitwarden est très bien aussi, et reste gratuit également (avec une version payante à mon sens inutile, mais très bon marché).<br /> J’utilise les deux, mais je reste plus attaché à Keepass pour les fichiers à protéger sérieusement (comme les identifiants de mes sauvegardes, ou les cartes de crédit, par ex.).
Voir tous les messages sur le forum

Derniers actualités

Des abonnements à moitié prix sont disponibles chez CCleaner !
Roblox, le jeu au 160 millions de joueurs par mois, lance deux IA ; mais pour quoi faire ?
Une puissance brute de 22 TFLOPs pour la future GeForce RTX 4060 Ti
Diablo IV est tellement infernal qu'il est apparemment capable de brûler des cartes graphiques
La souris gaming Logitech G502 est à prix cassé en ce moment
Gmail : rédiger ses mails avec l'IA, ça va ressembler à quoi ?
Spatium M570 : MSI officialise son premier SSD NVMe PCI Express 5.0
NVIDIA Omniverse : l'IA générative au service du développement des jeux de demain ?
Attention, des hackers testent leur nouvelle méthode de phishing sur iCloud, PayPal ou encore Google Docs
Cdiscount vous rembourse 50% du prix de cette TV LG OLED 4K de 55
Haut de page