LastPass, le gestionnaire de mots de passe, confirme que les pirates ont eu un accès interne à son système, pendant quatre jours

Le 22 août, nous avons révélé que le code source de LastPass, le gestionnaire de mots de passe, et des informations techniques propriétaires de l’entreprise avaient t vols. L’éditeur du gestionnaire de mots de passe qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes avaient annoncé que des pirates se sont introduits dans le compte d’un de ses développeurs et l’ont utilisé pour accéder à des données exclusives. Aujourd’hui, LastPass affirme que les pirates ont eu un accès interne à son système pendant quatre jours. Le 25 août 2022, nous vous avons informé d’un incident de sécurité limitant l’environnement de développement de LastPass, au cours autorisé certains de nos codes sources et informations techniques sur t drobs. Je tenais vous informer de la conclusion de notre enquête afin d’assurer la transparence et la tranquillité d’esprit de nos communautés de consommateurs et d’entreprises, a déclaré Karim Toubba, PDG de LastPass.[/B]

LastPass est un gestionnaire de mots de passe freemium qui stocke les mots de passe en ligne. La version standard de LastPass est fournie avec une interface Web, mais elle comprend également des plugins pour divers navigateurs Web et des applications pour de nombreux smartphones. Elle prend également en charge les bookmarklets LogMeIn.

Le contenu d’un utilisateur dans LastPass, y compris les mots de passe et les notes sécurisées, est protégé par un seul mot de passe principal. Le contenu est synchronisé avec tous les appareils sur lesquels l’utilisateur utilise le logiciel ou les extensions d’application LastPass. Les informations sont chiffrées avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilité d’augmenter la valeur des itrations du mot passe. Le chiffrement et le déchiffrement ont lieu au niveau de l’appareil.

LastPass dispose d’un remplisseur de formulaire qui automatise la saisie du mot de passe et le remplissage du formulaire, et prend en charge la génération du mot de passe, la journalisation du site et l’authentification à deux facteurs. LastPass prend en charge l’authentification de deux factoreurs via diverses méthodes, notamment l’application LastPass Authenticator pour les téléphones mobiles, ainsi que d’autres méthodes comme YubiKey.

LastPass est disponible en tant qu’extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont également disponibles pour les smartphones fonctionnant sous les systèmes d’exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalité hors ligne. Notez que LastPass désactive le paramètre de navigation de Google Chrome, permettant à l’utilisateur d’enregistrer automatiquement son mot de passe dans le navigateur.

Nous avons terminé l’enquête et le processus d’investigation en partenariat avec Mandiant. Notre enquête a révélé que l’activité de l’acteur de la menace s’est limitée une période de quatre jours en août 2022. Pendant cette période, l’équipe de sécurité de LastPass a détecté l’activité des cybercriminels et a ensuite contenu l’incident, déclarer l’entreprise.

Il n’y aurait aucune preuve d’une quelconque activité de l’acteur de la menace au-del de la période établie. Nous pouvons également confirmer qu’il n’y a aucune preuve que cet incident est implicite un accès aux données des clients ou aux coffres de mots de passe chiffrs.

Lenqute de LastPassa détermine que les cybercriminels ont accès à l’environnement de développement en utilisant le terminal compromis d’un développeur. Bien que la méthode use pour le compromis initial du point de terminaison ne soit pas conclusive, les cybercriminels ont utilis son accs persistent pour se faire passer pour le développeur après que celui-ci se soit authentifi avec succss l’aide de l’authenticelle multifactorielle .

Bien que les cybercriminels aient pu accéder à l’environnement de développement, la conception et les contrôles de notre système ont empch l’acteur menaant d’accéder aux données des clients ou aux coffres-forts de mots de passe chiffrés.

Tout d’abord, l’environnement de développement de LastPass est physiquement séparé de notre environnement de production et n’a aucune connexion directe avec celui-ci. Deuxièmement, l’environnement de développement ne contient aucune donnée client ou coffre-fort chiffré. Thirdly, LastPass n’a pas accès aux mots de passe principaux des coffre-forts de ses clients – sans le mot de passe principal, il n’est pas possible pour autre chose que le propriétaire d’un coffre-fort de déchiffrer les données du coffre-fort dans le cadre de notre modèle de sécurité Zero Knowledge .

Afin de valider l’intégrité du code, LastPass dit avoir effectué une analyse de son code source et de ses constructions de production et confirme quelle ne voit aucune preuve de tentatives de compromis du code ou d’injection de code erroné. Les développeurs n’ont pas la possibilité de pousser le code source de l’environnement de développement vers la production. Cette capacité est limitée à une quipe de secours de Build Release et ne peut se produire qu’après l’achèvement de processus rigoureux de révision, de test et de validation du code.

Dans le cadre de son programme de gestion des risques, il a également établi un partenariat avec une entreprise de cybersécurité de premier plan pour améliorer les pratiques existantes en matière de sécurité du code source, ce qui comprend les processus de cycle de vie de développement de logiciels scuriss, la modélisation des menaces, la gestion des vulnérabilités et des programmes de primes aux bogues.

La source: Dernier passage

Qu’en pensez-vous?

Selon vous, LastPass vaut-il le coup ? Protège-t-il vraiment vos mots de passe ?

tes-vous pour ou contre l’utilisation des gestionnels de mots de passe?

Voir également:

Les versions cheval de Troie de l’utilitaire PuTTY sont utilisées pour propager des portes dérobées, par des cybercriminels ayant des liens avec des pirates soutenus par le gouvernement nord-coréen

Les lacunes en matière de sécurité du cloud exposant les actifs critiques de l’entreprise en seulement trois coups, selon un rapport d’Orca Security

Uber : un cadre accusé d’avoir dguis une extorsion de données en prime de bug, en signant des accords de non-divulgation pour recevoir 100 000 dollars en bitcoins

Des pirates accdent un compte développeur de LastPass, parviennent à voler son code et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

Leave a Comment