L’un des grands noms des gestionnaires de mots de passe, LastPass, a été piraté en août dernier. À l’époque, la société affirmait qu’aucune donnée utilisateur n’avait été compromise.
Une mise à jour de décembre a révélé que les pirates avaient alors lancé une campagne de phishing contre un employé de LastPass, obtenant des informations d’identification et des clés qu’ils utilisaient pour déchiffrer certaines données client de base, mais les mots de passe ou les noms d’utilisateur restaient en sécurité.
Êtes-vous encore sous le choc de ces attaques passées ? LastPass vient de partager d’autres mauvaises nouvelles. Si vous êtes un client, vous voudrez lire ceci.
Le gestionnaire de mots de passe populaire a de nouveau été piraté
Dans un article intitulé “Incident 2-Détails supplémentaires de l’attaque“, LastPass a annoncé que la deuxième attaque était plus dommageable qu’on ne le pensait initialement. Ce qui suit est une chronologie des événements.
La première attaque
En août, LastPass a annoncé qu’un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur compromis. Le pirate a volé les informations d’identification chiffrées LastPass, le code source et les informations techniques propriétaires LastPass.
Vie numérique gratuite et astuces techniques pour vous rendre plus intelligent
Apprenez les trucs et astuces techniques que seuls les pros connaissent.
LastPass a déclaré que les données des clients étaient en sécurité, car les clés de déchiffrement ne peuvent être récupérées qu’à partir des éléments suivants :
Des centres de données sur site étroitement surveillés.Un ensemble très restreint de dossiers partagés dans un coffre-fort du gestionnaire de mots de passe LastPass utilisé par seulement quatre ingénieurs DevOps pour des tâches administratives.
Cette attaque s’est terminée le 12 août 2022.
La deuxième attaque
Les pirates ont ensuite lancé une campagne de phishing contre un employé, obtenant des informations d’identification et des clés, qu’ils ont utilisées pour accéder et décrypter les volumes de stockage dans le service de stockage basé sur le cloud.
Le stockage virtuel contenait des informations de base sur le compte client et les métadonnées associées, y compris les noms de société, les noms d’utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et Adresses IP à partir desquelles les clients ont accédé à LastPass.
La deuxième attaque s’est déroulée du 12 août au 26 octobre 2022.
CONNEXE : Protégez votre téléphone : mesures à prendre en cas de perte de votre appareil , volés ou cassés
Ce que nous savons maintenant
Lors de la deuxième attaque, l’auteur de la menace a utilisé les informations glanées lors de la première pour voler les informations d’identification de l’un des quatre ingénieurs DevOps seniors ayant accès aux dossiers partagés contenant les clés de déchiffrement. Cela a été fait avant que LastPass ne réinitialise le système après la première attaque.
Pour les enquêteurs, l’activité de l’acteur menaçant ressemblait à une activité légitime, ils n’ont donc pas compris avant qu’il ne soit trop tard.
L’attaquant a ciblé l’ordinateur personnel de l’ingénieur DevOps et a exploité un logiciel multimédia tiers vulnérable, permettant l’exécution de code à distance. L’attaquant a installé un logiciel malveillant d’enregistreur de frappe et a capturé le mot de passe principal de l’employé au moment où il l’a saisi après l’authentification multifacteur.
L’auteur de la menace a ensuite eu accès au coffre-fort d’entreprise LastPass de l’ingénieur DevOps, qui contenait des données client LastPass chiffrées et non chiffrées.
Un bulletin de sécurité du PDG de LastPass, Karim Toubba, déclare que les mots de passe principaux des utilisateurs finaux n’ont pas été compromis en raison de l’architecture à connaissance zéro de LastPass-vous seul disposez de ces informations.
Que faire après un autre hack LastPass
Vous pouvez affirmer que LastPass sera plus fort suite à ces incidents. La société met en œuvre une multitude de des mesures de sécurité, comme aider l’ingénieur DevOps piraté à renforcer la sécurité de son réseau domestique.
Nous devons nous demander : pourquoi ces informations étaient-elles disponibles sur l’ordinateur personnel de l’employé ? Il est difficile de s’entendre avec une entreprise lorsque la confiance est brisée. Si vous êtes un client LastPass, vous devez changer votre mot de passe principal immédiatement.
Que vous utilisiez LastPass ou non, voici quelques précautions à prendre :
Utilisez un mot de passe fort et unique mots de passe : Cliquez ici pour découvrir 10 astuces précieuses sur les mots de passe.N’utilisez jamais le même mot de passe pour plusieurs comptes :Grâce à une technique connue sous le nom de credential stuffing, les pirates utilisent les mêmes mots de passe volés sur différents services, dans l’espoir de trouver des doublons. Lorsqu’elle est disponible, utilisez toujours l’authentification à deux facteurs : cette mesure de sécurité supplémentaire rend difficile pour les pirates de s’introduire dans les comptes sans le code de sécurité envoyé à votre téléphone ou à une application d’authentification. Voici plus d’informations sur 2FA.L’antivirus est vital : Ayez toujours un programme antivirus de confiance mis à jour et exécuté sur tous vos appareils. Nous recommandons notre sponsor, TotalAV. Obtenez dès maintenant un forfait annuel avec TotalAV pour seulement 19 USD sur ProtectWithKim.com. C’est plus de 85 % de réduction sur le prix normal !
Continuez à lire
Conseil de pro : comment partager des mots de passe en toute sécurité
Cette application de messagerie fuyait les données vocales des clients. Est-ce sur votre téléphone ?