LastPass victime de piratageđđ
Click here to read in English
LastPass est un gestionnaire de mots de passe dâorigine AmĂ©ricaine qui a Ă©tĂ© crĂ©Ă© en 2010. Aujourdâhui il est lâun des plus utilisĂ© Ă travers le monde. RĂ©cemment il a Ă©tĂ© victime de deux attaques majeures dans lesquelles des donnĂ©es sensibles ont Ă©tĂ© mises en jeu.
Comment fonctionne LastPass ? đ
Le principe de LastPass est simple. Il se charge de la crĂ©ation, du stockage, de la saisie automatique des mots de passe. En plus des mots de passe, dâautres informations comme les adresses , les informations bancaires peuvent y ĂȘtre sauvegardĂ©es. Vous nâavez plus rien Ă retenir si ce nâest votre mot de passe maĂźtre. Ce gestionnaire de mots de passe est une sorte de coffre-fort dans lequel vous trouverez tout les identifiants et mots de passe que vous aurez stocker. Et donc pour y accĂ©der il vous faudra un mot de passe maĂźtre. Câest le seul que vous allez devoir mĂ©moriser. Vous avez aussi la possibilitĂ© de partager vos mots de passe avec d’autres utilisateurs de LastPass.
LastPass se dĂ©cline sous forme d’extension pour navigateur ou d’application pour ordinateur. Si c’est une premiĂšre installation, naturellement LastPass ne connaĂźtra pas vos mots de passe. Il faudra donc lui apprendre. Pour ça deux solutions s’offrent Ă vous : les renseigner manuellement via l’interface de LastPass, ou alors laisser LastPass les enregistrer automatiquement au fur et Ă mesure, solution recommandĂ©e et activĂ©e par dĂ©faut. A chaque fois que vous entrerez votre identifiant et votre mot de passe sur un site en ligne, LastPass vous proposera automatiquement d’enregistrer ces informations. A votre prochain passage sur le mĂȘme site, LastPass remplira automatiquement ces informations pour vous.
Comment sont protĂ©gĂ©es vos informations ?đïž
Niveau sécurité, les mots de passe présents dans le coffre-fort sont protégés par des mesures et protocoles de sécurité solides. LastPass utilise:
- La méthode AES (Advanced Encryption Standard), qui est une norme de chiffrement standard,
- Le MFA (Multi-Factor Authentification) ou encore authentification multiple. Câest un processus de sĂ©curitĂ© qui permet de confirmer lâidentitĂ© dâun utilisateur. En effet il aura Ă se connecter de plusieurs maniĂšres afin que la vĂ©rification puisse se faire.
La mĂ©thode de chiffrement des mots de passe est locale. En dâautres termes elle sâeffectue sur votre machine. Par la suite, ces donnĂ©es chiffrĂ©s sont stockĂ©s sur le Cloud.
A lâheure actuelle, il faut noter que LastPass a Ă©tĂ© victime de deux piratages ; le premier en aoĂ»t 2022 et le second en fin novembre de la mĂȘme annĂ©e. En effet, des hackers ont pu prendre possession des mots de passe de plusieurs utilisateurs. Cela nous emmĂšne Ă nous questionner sur la robustesse des mesures et protocoles de sĂ©curitĂ©s utilisĂ©s par LastPass.
Que sait-on des attaques subies par LastPass ? đ
A la suite de ces deux attaques, une enquĂȘte a Ă©tĂ© rĂ©alisĂ©e afin de dĂ©couvrir les diffĂ©rentes failles de sĂ©curitĂ© ayant permis Ă des hackers de sâemparer de cette multitude de donnĂ©es. Le gestionnaire a partagĂ© le rĂ©sultat de ces recherches rĂ©cemment.
Pendant la premiĂšre attaque, les hackers ont pu accĂ©der au code source de LastPass ainsi quâĂ plusieurs informations sensibles depuis lâordinateur dâun de leurs employĂ©s.
Concernant la deuxiĂšme attaque, la faille a Ă©tĂ© localisĂ©e sur lâordinateur dâun ingĂ©nieur DevOps. Ce dernier avait la possibilitĂ© dâaccĂ©der Ă un environnement de stockage cloud partagĂ© et cela depuis son ordinateur personnel. A partir de lĂ , les hackers ont  pu prendre possession des donnĂ©es sensibles prĂ©sentes sur les serveurs cloud dâAmazon Web Services (AWS) : Noms dâutilisateurs, mots de passe, email etc.
AprĂšs analyse, LastPass sâest rendu compte que la deuxiĂšme attaque a Ă©tĂ© malheureusement possible grĂące Ă la premiĂšre. Câest-Ă -dire que les donnĂ©es volĂ©es lors de la premiĂšre offensive ont facilitĂ© en majeure partie la seconde. Quelle est donc cette vulnĂ©rabilitĂ© dĂ©tectĂ©e sur lâordinateur personnel de lâingĂ©nieur DevOps qui a permis aux hackers de sâinfiltrer dans le systĂšme ?
Plex y est pour quelque chose ?đ»
Vous allez comprendre. Plex est une plateforme de streaming,  sur laquelle on retrouve des films, Ă©missions de tĂ©lĂ©visons, sports et aussi de la musique. Il est possible dâinstaller cette application sur divers appareils.
Le lien entre Plex et cette attaque est le suivant : Sur lâordinateur de cet employĂ© il y avait cette application dâinstallĂ©e. AprĂšs avoir pris le contrĂŽle de son ordinateur, les hackers ont donc dĂ©tectĂ©s une vulnĂ©rabilitĂ© dans le code de  Plex. A noter que cette plateforme avait Ă©tĂ© victime dâune attaque en aoĂ»t dernier qui sâest soldĂ©e par 15 millions de mots de passe volĂ©s.
Les hackers ont donc installĂ© des enregistreurs de frappes sur la machine de lâingĂ©nieur, des logiciels malveillants permettant de rĂ©cupĂ©rer tout ce que l’utilisateur saisit. Ils ont ainsi pu rĂ©cupĂ©rer les identifiants donnant lâaccĂšs au stockage cloud Amazon (AWS) partagĂ©, donc du coffre-fort de lâentreprise. Et lĂ le tout Ă©tait gagnĂ© pour eux ou presque.
Plusieurs alertes venant dâAmazon Web Services concernant des actions douteuses voire non autorisĂ©es ont Ă©tĂ© remontĂ©es Ă lâentreprise. DĂšs cet instant LastPass a pu dĂ©tecter lâattaque et la contrecarrer. Sans cela, les hackers seraient passĂ©s inaperçus.
Le gestionnaire de mots de passe affirme avoir apportĂ© encore plus de robustesse Ă son systĂšme afin dâĂ©viter ce type dâincidents Ă lâavenir.
Si les gestionnaires de mots de passe sont une solution pratique pour sauvegarder nos mots de passe, ces attaques sont un rappel qu’ils ne sont pas non plus infaillibles.
Utilisez-vous un gestionnaire de mot de passe ? Pensez-vous que vous mots de passe sont en sĂ©curitĂ© ? Dites-nous tout ça en commentaire đ