Photo : FLY:D - Unsplash
ActualitésApplicationsFrançais

LastPass victime de piratage🔐🎭

Click here to read in English

LastPass est un gestionnaire de mots de passe d’origine AmĂ©ricaine qui a Ă©tĂ© crĂ©Ă© en 2010. Aujourd’hui il est l’un des plus utilisĂ© Ă  travers le monde. RĂ©cemment il a Ă©tĂ© victime de deux attaques majeures dans lesquelles des donnĂ©es sensibles ont Ă©tĂ© mises en jeu.

Comment fonctionne LastPass ? 🔒

Le principe de LastPass est simple. Il se charge de la crĂ©ation, du stockage, de la saisie automatique des mots de passe. En plus des mots de passe, d’autres informations comme les adresses , les informations bancaires peuvent  y ĂȘtre sauvegardĂ©es. Vous n’avez plus rien Ă  retenir si ce n’est votre mot de passe maĂźtre. Ce gestionnaire de mots de passe est une sorte de coffre-fort dans lequel vous trouverez tout les identifiants et mots de passe que vous aurez stocker. Et donc pour y accĂ©der il vous faudra un mot de passe maĂźtre. C’est le seul que vous allez devoir mĂ©moriser. Vous avez aussi la possibilitĂ© de partager vos mots de passe avec d’autres utilisateurs de LastPass.

LastPass se dĂ©cline sous forme d’extension pour navigateur ou d’application pour ordinateur. Si c’est une premiĂšre installation, naturellement LastPass ne connaĂźtra pas vos mots de passe. Il faudra donc lui apprendre. Pour ça deux solutions s’offrent Ă  vous : les renseigner manuellement via l’interface de LastPass, ou alors laisser LastPass les enregistrer automatiquement au fur et Ă  mesure, solution recommandĂ©e et activĂ©e par dĂ©faut. A chaque fois que vous entrerez votre identifiant et votre mot de passe sur un site en ligne, LastPass vous proposera automatiquement d’enregistrer ces informations. A votre prochain passage sur le mĂȘme site, LastPass remplira automatiquement ces informations pour vous.

Comment sont protĂ©gĂ©es vos informations ?đŸ—ïž

Niveau sécurité, les mots de passe présents dans le coffre-fort sont protégés par des mesures et protocoles de sécurité solides. LastPass utilise:

  • La mĂ©thode AES (Advanced Encryption Standard), qui est une norme de chiffrement standard,
  • Le MFA (Multi-Factor Authentification) ou encore authentification multiple. C’est un processus de sĂ©curitĂ© qui permet de confirmer l’identitĂ© d’un utilisateur. En effet il aura Ă  se connecter de plusieurs maniĂšres afin que la vĂ©rification puisse se faire.

La mĂ©thode de chiffrement des mots de passe est locale. En d’autres termes elle s’effectue sur votre machine. Par la suite, ces donnĂ©es chiffrĂ©s sont stockĂ©s sur le Cloud.

A l’heure actuelle, il faut noter que LastPass a Ă©tĂ© victime de deux piratages ; le premier en aoĂ»t 2022 et le second en fin novembre de la mĂȘme annĂ©e. En effet, des hackers ont pu prendre possession des mots de passe de plusieurs utilisateurs. Cela nous emmĂšne Ă  nous questionner sur la robustesse des mesures et protocoles de sĂ©curitĂ©s utilisĂ©s par LastPass.

Que sait-on des attaques subies par LastPass ? 🎭

A la suite de ces deux attaques, une enquĂȘte a Ă©tĂ© rĂ©alisĂ©e afin de dĂ©couvrir les diffĂ©rentes failles de sĂ©curitĂ© ayant permis Ă  des hackers de s’emparer de cette multitude de donnĂ©es. Le gestionnaire a partagĂ© le rĂ©sultat de ces recherches rĂ©cemment.

Pendant la premiĂšre attaque, les hackers ont pu accĂ©der au code source de LastPass ainsi qu’à plusieurs informations sensibles depuis l’ordinateur d’un de leurs employĂ©s.

Concernant la deuxiĂšme attaque, la faille a Ă©tĂ© localisĂ©e sur l’ordinateur d’un ingĂ©nieur DevOps. Ce dernier avait la possibilitĂ© d’accĂ©der Ă  un environnement de stockage cloud partagĂ© et cela depuis son ordinateur personnel. A partir de lĂ , les hackers ont  pu prendre possession des donnĂ©es sensibles prĂ©sentes sur les serveurs cloud d’Amazon Web Services (AWS) : Noms d’utilisateurs, mots de passe, email etc.

AprĂšs analyse, LastPass s’est rendu compte que la deuxiĂšme attaque a Ă©tĂ© malheureusement possible grĂące Ă  la premiĂšre. C’est-Ă -dire que les donnĂ©es volĂ©es lors de la premiĂšre offensive ont facilitĂ© en majeure partie la seconde. Quelle est donc cette vulnĂ©rabilitĂ© dĂ©tectĂ©e sur l’ordinateur personnel de l’ingĂ©nieur DevOps qui a permis aux hackers de s’infiltrer dans le systĂšme ?

Plex y est pour quelque chose ?đŸ’»

Vous allez comprendre. Plex est une plateforme de streaming,  sur laquelle on retrouve des films, Ă©missions de tĂ©lĂ©visons, sports et aussi de la musique. Il est possible d’installer cette application sur divers appareils.

Le lien entre Plex et cette attaque est le suivant : Sur l’ordinateur de cet employĂ© il y avait cette application d’installĂ©e. AprĂšs avoir pris le contrĂŽle de son ordinateur, les hackers ont donc dĂ©tectĂ©s une vulnĂ©rabilitĂ© dans le code de  Plex. A noter que cette plateforme avait Ă©tĂ© victime d’une attaque en aoĂ»t dernier qui s’est soldĂ©e par 15 millions de mots de passe volĂ©s.

Les hackers ont donc installĂ© des enregistreurs de frappes sur la machine de l’ingĂ©nieur, des logiciels malveillants permettant de rĂ©cupĂ©rer tout ce que l’utilisateur saisit. Ils ont ainsi pu rĂ©cupĂ©rer les identifiants donnant l’accĂšs au stockage cloud Amazon (AWS) partagĂ©, donc du coffre-fort de l’entreprise. Et lĂ  le tout Ă©tait gagnĂ© pour eux ou presque.

Plusieurs alertes venant d’Amazon Web Services concernant des actions douteuses voire non autorisĂ©es ont Ă©tĂ© remontĂ©es Ă  l’entreprise. DĂšs cet instant LastPass a pu dĂ©tecter l’attaque et la contrecarrer. Sans cela, les hackers seraient passĂ©s inaperçus.

Le gestionnaire de mots de passe affirme avoir apportĂ© encore plus de robustesse Ă  son systĂšme afin d’éviter ce type d’incidents Ă  l’avenir.

Si les gestionnaires de mots de passe sont une solution pratique pour sauvegarder nos mots de passe, ces attaques sont un rappel qu’ils ne sont pas non plus infaillibles.

Utilisez-vous un gestionnaire de mot de passe ? Pensez-vous que vous mots de passe sont en sĂ©curitĂ© ? Dites-nous tout ça en commentaire 😉

Source: clubic, LastPass

Qu'en avez-vous pensé?

Excité
0
Joyeux
1
Je suis fan
1
Je me questionne
0
Bof
0

Vous pourriez aussi aimer

Laisser une réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans:Actualités