Dans une mise jour de billet de blog publie en septembre, LastPass rvle que la dernire violation de donnes sur la plateforme de gestion de mot de passer a expos certaines informations sur les clients. En aot, le gestionnaire de mot de passe expliquait stre fait drober du code source et des informations techniques via un compte dveloppeur compromis.
Le 22 aot, nous avons rvl que le code source de LastPass, le gestionnaire de mots de passe, et des informations techniques propritaires de lentreprise avaient t vols. L’diteur du gestionnaire de mots de passe qui compte 25 millions dutilisateurs et 80 000 entreprises clientes avait annonc que des pirates se sont introduits dans le compte d’un de ses dveloppeurs et l’ont utilis pour accder des donnes exclusives. Aujourd’hui, LastPass affirme que la dernire violation de donnes de LastPass a expos certaines informations sur les clients.
Le 25 aot 2022, nous vous avons inform d’un incident de scurit limit l’environnement de dveloppement de LastPass, au cours duquel certains de nos codes sources et informations techniques ont t drobs. Je tenais vous informer de la conclusion de notre enqute afin d’assurer la transparence et la tranquillit d’esprit de nos communauts de consommateurs et d’entreprises , dclare Karim Toubba, CEO de LastPass.
On ne sait pas encore exactement quelles informations les pirates ont eu accs ni combien de clients ont t touchs, mais Karim Toubba affirme que les mots de passe des utilisateurs n’ont pas t compromis. Les mots de passe de nos clients restent chiffrs en toute scurit grce l’architecture « Zero Knowledge » de LastPass , crit Toubba, citant la politique de l’entreprise selon laquelle seul l’utilisateur connat son mot de passe principal, le chiffrement s’effectuant uniquement au niveau du priphrique et non du serveur.
Comme indique Toubba, le contenu d’un utilisateur dans LastPass, y compris les mots de passe et les notes scurises, est protg par un seul mot de passe principal. Le contenu est synchronis avec tout appareil sur lequel l’utilisateur utilise le logiciel LastPass ou des extensions d’applications. Les informations sont chiffres avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilit d’augmenter la valeur des itrations du mot de passe. Le chiffrement et le dchiffrement ont lieu au niveau de l’appareil.
LastPass dispose d’un remplisseur de formulaires qui automatise la saisie de mots de passe et le remplissage de formulaires, et prend en charge la gnration de mots de passe, le partage et la journalisation de sites, ainsi que l’authentification deux facteurs. LastPass prend en charge l’authentification deux facteurs via diverses mthodes, notamment l’application LastPass Authenticator pour les tlphones mobiles, ainsi que d’autres mthodes comme YubiKey.
LastPass est disponible sous forme d’extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont galement disponibles pour les smartphones fonctionnant sous les systmes d’exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalit hors ligne. Notez que LastPass dsactive le paramtre du navigateur Google Chrome permettant l’utilisateur d’enregistrer automatiquement ses mots de passe dans le navigateur.
Envoy par Karim ToubbaNous avons rcemment dtect une activit inhabituelle au sein d’un service de stockage en nuage tiers, qui est actuellement partag par LastPass et sa socit affilie, GoTo. Nous avons immdiatement lanc une enqute, engag Mandiant, une socit de scurit de premier plan, et alert les forces de l’ordre.
Nous avons dtermin qu’une partie non autorise, utilisant les informations obtenues lors de l’incident du 20 aot 2022, a pu accder certains lments d’information de nos clients. Les mots de passe de nos clients restent crypts en toute scurit grce l’architecture Zero Knowledge de LastPass.
Nous travaillons avec diligence pour comprendre la porte de l’incident et identifier les informations spcifiques qui ont t consultes. En attendant, nous pouvons confirmer que les produits et services de LastPass restent entirement fonctionnels. Comme toujours, nous vous recommandons de suivre nos meilleures pratiques en matire d’installation et de configuration de LastPass, que vous trouverez ici.
Dans le cadre de nos efforts, nous continuons dployer des mesures de scurit renforces et des capacits de surveillance travers notre infrastructure pour aider dtecter et prvenir d’autres activits des acteurs de la menace.
Que LastPass soit victime de piratage nest pas une nouveaut. En 2015, lditeur a annonc une compromission de son rseau : Nous souhaitons informer notre communaut que notre quipe a dtect et bloqu immdiatement une activit douteuse sur notre rseau. Daprs nos investigations, nous navons aucune preuve que les donnes chiffres de nos utilisateurs ont t compromises, tout comme laccs aux comptes des utilisateurs. Les investigations ont cependant dmontr que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage, et le hachage dauthentification ont t compromis. Lannonce navait pas manqu de relancer le dbat sur la comparaison entre les gestionnaires de mots de passe.
Sur la base des examens de tiers et les avis d’experts en scurit, il est possible dtablir la plus large slection possible de gestionnaires de mots de passe tablis. Ainsi, la liste comporte des gestionnaires de mots de passe commerciaux offrant des versions gratuites, gnralement avec quelques limitations et une option de mise niveau vers un abonnement payant pour des fonctionnalits supplmentaires. Elle comporte aussi des produits commerciaux qui offrent des essais gratuits, mais qui ncessitent ensuite un abonnement payant, dont certains sont spcifiquement conus pour tre utiliss par des quipes. Pour finir, certaines, mais pas toutes, offrent des options familiales.
Nous travaillons avec diligence pour comprendre la porte de l’incident et identifier quelles informations spcifiques ont t consultes , indique Toubba, ajoutant que le service reste entirement fonctionnel malgr la brche. La socit a lanc une enqute et a dclar qu’elle a galement notifi les forces de l’ordre.
Le post publi au mois d’aot par LastPass indiquait que le compte du dveloppeur qui a t compromis n’avait pas accs aux donnes des clients. LastPass avait alors assur aux utilisateurs de son service qu’aucun mot de passe principal n’avait t compromis, car il ne stocke jamais votre mot de passe principal et n’en a pas connaissance . Dans la mise jour du 30novembre, LastPass a dclar avoir dtect une « activit inhabituelle » dans certaines parties de son environnement de dveloppement.
Source : LastPass
Et vous ?
Quel est votre avis sur le sujet ?
Pense-vous que LastPass voudrait cacher une sorte de trs mauvaise nouvelle ?
Voir aussi :