Le 22 aot, nous avons rvl que le code source de LastPass, le gestionnaire de mots de passe, et des informations techniques propritaires de lentreprise avaient t vols. L’diteur du gestionnaire de mots de passe qui compte 25 millions dutilisateurs et 80 000 entreprises clientes avait annonc que des pirates se sont introduits dans le compte d’un de ses dveloppeurs et l’ont utilis pour accder des donnes exclusives. Aujoued’hui, LastPass affirme que les pirates ont eu un accs interne son systme pendant quatre jours. Le 25 aot 2022, nous vous avons inform d’un incident de scurit limit l’environnement de dveloppement de LastPass, au cours duquel certains de nos codes sources et informations techniques ont t drobs. Je tenais vous informer de la conclusion de notre enqute afin d’assurer la transparence et la tranquillit d’esprit de nos communauts de consommateurs et d’entreprises , dclare Karim Toubba, CEO de LastPass.[/B]
LastPass est un gestionnaire de mots de passe freemium qui stocke des mots de passe chiffrs en ligne. La version standard de LastPass est fournie avec une interface web, mais comprend galement des plugins pour divers navigateurs web et des applications pour de nombreux smartphones. Elle prend galement en charge les bookmarklets LogMeIn.
Le contenu d’un utilisateur dans LastPass, y compris les mots de passe et les notes scurises, est protg par un seul mot de passe principal. Le contenu est synchronis avec tout appareil sur lequel l’utilisateur utilise le logiciel LastPass ou des extensions d’applications. Les informations sont chiffres avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilit d’augmenter la valeur des itrations du mot de passe. Le chiffrement et le dchiffrement ont lieu au niveau de l’appareil.
LastPass dispose d’un remplisseur de formulaires qui automatise la saisie de mots de passe et le remplissage de formulaires, et prend en charge la gnration de mots de passe, le partage et la journalisation de sites, ainsi que l’authentification deux facteurs. LastPass prend en charge l’authentification deux facteurs via diverses mthodes, notamment l’application LastPass Authenticator pour les tlphones mobiles, ainsi que d’autres mthodes comme YubiKey.
LastPass est disponible sous forme d’extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont galement disponibles pour les smartphones fonctionnant sous les systmes d’exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalit hors ligne. Notez que LastPass dsactive le paramtre du navigateur Google Chrome permettant l’utilisateur d’enregistrer automatiquement ses mots de passe dans le navigateur.
Nous avons termin l’enqute et le processus dincvestigation en partenariat avec Mandiant. Notre enqute a rvl que l’activit de l’acteur de la menace s’est limite une priode de quatre jours en aot 2022. Pendant cette priode, l’quipe de scurit de LastPass a dtect l’activit des cybercriminels et a ensuite contenu l’incident , dclare lentreprise.
Il n’y aurait aucune preuve d’une quelconque activit de l’acteur de la menace au-del de la priode tablie. Nous pouvons galement confirmer qu’il n’y a aucune preuve que cet incident ait impliqu un accs aux donnes des clients ou aux coffres de mots de passe chiffrs.
Lenqute de LastPassa dtermin que les cybercriminels ont accd l’environnement de dveloppement en utilisant le terminal compromis d’un dveloppeur. Bien que la mthode utilise pour la compromission initiale du point de terminaison ne soit pas concluante, les cybercriminels ont utilis son accs persistant pour se faire passer pour le dveloppeur aprs que celui-ci se soit authentifi avec succs l’aide de l’authentification multifactorielle.
Bien que les cybercriminels ont aient pu accder l’environnement de dveloppement, la conception et les contrles de notre systme ont empch l’acteur menaant d’accder aux donnes des clients ou aux coffres-forts de mots de passe chiffrs.
Tout d’abord, l’environnement de dveloppement de LastPass est physiquement spar de notre environnement de production et n’a aucune connectivit directe avec celui-ci. Deuximement, l’environnement de dveloppement ne contient aucune donne client ou coffre-fort chiffr. Troisimement, LastPass n’a pas accs aux mots de passe principaux des coffres-forts de ses clients – sans le mot de passe principal, il n’est pas possible pour quiconque autre que le propritaire d’un coffre-fort de dchiffer les donnes du coffre-fort dans le cadre de notre modle de scurit Zero Knowledge .
Afin de valider l’intgrit du code, LastPass dit avoir effectu une analyse de son code source et de ses constructions de production et confirme quelle ne voit aucune preuve de tentatives de compromission du code ou d’injection de code malveillant. Les dveloppeurs n’ont pas la possibilit de pousser le code source de l’environnement de dveloppement vers la production. Cette capacit est limite une quipe spare de Build Release et ne peut se produire qu’aprs l’achvement de processus rigoureux de rvision, de test et de validation du code.
Dans le cadre de son programme de gestion des risques, elle a galement tabli un partenariat avec une socit de cyberscurit de premier plan afin d’amliorer ses pratiques existantes en matire de scurit du code source, qui comprennent des processus de cycle de vie de dveloppement de logiciels scuriss, la modlisation des menaces, la gestion des vulnrabilits et des programmes de primes aux bogues.
Source : LastPass
Et vous ?
Selon vous, LastPass vaut-il le coup ? Protge-t-il vraiment vos mots de passe ?
tes-vous pour ou contre l’utilisation des gestionnaires de mots de passe ?
Voir aussi :