Le 22 août, nous avons révélé que le code source de LastPass, le gestionnaire de mots de passe, et des informations techniques propriétaires de l’entreprise avaient été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes avait annoncé que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Aujoued'hui, LastPass affirme que les pirates ont eu un accès interne à son système pendant quatre jours. « Le 25 août 2022, nous vous avons informé d'un incident de sécurité limité à l'environnement de développement de LastPass, au cours duquel certains de nos codes sources et informations techniques ont été dérobés. Je tenais à vous informer de la conclusion de notre enquête afin d'assurer la transparence et la tranquillité d'esprit de nos communautés de consommateurs et d'entreprises », déclare Karim Toubba, CEO de LastPass.LastPass est un gestionnaire de mots de passe freemium qui stocke des mots de passe chiffrés en ligne. La version standard de LastPass est fournie avec une interface web, mais comprend également des plugins pour divers navigateurs web et des applications pour de nombreux smartphones. Elle prend également en charge les bookmarklets LogMeIn.
Le contenu d'un utilisateur dans LastPass, y compris les mots de passe et les notes sécurisées, est protégé par un seul mot de passe principal. Le contenu est synchronisé avec tout appareil sur lequel l'utilisateur utilise le logiciel LastPass ou des extensions d'applications. Les informations sont chiffrées avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilité d'augmenter la valeur des itérations du mot de passe. Le chiffrement et le déchiffrement ont lieu au niveau de l'appareil.
LastPass dispose d'un remplisseur de formulaires qui automatise la saisie de mots de passe et le remplissage de formulaires, et prend en charge la génération de mots de passe, le partage et la journalisation de sites, ainsi que l'authentification à deux facteurs. LastPass prend en charge l'authentification à deux facteurs via diverses méthodes, notamment l'application LastPass Authenticator pour les téléphones mobiles, ainsi que d'autres méthodes comme YubiKey.
LastPass est disponible sous forme d'extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont également disponibles pour les smartphones fonctionnant sous les systèmes d'exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalité hors ligne. Notez que LastPass désactive le paramètre du navigateur Google Chrome permettant à l'utilisateur d'enregistrer automatiquement ses mots de passe dans le navigateur.
« Nous avons terminé l'enquête et le processus d’incvestigation en partenariat avec Mandiant. Notre enquête a révélé que l'activité de l'acteur de la menace s'est limitée à une période de quatre jours en août 2022. Pendant cette période, l'équipe de sécurité de LastPass a détecté l'activité des cybercriminels et a ensuite contenu l'incident », déclare l’entreprise.
Il n'y aurait aucune preuve d'une quelconque activité de l'acteur de la menace au-delà de la période établie. « Nous pouvons également confirmer qu'il n'y a aucune preuve que cet incident ait impliqué un accès aux données des clients ou aux coffres de mots de passe chiffrés. »   
L’enquête de LastPassa déterminé que les cybercriminels ont accédé à l'environnement de développement en utilisant le terminal compromis d'un développeur. Bien que la méthode utilisée pour la compromission initiale du point de terminaison ne soit pas concluante, les cybercriminels ont utilisé son accès persistant pour se faire passer pour le développeur après que celui-ci se soit authentifié avec succès à l'aide de l'authentification multifactorielle.
Bien que les cybercriminels ont aient pu accéder à l'environnement de développement, la conception et les contrôles de notre système ont empêché l'acteur menaçant d'accéder aux données des clients ou aux coffres-forts de mots de passe chiffrés.
Tout d'abord, l'environnement de développement de LastPass est physiquement séparé de notre environnement de production et n'a aucune connectivité directe avec celui-ci. Deuxièmement, l'environnement de développement ne contient aucune donnée client ou coffre-fort chiffré. Troisièmement, LastPass n'a pas accès aux mots de passe principaux des coffres-forts de ses clients - sans le mot de passe principal, il n'est pas possible pour quiconque autre que le propriétaire d'un coffre-fort de déchiffer les données du coffre-fort dans le cadre de notre modèle de sécurité « Zero Knowledge ». 
Afin de valider l'intégrité du code, LastPass dit avoir effectué une analyse de son code source et de ses constructions de production et confirme qu’elle ne voit aucune preuve de tentatives de compromission du code ou d'injection de code malveillant. Les développeurs n'ont pas la possibilité de pousser le code source de l'environnement de développement vers la production. Cette capacité est limitée à une équipe séparée de Build Release et ne peut se produire qu'après l'achèvement de processus rigoureux de révision, de test et de validation du code.
Dans le cadre de son programme de gestion des risques, elle a également établi un partenariat avec une société de cybersécurité de premier plan afin d'améliorer ses pratiques existantes en matière de sécurité du code source, qui comprennent des processus de cycle de vie de développement de logiciels sécurisés, la modélisation des menaces, la gestion des vulnérabilités et des programmes de primes aux bogues.
Source : LastPass
Et vous ?
Selon vous, LastPass vaut-il le coup ? Protège-t-il vraiment vos mots de passe ? Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?Voir aussi :
Des versions trojanisées de l'utilitaire PuTTY sont utilisées pour propager des backdoors, par des cybercriminels ayant des liens avec des pirates soutenus par le gouvernement nord-coréen Les lacunes en matière de sécurité du cloud exposent les actifs critiques de l'entreprise en seulement trois coups, selon un rapport d'Orca Security Uber : un cadre accusé d'avoir déguisé une extorsion de données en « prime de bug », en signant des accords de non-divulgation pour recevoir 100 000 dollars en bitcoins Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source et relancent le débat sur la comparaison entre les gestionnaires de mots de passe 
Envoyé par daerlnaxe
