
LastPass est un gestionnaire de mots de passe freemium qui stocke des mots de passe chiffrés en ligne. La version standard de LastPass est fournie avec une interface web, mais comprend également des plugins pour divers navigateurs web et des applications pour de nombreux smartphones. Elle prend également en charge les bookmarklets LogMeIn.
Le contenu d'un utilisateur dans LastPass, y compris les mots de passe et les notes sécurisées, est protégé par un seul mot de passe principal. Le contenu est synchronisé avec tout appareil sur lequel l'utilisateur utilise le logiciel LastPass ou des extensions d'applications. Les informations sont chiffrées avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilité d'augmenter la valeur des itérations du mot de passe. Le chiffrement et le déchiffrement ont lieu au niveau de l'appareil.
LastPass dispose d'un remplisseur de formulaires qui automatise la saisie de mots de passe et le remplissage de formulaires, et prend en charge la génération de mots de passe, le partage et la journalisation de sites, ainsi que l'authentification à deux facteurs. LastPass prend en charge l'authentification à deux facteurs via diverses méthodes, notamment l'application LastPass Authenticator pour les téléphones mobiles, ainsi que d'autres méthodes comme YubiKey.
LastPass est disponible sous forme d'extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont également disponibles pour les smartphones fonctionnant sous les systèmes d'exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalité hors ligne. Notez que LastPass désactive le paramètre du navigateur Google Chrome permettant à l'utilisateur d'enregistrer automatiquement ses mots de passe dans le navigateur.
« Nous avons terminé l'enquête et le processus d’incvestigation en partenariat avec Mandiant. Notre enquête a révélé que l'activité de l'acteur de la menace s'est limitée à une période de quatre jours en août 2022. Pendant cette période, l'équipe de sécurité de LastPass a détecté l'activité des cybercriminels et a ensuite contenu l'incident », déclare l’entreprise.
Il n'y aurait aucune preuve d'une quelconque activité de l'acteur de la menace au-delà de la période établie. « Nous pouvons également confirmer qu'il n'y a aucune preuve que cet incident ait impliqué un accès aux données des clients ou aux coffres de mots de passe chiffrés. »
L’enquête de LastPassa déterminé que les cybercriminels ont accédé à l'environnement de développement en utilisant le terminal compromis d'un développeur. Bien que la méthode utilisée pour la compromission initiale du point de terminaison ne soit pas concluante, les cybercriminels ont utilisé son accès persistant pour se faire passer pour le développeur après que celui-ci se soit authentifié avec succès à l'aide de l'authentification multifactorielle.
Bien que les cybercriminels ont aient pu accéder à l'environnement de développement, la conception et les contrôles de notre système ont empêché l'acteur menaçant d'accéder aux données des clients ou aux coffres-forts de mots de passe chiffrés.
Tout d'abord, l'environnement de développement de LastPass est physiquement séparé de notre environnement de production et n'a aucune connectivité directe avec celui-ci. Deuxièmement, l'environnement de développement ne contient aucune donnée client ou coffre-fort chiffré. Troisièmement, LastPass n'a pas accès aux mots de passe principaux des coffres-forts de ses clients - sans le mot de passe principal, il n'est pas possible pour quiconque autre que le propriétaire d'un coffre-fort de déchiffer les données du coffre-fort dans le cadre de notre modèle de sécurité « Zero Knowledge ».
Afin de valider l'intégrité du code, LastPass dit avoir effectué une analyse de son code source et de ses constructions de production et confirme qu’elle ne voit aucune preuve de tentatives de compromission du code ou d'injection de code malveillant. Les développeurs n'ont pas la possibilité de pousser le code source de l'environnement de développement vers la production. Cette capacité est limitée à une équipe séparée de Build Release et ne peut se produire qu'après l'achèvement de processus rigoureux de révision, de test et de validation du code.
Dans le cadre de son programme de gestion des risques, elle a également établi un partenariat avec une société de cybersécurité de premier plan afin d'améliorer ses pratiques existantes en matière de sécurité du code source, qui comprennent des processus de cycle de vie de développement de logiciels sécurisés, la modélisation des menaces, la gestion des vulnérabilités et des programmes de primes aux bogues.
Source : LastPass
Et vous ?


Voir aussi :




Vous avez lu gratuitement 538 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.