IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

LastPass, le gestionnaire de mots de passe, confirme que les pirates ont eu un accès interne à son système,
Pendant quatre jours

Le , par Bruno

18PARTAGES

6  0 
Le 22 août, nous avons révélé que le code source de LastPass, le gestionnaire de mots de passe, et des informations techniques propriétaires de l’entreprise avaient été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes avait annoncé que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Aujoued'hui, LastPass affirme que les pirates ont eu un accès interne à son système pendant quatre jours. « Le 25 août 2022, nous vous avons informé d'un incident de sécurité limité à l'environnement de développement de LastPass, au cours duquel certains de nos codes sources et informations techniques ont été dérobés. Je tenais à vous informer de la conclusion de notre enquête afin d'assurer la transparence et la tranquillité d'esprit de nos communautés de consommateurs et d'entreprises », déclare Karim Toubba, CEO de LastPass.[/B]

LastPass est un gestionnaire de mots de passe freemium qui stocke des mots de passe chiffrés en ligne. La version standard de LastPass est fournie avec une interface web, mais comprend également des plugins pour divers navigateurs web et des applications pour de nombreux smartphones. Elle prend également en charge les bookmarklets LogMeIn.


Le contenu d'un utilisateur dans LastPass, y compris les mots de passe et les notes sécurisées, est protégé par un seul mot de passe principal. Le contenu est synchronisé avec tout appareil sur lequel l'utilisateur utilise le logiciel LastPass ou des extensions d'applications. Les informations sont chiffrées avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilité d'augmenter la valeur des itérations du mot de passe. Le chiffrement et le déchiffrement ont lieu au niveau de l'appareil.

LastPass dispose d'un remplisseur de formulaires qui automatise la saisie de mots de passe et le remplissage de formulaires, et prend en charge la génération de mots de passe, le partage et la journalisation de sites, ainsi que l'authentification à deux facteurs. LastPass prend en charge l'authentification à deux facteurs via diverses méthodes, notamment l'application LastPass Authenticator pour les téléphones mobiles, ainsi que d'autres méthodes comme YubiKey.

LastPass est disponible sous forme d'extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont également disponibles pour les smartphones fonctionnant sous les systèmes d'exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalité hors ligne. Notez que LastPass désactive le paramètre du navigateur Google Chrome permettant à l'utilisateur d'enregistrer automatiquement ses mots de passe dans le navigateur.

« Nous avons terminé l'enquête et le processus d’incvestigation en partenariat avec Mandiant. Notre enquête a révélé que l'activité de l'acteur de la menace s'est limitée à une période de quatre jours en août 2022. Pendant cette période, l'équipe de sécurité de LastPass a détecté l'activité des cybercriminels et a ensuite contenu l'incident », déclare l’entreprise.

Il n'y aurait aucune preuve d'une quelconque activité de l'acteur de la menace au-delà de la période établie. « Nous pouvons également confirmer qu'il n'y a aucune preuve que cet incident ait impliqué un accès aux données des clients ou aux coffres de mots de passe chiffrés. »   

L’enquête de LastPassa déterminé que les cybercriminels ont accédé à l'environnement de développement en utilisant le terminal compromis d'un développeur. Bien que la méthode utilisée pour la compromission initiale du point de terminaison ne soit pas concluante, les cybercriminels ont utilisé son accès persistant pour se faire passer pour le développeur après que celui-ci se soit authentifié avec succès à l'aide de l'authentification multifactorielle.

Bien que les cybercriminels ont aient pu accéder à l'environnement de développement, la conception et les contrôles de notre système ont empêché l'acteur menaçant d'accéder aux données des clients ou aux coffres-forts de mots de passe chiffrés.

Tout d'abord, l'environnement de développement de LastPass est physiquement séparé de notre environnement de production et n'a aucune connectivité directe avec celui-ci. Deuxièmement, l'environnement de développement ne contient aucune donnée client ou coffre-fort chiffré. Troisièmement, LastPass n'a pas accès aux mots de passe principaux des coffres-forts de ses clients - sans le mot de passe principal, il n'est pas possible pour quiconque autre que le propriétaire d'un coffre-fort de déchiffer les données du coffre-fort dans le cadre de notre modèle de sécurité « Zero Knowledge ». 

Afin de valider l'intégrité du code, LastPass dit avoir effectué une analyse de son code source et de ses constructions de production et confirme qu’elle ne voit aucune preuve de tentatives de compromission du code ou d'injection de code malveillant. Les développeurs n'ont pas la possibilité de pousser le code source de l'environnement de développement vers la production. Cette capacité est limitée à une équipe séparée de Build Release et ne peut se produire qu'après l'achèvement de processus rigoureux de révision, de test et de validation du code.

Dans le cadre de son programme de gestion des risques, elle a également établi un partenariat avec une société de cybersécurité de premier plan afin d'améliorer ses pratiques existantes en matière de sécurité du code source, qui comprennent des processus de cycle de vie de développement de logiciels sécurisés, la modélisation des menaces, la gestion des vulnérabilités et des programmes de primes aux bogues.

Source : LastPass

Et vous ?

Selon vous, LastPass vaut-il le coup ? Protège-t-il vraiment vos mots de passe ?

Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?

Voir aussi :

Des versions trojanisées de l'utilitaire PuTTY sont utilisées pour propager des backdoors, par des cybercriminels ayant des liens avec des pirates soutenus par le gouvernement nord-coréen

Les lacunes en matière de sécurité du cloud exposent les actifs critiques de l'entreprise en seulement trois coups, selon un rapport d'Orca Security

Uber : un cadre accusé d'avoir déguisé une extorsion de données en « prime de bug », en signant des accords de non-divulgation pour recevoir 100 000 dollars en bitcoins

Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 17/09/2022 à 12:51
Utiliser un service en ligne pour y stocker ses mots-de-passe est par définition une idiotie...

C'est comme si un banquier regroupait toutes les clés des coffres-forts que sa banque met à disposition de sa clientèle fortuné au milieu d'une place publique dans une jolie cassette munie d'un cadenas avec une pancarte "Ici sont réunies l'ensemble des clés des coffres-forts de la banque Cresus&co. Prière de ne pas toucher"
5  0 
Avatar de jbrosset
Membre du Club https://www.developpez.com
Le 24/09/2022 à 17:30
Je vais réagir à l'inverse de la quasi totalité des commentaires :
Je veux bien entendre que l'utilisation d'un gestionnaire de mots de passe en ligne est une idiotie, mais personnellement je n'ai pas trouvé mieux pour gérer une bonne centaine de mots de passe et les partager avec une épouse non technophile qui n'accepte que des trucs hyper simples.
Note monde aujourd'hui est fou avec des dizaines et des dizaines de mots de passe à définir, forts (et donc difficiles à mémoriser), qu'il faut changer souvent.
Bref, moi je vous le dis honnêtement : ma vie ne se déroule pas exclusivement derrière un ordinateur, loin s'en faut, et je ne sais pas comment faire, sans migraine ni crise de nerfs.
J'ose le dire, parmi ce concert de critiques à propos de LastPass, parce que je suis convaincu que ce que je raconte c'est ce que vivent beaucoup, beaucoup de personnes individuelles, et de familles (avec partage des données sensibles).
Alors, si vous avez des idées constructives et réalistes (c'est-à-dire très simples à mettre en œuvre, sinon je sais déjà que ça ne marchera pas) eh bien n'hésitez pas à nous les partager...
2  0 
Avatar de QBasic
Membre à l'essai https://www.developpez.com
Le 17/09/2022 à 15:13
Utiliser un service en ligne pour y stocker ses mots-de-passe est par définition une idiotie...
C'est clair, s'il y a bien un type de données à ne confier à personne, c'est les mots de passe !
1  0 
Avatar de onilink_
Membre chevronné https://www.developpez.com
Le 17/09/2022 à 15:38
Moi qui pensais que les gestionnaires de password c'était forcement chiffré et en local...
Comme quoi on en apprend tous les jours
1  0 
Avatar de sanderbe
Membre éclairé https://www.developpez.com
Le 17/09/2022 à 19:24
Bonsoir

LastPass, le gestionnaire de mots de passe, affirme que les pirates ont eu un accès interne à son système, pendant quatre jours

Selon vous, LastPass vaut-il le coup ?
Non pas du tout !

Protège-t-il vraiment vos mots de passe ?
Absoluement pas ! D'ailleurs en chinant dans les archives du forum , LastPass est le gestionnaire de mot de pass qui a eu droit à 2 piratages 2015 et 2018 de mémoires. Donc services à proscrire !

Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?
Contre .
1  0 
Avatar de daerlnaxe
Membre éclairé https://www.developpez.com
Le 17/09/2022 à 23:09
Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé. Ce jour là j'ai développé en c# ma propre appli, je comptais d'ailleurs la mettre à dispo gratuitement, simplement je voulais savoir avant sur les licences si j'avais droit (pour une fois) à proposer de me faire des dons (pas des gros trucs mais histoire de pouvoir moins m'inquiéter de mon activité "pro", vu qu'une maladie me clouait dans un fauteuil).
1  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 18/09/2022 à 12:07
Selon vous, LastPass vaut-il le coup ? Protège-t-il vraiment vos mots de passe ?
Non il n'en vaut pas le coup :
1) c'est une solution propriétaire, c'est donc accorder une confiance inutile à certains maillons de la chaîne de sécurité pour seule raison de profiter au business de l'entreprise qui l'emploi
2) Il les protège, oui, mais pas suffisemment, surtout en regard d'autres solution déjà existante sur le marché (ex : Bitwarden, ou mieuxBitwarden hébergé dans un docker local, ou encore mieux Keepass Password Safe (aka Keepass) hébergé en local et synchronisé)

Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?
Je suis contre "la non utilisation d'un gestionnaire de mot de passe de manière générique".
Pour gérer ET protéger ses mots de passe, un gestionnaire est nécessaire. Mais cela n'implique pas de tous les placer au même endroit.
>> à chaque problématique sa solution adaptée.

Certains secrets on une nécessité absolue de secret, il ne doivent alors n'exister que dans la tête. D'autres ont un besoin fort de verrouiller son accès, suivant où se situent les risques, ils doivent être stockés soit sur papier, soit sur un machine locale, soit sur une machine distante. Et pour couronner le tout, chaque mot de passe est plus sensible à tel ou tel stockage, puisque exposant un contexte d'utilisation différent (le digicode de l'alarme, le compte bancaire en ligne, ou le compte du forum, présentent tous des emplois différents ...et donc des risque différents sur un même stockage).

La problématique va au-delà de simplement "dois-je utiliser un gestionnaire".
Il faudrait analyser les points suivants :
- un gestionnaire se doit-il d'être fiable (limiter les erreurs) ou pratique ...ou les 2 à la fois ?
- quelles fonctionnalités sont nécessaires pour la gestion des mots de passe, de manière fiable et/ou pratique ?
- solution propriétaire ou 100% sous licence libre ? ...quelle licence ?
- solution locale ou en ligne ? (licence adapté ? > ex: AGPL et non GPL pour un service en ligne délivré par un tiers)
- service via prestataire ou auto-hébergé ?
- tous les accès centralisés sur une seule solution ou répartis en fonction de la surface d'attaque et du contexte d'usage de l'accès ?

Citation Envoyé par daerlnaxe Voir le message
Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé.
C'est une problématique qui existe sur tout support de stockage, que ce soit sur papier ou numérique, et hypothétiquement dans ton cerveau également.
Citation Envoyé par daerlnaxe Voir le message
Ce jour là j'ai développé en c# ma propre appli, je comptais d'ailleurs la mettre à dispo gratuitement (...)
Tu n'as pas cherché à forker un projet sous licence libre ? est-ce une démarche pour prototyper, ou bien une réelle envie d'offrir à d'autre un outil que tu ne trouves nulle part ?
Citation Envoyé par daerlnaxe Voir le message
(...) je voulais savoir avant sur les licences si j'avais droit (pour une fois) à proposer de me faire des dons (pas des gros trucs mais histoire de pouvoir moins m'inquiéter de mon activité "pro", vu qu'une maladie me clouait dans un fauteuil).
A ma connaissance presque toutes les licences libres acceptent le don (je ne connais aucune exception), ce qui est moins général, c'est l'autorisation de pouvoir restreindre la diffusion du produit contre transaction financière.
1  0 
Avatar de daerlnaxe
Membre éclairé https://www.developpez.com
Le 18/09/2022 à 12:50
Citation Envoyé par Steinvikel Voir le message
Je t'ai liké car je partage pas mal de tes points de vue. Déjà pour ma part le côté online m'a amené rapidement à me poser des questions, absence de contrôle sur ce que je stockais... en terme de probabilités les vulnérabilités étaient plus importantes qu'en local même si on peut se dire que des gens plus compétents etc... plus de monde, plus de moyens. C'est un peu comme un cursus en fait à régler pour définir au final car à mon sens c'est du 50/50 en réalité. Je vais donner le pire cas possible, duchmol a sous son bureau son mot de passe (chez lui j'entends) les probabilités déjà que quelqu'un s'intéresse à son ordinateur sont minces. Ca serait uniquement dans le cadre familial et à ce compte là niveau confiance on peut aller loin, c'est sûr qu'on en a vu de belles mais quand même. Donc là dès qu'on a l'aspect online il faut du code, une infra ,et même des employés aussi, qui soient fiables et robustes (moins pour les employés, quoique la torture...).

"C'est une problématique qui existe sur tout support de stockage" Totalement d'accord, maintenant l'avantage c'est qu'ayant développé en mode parano en fait tu ne sais même pas où ni comment je stocke du coup, je suis sûr qu'en plus de ça c'est crypté. Tu peux très bien planquer du code dans une vulgaire image, et là noyé dans des milliers de fichiers .. par dessus en prime si tu cryptes etc etc... pareil pour la mémoire aussi bien faire attention de pas se prendre un exploit dans la tronche. Mais ceci dit quand même il fallait donc que quelqu'un s'intéresse à mon propre pc, alors que là avec lastpass en cas d'attaque on va prendre un pack de comptes et c'est freestyle derrière. En fait ça a débuté avec FB, mon compte s'est fait chopper, à l'époque j'avais un mot de passe fort mais qui était répliqué sur plusieurs sites, j'ai eu de la chance de rapidement réagir et rien ne s'est passé. De là forcément un site = un compte et là ça devient un peu compliqué de mémoriser... D'ailleurs on a eu une discussion intéressante il y a peu sur les MFA et les méthodes à venir avec un formateur, dont un article sur site qui expliquait les projets de MS,Apple etc pour que les mdp disparaissent.

"est ce une démarche..." c'est vraiment que je ne trouvais pas mon bonheur ailleurs en effet, j'ai vu des points que je voulais gérer autrement ou améliorer. C'est vrai que j'aurais pu proposer ça mais je n'avais pas envie de me casser la tête à devoir parler avec des humains, j'ai développé alors que j'étais cloué à cause d'une maladie, je ne savais pas comment certains allaient entendre ce que j'avais à dire, les égos etc etc... Pour moi c'était plus simple à mettre en oeuvre que de me lancer dans des discussions (que j'imaginais) interminables.

"acceptent le don", c'est ce qu'un autre formateur m'a bien expliqué il y a peu, il a d'ailleurs bossé sur le kernel de Mandriva, un passionné de licence libre (j'ai eu beaucoup de chance de le rencontrer). J'ai du mal à comprendre les licences, c'est des pavés à lire, c'est pour ça que j'ai voulu que quelqu'un spécialisé en droit (mais pas de ce droit là ) regarde pour moi. A l'occasion il va falloir que je m'occupe du coup de faire le nécessaire, je sais par contre que je vais vouloir améliorer l'interface avant le lancement donc je veux avoir du temps. C'est déjà très moderne, mais y'a toujours un truc que je veux rajouter ^^. Et là j'ai ma 104 Azure à passer, peut être une AWS, trouver un job, changer totalement mon infra réseaux à la maison, acheter un nouveau pc, acheter de vieilles machines pour du rétrogaming, faire un package avec un retroarch lançant qemu[lançant directement windows 98] (et si possible gestion de la 3dfx, faut que je vois si ça a bougé cet été j'étais sur un proof of work). C'est pour ça que je me requalifie d'ailleurs car au moins je vais pouvoir rester dans l'environnement, en mettant de côté l'électrotechnique ça va me permettre de dégager plus de temps pour le reste.

Merci de ta réponse !
1  0 
Avatar de TotoParis
Membre éprouvé https://www.developpez.com
Le 18/09/2022 à 21:18
LastPass ==> FirstFail
1  0 
Avatar de Kulvar
Membre éclairé https://www.developpez.com
Le 19/09/2022 à 1:29
LastPass n'utilise pas de clés de chiffrement qui nécessite le mot de passe pour fonctionner ?
1  0