IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La dernière violation de données de LastPass a exposé certaines informations sur les clients,
Le PDG Karim révèle que cette violation a eu lieu à partir d'informations recueillies en août

Le , par Bruno

3PARTAGES

5  0 
Dans une mise à jour de billet de blog publiée en septembre, LastPass révèle que la dernière violation de données sur la plateforme de gestion de mot de passer a exposé certaines informations sur les clients. En août, le gestionnaire de mot de passe expliquait s’être fait dérober du code source et des informations techniques via un compte développeur compromis.

Le 22 août, nous avons révélé que le code source de LastPass, le gestionnaire de mots de passe, et des informations techniques propriétaires de l’entreprise avaient été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes avait annoncé que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Aujourd'hui, LastPass affirme que la dernière violation de données de LastPass a exposé certaines informations sur les clients.


« Le 25 août 2022, nous vous avons informé d'un incident de sécurité limité à l'environnement de développement de LastPass, au cours duquel certains de nos codes sources et informations techniques ont été dérobés. Je tenais à vous informer de la conclusion de notre enquête afin d'assurer la transparence et la tranquillité d'esprit de nos communautés de consommateurs et d'entreprises », déclare Karim Toubba, CEO de LastPass.

On ne sait pas encore exactement à quelles informations les pirates ont eu accès ni combien de clients ont été touchés, mais Karim Toubba affirme que les mots de passe des utilisateurs n'ont pas été compromis. « Les mots de passe de nos clients restent chiffrés en toute sécurité grâce à l'architecture "Zero Knowledge" de LastPass », écrit Toubba, citant la politique de l'entreprise selon laquelle seul l'utilisateur connaît son mot de passe principal, le chiffrement s'effectuant uniquement au niveau du périphérique et non du serveur.

Comme indique Toubba, le contenu d'un utilisateur dans LastPass, y compris les mots de passe et les notes sécurisées, est protégé par un seul mot de passe principal. Le contenu est synchronisé avec tout appareil sur lequel l'utilisateur utilise le logiciel LastPass ou des extensions d'applications. Les informations sont chiffrées avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilité d'augmenter la valeur des itérations du mot de passe. Le chiffrement et le déchiffrement ont lieu au niveau de l'appareil.

LastPass dispose d'un remplisseur de formulaires qui automatise la saisie de mots de passe et le remplissage de formulaires, et prend en charge la génération de mots de passe, le partage et la journalisation de sites, ainsi que l'authentification à deux facteurs. LastPass prend en charge l'authentification à deux facteurs via diverses méthodes, notamment l'application LastPass Authenticator pour les téléphones mobiles, ainsi que d'autres méthodes comme YubiKey.

LastPass est disponible sous forme d'extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont également disponibles pour les smartphones fonctionnant sous les systèmes d'exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalité hors ligne. Notez que LastPass désactive le paramètre du navigateur Google Chrome permettant à l'utilisateur d'enregistrer automatiquement ses mots de passe dans le navigateur.

Citation Envoyé par Karim Toubba
Conformément à notre engagement de transparence, je voulais vous informer d'un incident de sécurité sur lequel notre équipe enquête actuellement.

Nous avons récemment détecté une activité inhabituelle au sein d'un service de stockage en nuage tiers, qui est actuellement partagé par LastPass et sa société affiliée, GoTo. Nous avons immédiatement lancé une enquête, engagé Mandiant, une société de sécurité de premier plan, et alerté les forces de l'ordre.

Nous avons déterminé qu'une partie non autorisée, utilisant les informations obtenues lors de l'incident du 20 août 2022, a pu accéder à certains éléments d'information de nos clients. Les mots de passe de nos clients restent cryptés en toute sécurité grâce à l'architecture Zero Knowledge de LastPass.

Nous travaillons avec diligence pour comprendre la portée de l'incident et identifier les informations spécifiques qui ont été consultées. En attendant, nous pouvons confirmer que les produits et services de LastPass restent entièrement fonctionnels. Comme toujours, nous vous recommandons de suivre nos meilleures pratiques en matière d'installation et de configuration de LastPass, que vous trouverez ici.

Dans le cadre de nos efforts, nous continuons à déployer des mesures de sécurité renforcées et des capacités de surveillance à travers notre infrastructure pour aider à détecter et à prévenir d'autres activités des acteurs de la menace.
Que LastPass soit victime de piratage n’est pas une nouveauté. En 2015, l’éditeur a annoncé une compromission de son réseau : « Nous souhaitons informer notre communauté que notre équipe a détecté et bloqué immédiatement une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données chiffrées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage, et le hachage d’authentification ont été compromis. » L’annonce n’avait pas manqué de relancer le débat sur la comparaison entre les gestionnaires de mots de passe.

Sur la base des examens de tiers et les avis d'experts en sécurité, il est possible d’établir la plus large sélection possible de gestionnaires de mots de passe établis. Ainsi, la liste comporte des gestionnaires de mots de passe commerciaux offrant des versions gratuites, généralement avec quelques limitations et une option de mise à niveau vers un abonnement payant pour des fonctionnalités supplémentaires. Elle comporte aussi des produits commerciaux qui offrent des essais gratuits, mais qui nécessitent ensuite un abonnement payant, dont certains sont spécifiquement conçus pour être utilisés par des équipes. Pour finir, certaines, mais pas toutes, offrent des options familiales.

« Nous travaillons avec diligence pour comprendre la portée de l'incident et identifier quelles informations spécifiques ont été consultées », indique Toubba, ajoutant que le service reste « entièrement fonctionnel » malgré la brèche. La société a lancé une enquête et a déclaré qu'elle a également notifié les forces de l'ordre.

Le post publié au mois d'août par LastPass indiquait que le compte du développeur qui a été compromis n'avait pas accès aux données des clients. LastPass avait alors assuré aux utilisateurs de son service qu'aucun « mot de passe principal » n'avait été compromis, car il « ne stocke jamais votre mot de passe principal et n'en a pas connaissance ». Dans la mise à jour du 30novembre, LastPass a déclaré avoir détecté une "activité inhabituelle" dans certaines parties de son environnement de développement.

Source : LastPass

Et vous ?

Quel est votre avis sur le sujet ?

Pense-vous que LastPass voudrait cacher une sorte de très mauvaise nouvelle ?

Voir aussi :

Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

Les utilisateurs de LastPass ont averti que leurs mots de passe principaux étaient compromis, mais le gestionnaire de mots de passe affirme qu'il n'y a aucune preuve d'une violation de données

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 17/01/2023 à 11:59
Ce qu'il faut abandonner, ce n'est pas LastPass mais la totalité des solutions d'archivage de mots-de-passe sur le Cloud!!!

Que la plateforme se nomme LastPass, MmeMichuPassword ou PasswordPourLesNuls, le problème sera toujours le même: des milliers de mots-de-pas réunis sur une même plateforme accessible sur le web...

Cela attire les hackers comme le miel les abeilles et, tôt ou tard, un petit malin trouvera la faille!
6  2 
Avatar de 23JFK
Membre expert https://www.developpez.com
Le 23/12/2022 à 17:44
De base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.
3  0 
Avatar de Eric30
Membre actif https://www.developpez.com
Le 29/12/2022 à 9:20
Disclaimer : je n'ai pas d'actions chez LastPass. Mais je ne peux m'empêcher de réagir à certains commentaires que je trouve étranges de la part de "Professionnels de l'informatique" (c'est ce que nous sommes censés être non ?).

Citation Envoyé par daerlnaxe Voir le message
Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé. Ce jour là j'ai développé en c# ma propre appli.


Citation Envoyé par sanderbe Voir le message
Bonsoir

D'ailleurs en chinant dans les archives du forum , LastPass est le gestionnaire de mot de pass qui a eu droit à 2 piratages 2015 et 2018 de mémoires. Donc services à proscrire !
.
"Ça veut dire quoi" piraté ? Vol de code ? Vol de données de prod ou de staging ? Des données anonymisées ? Chiffrées ? Intrusion dans un réseau ? Man in the middle ? Madame Dupont qui avait mis le nom de son caniche comme mot de passe principal ?

Ah ces mots valises...

Citation Envoyé par Anselme45 Voir le message
Exact... Mais il est intéressant de noter que ta remarque s'applique à tous les services CLOUD!!! Vous savez ce truc à la mode qui est promu par tous les acteurs du numérique... [...]

Il y a encore un grand avenir aux idées stupides...
Je ne suis pas un fan du "tout cloud", mais j'aime bien rappeler que l'on parle toujours des trains qui arrivent en retard, jamais de ceux qui arrivent à l'heure.
Et de là à parler d'idée "stupide"...

Bref, au delà du troll, et de ce titre d'article un brin "sensationnaliste", on peut résumer la situation par le fait que si vous avez un mot de passe fort (et mieux encore, activé la 2FA), vous êtres assez tranquille.

Citation Envoyé par 23JFK Voir le message
De base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.
Amen.
2  0 
Avatar de FrancisGernet
Membre régulier https://www.developpez.com
Le 29/12/2022 à 10:22
Bonjour,
J'utilise toujours KeePass version 2.45.
2  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 24/12/2022 à 13:07
Citation Envoyé par 23JFK Voir le message
De base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.
Exact... Mais il est intéressant de noter que ta remarque s'applique à tous les services CLOUD!!! Vous savez ce truc à la mode qui est promu par tous les acteurs du numérique...

Pensée émue pour les 8 800 entreprises de Suisse francophone qui ont fait confiance au logiciel ERP nommé WinBiz Cloud qui a vu ses serveurs piratés!!!

Résultat: Plus d'un moi d'arrêt du service Cloud en question alors que les entreprises font leur compte de fin d'année et encore, après un mois, seuls 86% des clients sont annoncés comme ayant retrouvé l'usage de leur WinBiz Cloud avec des lenteurs et des instabilités quand ce ne sont pas des clients qui dénoncent le fait d'avoir accès à des données qui ne sont pas les leurs...

Il y a encore un grand avenir aux idées stupides...
1  0 
Avatar de sanderbe
Membre éclairé https://www.developpez.com
Le 26/12/2022 à 23:23
Bonsoir

LastPass : vos informations et vos données de coffre-fort de mots de passe sont désormais entre les mains de pirates, le gestionnaire de mots de passe affirme que la violation qu'il a révélée en août était bien pire que prévu

Utilisez-vous un gestionnaire de mots de passe ?
Oui , un strictement personnel

Comment le comparez vous à l'offre concurrente ?
Il est "gratuit" . Quoi que j'ai quand même acheté un service de logiciel derrière

Quels sont les critères qui vous ont amené à opter pour ce dernier plutôt que sur ceux d'autres éditeurs ?
Je peux personnaliser le service de stockage a ma façon et selon "ma logique" de sécurité qui m'est propre.

Partagez vous l'avis selon lequel les développements en cours sont l'illustration de ce que l'ère des mots de passe est dépassée ?
Pas du tout !

Au contraire . LE 2FA et j'en passe sont trop lourd et nécessite des moyens ou des sociétés peuvent mettre des sortes d'embargo ou empecher les gens de jouir de ce qui leur appartient. Se serait un peu le serruier qui refuse de vous laisser rentrer chez vous.
1  0 
Avatar de smarties
Membre émérite https://www.developpez.com
Le 17/01/2023 à 9:36
Pour BitWarden, il existe une implémentation RUST du serveur nommée VaultWarden.
1  0 
Avatar de sergio_is_back
Expert confirmé https://www.developpez.com
Le 17/01/2023 à 12:40
Citation Envoyé par Anselme45 Voir le message
Ce qu'il faut abandonner, ce n'est pas LastPass mais la totalité des solutions d'archivage de mots-de-passe sur le Cloud!!!

Que la plateforme se nomme LastPass, MmeMichuPassword ou PasswordPourLesNuls, le problème sera toujours le même: des milliers de mots-de-pas réunis sur une même plateforme accessible sur le web...

Cela attire les hackers comme le miel les abeilles et, tôt ou tard, un petit malin trouvera la faille!
+10

Oui quand on ne veut pas se faire voler ses données, le mieux est encore de ne pas les exposer dans le cloud !!!
Et ce quelque soit le chiffrage, les diverses mesures de sécurité, etc...
2  1 
Avatar de daerlnaxe
Membre éprouvé https://www.developpez.com
Le 17/01/2023 à 13:16
J'ai déjà fait mon choix, ça fait deux ans je crois, j'ai développé ma propre app bien sûr rien en clair et diverses sécurités. J'avais eu un petit hack de mon compte FB que j'ai dégagé très rapidement, et je refaisais tout un plan pour ne pas avoir deux fois le même mot de passe et forcément sécuriser ça quelque part, au début LastPass m'a intéressé et au bout de qqs heures je me suis dit qu'au final je ne savais rien de la sécurité derrière et ça m'a inquiété quand j'ai voulu mettre les comptes de boutiques... Et finalement content d'avoir renoncé à l'utiliser. Je voulais la mettre à disposition de tout le monde mais j'ai confié l'aspect juridique à quelqu'un d'autre, n'y comprenant pas grand chose, trop de temps pour avoir un retour, une vie à remettre en route... donc on est une petite poignée à l'utiliser du coup. Truc très con je voulais simplement mettre des dons mais comme j'utiliser VS en version gratuite, je me demandais quelles étaient mes possibilités. On m'a répondu depuis mais j'ai simplement pas le temps de m'en occuper vu que je cherche un job et que j'ai du gérer ma reconversion.

En fait à ce moment je me suis dit que si j'arrivais à tirer un smic par mois de diverses solutions via des dons j'allais pouvoir à la fois m'éclater sur ce que j'aime faire et rendre service. J'ai déjà fait quelques apps, certaines sont à disposition sous d'autres pseudos mais je ne demande jamais un rond et mine de rien il y a énormément d'heures de boulot derrière... et vu qu'il y en a un petit nombre, gérer ça pour les bugs, évolutions, suivre aussi .net ça prend du temps. Ce n'était pas pour m'enrichir mais plutôt pour pouvoir m'y consacrer.

Et si vous vous demandez pourquoi je n'utilise pas KeePass et bien c'est parce que j'ai fait le tour des solutions et que ça ne couvrait pas certains de mes besoins, tout simplement. Là j'ai quelque chose qui est bien plus souple pour gérer et qui s'adapte mieux.

Maintenant le réel problème mérite que l'on creuse un peu...

Si je fais confiance à un application tierce elle doit me donner une garantie, mais si elle me donne une garantie comme me laissait accéder au code source ça peut aussi compromettre la sécurité. Derrière il y a des implémentations basiques qui sont en elles mêmes des garanties, des bonnes pratiques que normalement on devrait voir partout mais hélas on s'aperçoit que trop souvent c'est laissé de côté. Mais après il y a à gérer le confort de l'utilisateur, ses erreurs aussi... Et puis être rentable. Mon programme est conçu en mode paranoïa pure, c'est probable que ça gonflerait les gens de l'utiliser au début. Et après tout souvenez vous de toutes les personnes qui disaient de virer l'UAC comme d'autres sécurité... pour moi le seul problème qui se pose c'est la communication, tant que l'utilisateur a une idée claire de ce qu'il utilise... Car c'est à lui de faire ses choix.

En passant d'ailleurs rien n'empêcherait non plus de se retrouver avec une application qui balancerait les mots de passe, tout le monde ne va pas traquer en permanence le comportement des applis installées... et là ça peut réserver des surprises. Je me souviens d'un banal client nommé Inc...mail, avec de jolis émotes, mais qui était une vraie saleté en réalité.
1  0 
Avatar de diabolos29
Membre expérimenté https://www.developpez.com
Le 17/01/2023 à 19:18
La solution de stockage des mots de passe, ça dépend avant tout du cas d'usage. Chaque solution présente des avantages et des inconvénients. Une solution en ligne, ça préserve aussi des aléas qui peuvent subvenir sur les terminaux utilisateur. Pour ça, en théorie du moins, LastPass et les autres répondent à la problématique. Le problème ici, c'est le niveau de confiance que l'on peut accorder à ce tiers pour gérer nos secrets.

Mon cas d'usage à moi fait que j'ai opté pour un stockage local au travers d'un trousseau Keepass (clé unique complexe) synchronisé avec une instance perso de Nextcloud (c'est un peu plus complexe que ça en fait mais c'est l'idée). Cette solution convient aussi parce que je suis l'unique utilisateur de ce trousseau...
1  0