La dernière violation de données de LastPass a exposé certaines informations sur les clients,
Le PDG Karim révèle que cette violation a eu lieu à partir d'informations recueillies en août
Le 2022-12-01 11:41:41, par Bruno, Chroniqueur Actualités
Dans une mise à jour de billet de blog publiée en septembre, LastPass révèle que la dernière violation de données sur la plateforme de gestion de mot de passer a exposé certaines informations sur les clients. En août, le gestionnaire de mot de passe expliquait s’être fait dérober du code source et des informations techniques via un compte développeur compromis.
Le 22 août, nous avons révélé que le code source de LastPass, le gestionnaire de mots de passe, et des informations techniques propriétaires de l’entreprise avaient été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes avait annoncé que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Aujourd'hui, LastPass affirme que la dernière violation de données de LastPass a exposé certaines informations sur les clients.
« Le 25 août 2022, nous vous avons informé d'un incident de sécurité limité à l'environnement de développement de LastPass, au cours duquel certains de nos codes sources et informations techniques ont été dérobés. Je tenais à vous informer de la conclusion de notre enquête afin d'assurer la transparence et la tranquillité d'esprit de nos communautés de consommateurs et d'entreprises », déclare Karim Toubba, CEO de LastPass.
On ne sait pas encore exactement à quelles informations les pirates ont eu accès ni combien de clients ont été touchés, mais Karim Toubba affirme que les mots de passe des utilisateurs n'ont pas été compromis. « Les mots de passe de nos clients restent chiffrés en toute sécurité grâce à l'architecture "Zero Knowledge" de LastPass », écrit Toubba, citant la politique de l'entreprise selon laquelle seul l'utilisateur connaît son mot de passe principal, le chiffrement s'effectuant uniquement au niveau du périphérique et non du serveur.
Comme indique Toubba, le contenu d'un utilisateur dans LastPass, y compris les mots de passe et les notes sécurisées, est protégé par un seul mot de passe principal. Le contenu est synchronisé avec tout appareil sur lequel l'utilisateur utilise le logiciel LastPass ou des extensions d'applications. Les informations sont chiffrées avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilité d'augmenter la valeur des itérations du mot de passe. Le chiffrement et le déchiffrement ont lieu au niveau de l'appareil.
LastPass dispose d'un remplisseur de formulaires qui automatise la saisie de mots de passe et le remplissage de formulaires, et prend en charge la génération de mots de passe, le partage et la journalisation de sites, ainsi que l'authentification à deux facteurs. LastPass prend en charge l'authentification à deux facteurs via diverses méthodes, notamment l'application LastPass Authenticator pour les téléphones mobiles, ainsi que d'autres méthodes comme YubiKey.
LastPass est disponible sous forme d'extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont également disponibles pour les smartphones fonctionnant sous les systèmes d'exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalité hors ligne. Notez que LastPass désactive le paramètre du navigateur Google Chrome permettant à l'utilisateur d'enregistrer automatiquement ses mots de passe dans le navigateur.
Envoyé par Karim Toubba
Que LastPass soit victime de piratage n’est pas une nouveauté. En 2015, l’éditeur a annoncé une compromission de son réseau : « Nous souhaitons informer notre communauté que notre équipe a détecté et bloqué immédiatement une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données chiffrées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage, et le hachage d’authentification ont été compromis. » L’annonce n’avait pas manqué de relancer le débat sur la comparaison entre les gestionnaires de mots de passe.
Sur la base des examens de tiers et les avis d'experts en sécurité, il est possible d’établir la plus large sélection possible de gestionnaires de mots de passe établis. Ainsi, la liste comporte des gestionnaires de mots de passe commerciaux offrant des versions gratuites, généralement avec quelques limitations et une option de mise à niveau vers un abonnement payant pour des fonctionnalités supplémentaires. Elle comporte aussi des produits commerciaux qui offrent des essais gratuits, mais qui nécessitent ensuite un abonnement payant, dont certains sont spécifiquement conçus pour être utilisés par des équipes. Pour finir, certaines, mais pas toutes, offrent des options familiales.
« Nous travaillons avec diligence pour comprendre la portée de l'incident et identifier quelles informations spécifiques ont été consultées », indique Toubba, ajoutant que le service reste « entièrement fonctionnel » malgré la brèche. La société a lancé une enquête et a déclaré qu'elle a également notifié les forces de l'ordre.
Le post publié au mois d'août par LastPass indiquait que le compte du développeur qui a été compromis n'avait pas accès aux données des clients. LastPass avait alors assuré aux utilisateurs de son service qu'aucun « mot de passe principal » n'avait été compromis, car il « ne stocke jamais votre mot de passe principal et n'en a pas connaissance ». Dans la mise à jour du 30novembre, LastPass a déclaré avoir détecté une "activité inhabituelle" dans certaines parties de son environnement de développement.
Source : LastPass
Et vous ?
Quel est votre avis sur le sujet ?
Pense-vous que LastPass voudrait cacher une sorte de très mauvaise nouvelle ?
Voir aussi :
Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source et relancent le débat sur la comparaison entre les gestionnaires de mots de passe
Les utilisateurs de LastPass ont averti que leurs mots de passe principaux étaient compromis, mais le gestionnaire de mots de passe affirme qu'il n'y a aucune preuve d'une violation de données
Le 22 août, nous avons révélé que le code source de LastPass, le gestionnaire de mots de passe, et des informations techniques propriétaires de l’entreprise avaient été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes avait annoncé que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Aujourd'hui, LastPass affirme que la dernière violation de données de LastPass a exposé certaines informations sur les clients.
« Le 25 août 2022, nous vous avons informé d'un incident de sécurité limité à l'environnement de développement de LastPass, au cours duquel certains de nos codes sources et informations techniques ont été dérobés. Je tenais à vous informer de la conclusion de notre enquête afin d'assurer la transparence et la tranquillité d'esprit de nos communautés de consommateurs et d'entreprises », déclare Karim Toubba, CEO de LastPass.
On ne sait pas encore exactement à quelles informations les pirates ont eu accès ni combien de clients ont été touchés, mais Karim Toubba affirme que les mots de passe des utilisateurs n'ont pas été compromis. « Les mots de passe de nos clients restent chiffrés en toute sécurité grâce à l'architecture "Zero Knowledge" de LastPass », écrit Toubba, citant la politique de l'entreprise selon laquelle seul l'utilisateur connaît son mot de passe principal, le chiffrement s'effectuant uniquement au niveau du périphérique et non du serveur.
Comme indique Toubba, le contenu d'un utilisateur dans LastPass, y compris les mots de passe et les notes sécurisées, est protégé par un seul mot de passe principal. Le contenu est synchronisé avec tout appareil sur lequel l'utilisateur utilise le logiciel LastPass ou des extensions d'applications. Les informations sont chiffrées avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilité d'augmenter la valeur des itérations du mot de passe. Le chiffrement et le déchiffrement ont lieu au niveau de l'appareil.
LastPass dispose d'un remplisseur de formulaires qui automatise la saisie de mots de passe et le remplissage de formulaires, et prend en charge la génération de mots de passe, le partage et la journalisation de sites, ainsi que l'authentification à deux facteurs. LastPass prend en charge l'authentification à deux facteurs via diverses méthodes, notamment l'application LastPass Authenticator pour les téléphones mobiles, ainsi que d'autres méthodes comme YubiKey.
LastPass est disponible sous forme d'extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont également disponibles pour les smartphones fonctionnant sous les systèmes d'exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalité hors ligne. Notez que LastPass désactive le paramètre du navigateur Google Chrome permettant à l'utilisateur d'enregistrer automatiquement ses mots de passe dans le navigateur.
Sur la base des examens de tiers et les avis d'experts en sécurité, il est possible d’établir la plus large sélection possible de gestionnaires de mots de passe établis. Ainsi, la liste comporte des gestionnaires de mots de passe commerciaux offrant des versions gratuites, généralement avec quelques limitations et une option de mise à niveau vers un abonnement payant pour des fonctionnalités supplémentaires. Elle comporte aussi des produits commerciaux qui offrent des essais gratuits, mais qui nécessitent ensuite un abonnement payant, dont certains sont spécifiquement conçus pour être utilisés par des équipes. Pour finir, certaines, mais pas toutes, offrent des options familiales.
« Nous travaillons avec diligence pour comprendre la portée de l'incident et identifier quelles informations spécifiques ont été consultées », indique Toubba, ajoutant que le service reste « entièrement fonctionnel » malgré la brèche. La société a lancé une enquête et a déclaré qu'elle a également notifié les forces de l'ordre.
Le post publié au mois d'août par LastPass indiquait que le compte du développeur qui a été compromis n'avait pas accès aux données des clients. LastPass avait alors assuré aux utilisateurs de son service qu'aucun « mot de passe principal » n'avait été compromis, car il « ne stocke jamais votre mot de passe principal et n'en a pas connaissance ». Dans la mise à jour du 30novembre, LastPass a déclaré avoir détecté une "activité inhabituelle" dans certaines parties de son environnement de développement.
Source : LastPass
Et vous ?
Voir aussi :
-
Anselme45Membre extrêmement actifCe qu'il faut abandonner, ce n'est pas LastPass mais la totalité des solutions d'archivage de mots-de-passe sur le Cloud!!!
Que la plateforme se nomme LastPass, MmeMichuPassword ou PasswordPourLesNuls, le problème sera toujours le même: des milliers de mots-de-pas réunis sur une même plateforme accessible sur le web...
Cela attire les hackers comme le miel les abeilles et, tôt ou tard, un petit malin trouvera la faille!le 17/01/2023 à 11:59 -
23JFKMembre expertDe base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.le 23/12/2022 à 17:44
-
Eric30Membre actifDisclaimer : je n'ai pas d'actions chez LastPass. Mais je ne peux m'empêcher de réagir à certains commentaires que je trouve étranges de la part de "Professionnels de l'informatique" (c'est ce que nous sommes censés être non ?).
"Ça veut dire quoi" piraté ? Vol de code ? Vol de données de prod ou de staging ? Des données anonymisées ? Chiffrées ? Intrusion dans un réseau ? Man in the middle ? Madame Dupont qui avait mis le nom de son caniche comme mot de passe principal ?
Ah ces mots valises...
Je ne suis pas un fan du "tout cloud", mais j'aime bien rappeler que l'on parle toujours des trains qui arrivent en retard, jamais de ceux qui arrivent à l'heure.
Et de là à parler d'idée "stupide"...
Bref, au delà du troll, et de ce titre d'article un brin "sensationnaliste", on peut résumer la situation par le fait que si vous avez un mot de passe fort (et mieux encore, activé la 2FA), vous êtres assez tranquille.
Amen.le 29/12/2022 à 9:20 -
FrancisGernetMembre régulierBonjour,
J'utilise toujours KeePass version 2.45.le 29/12/2022 à 10:22 -
Anselme45Membre extrêmement actifExact... Mais il est intéressant de noter que ta remarque s'applique à tous les services CLOUD!!! Vous savez ce truc à la mode qui est promu par tous les acteurs du numérique...
Pensée émue pour les 8 800 entreprises de Suisse francophone qui ont fait confiance au logiciel ERP nommé WinBiz Cloud qui a vu ses serveurs piratés!!!
Résultat: Plus d'un moi d'arrêt du service Cloud en question alors que les entreprises font leur compte de fin d'année et encore, après un mois, seuls 86% des clients sont annoncés comme ayant retrouvé l'usage de leur WinBiz Cloud avec des lenteurs et des instabilités quand ce ne sont pas des clients qui dénoncent le fait d'avoir accès à des données qui ne sont pas les leurs...
Il y a encore un grand avenir aux idées stupides...le 24/12/2022 à 13:07 -
BonsoirLastPass : vos informations et vos données de coffre-fort de mots de passe sont désormais entre les mains de pirates, le gestionnaire de mots de passe affirme que la violation qu'il a révélée en août était bien pire que prévu
Utilisez-vous un gestionnaire de mots de passe ?Comment le comparez vous à l'offre concurrente ?Quels sont les critères qui vous ont amené à opter pour ce dernier plutôt que sur ceux d'autres éditeurs ?Partagez vous l'avis selon lequel les développements en cours sont l'illustration de ce que l'ère des mots de passe est dépassée ?
Au contraire . LE 2FA et j'en passe sont trop lourd et nécessite des moyens ou des sociétés peuvent mettre des sortes d'embargo ou empecher les gens de jouir de ce qui leur appartient. Se serait un peu le serruier qui refuse de vous laisser rentrer chez vous.le 26/12/2022 à 23:23 -
user056478426Membre actifPour ma part, rien de tel qu'un fichier keepass stocké sur un cloud chiffré (protondrive, mega, ...) puis synchronisé sur mes différents appareils.le 17/01/2023 à 9:18
-
smartiesExpert confirméPour BitWarden, il existe une implémentation RUST du serveur nommée VaultWarden.le 17/01/2023 à 9:36
-
sergio_is_backExpert confirmé+10
Oui quand on ne veut pas se faire voler ses données, le mieux est encore de ne pas les exposer dans le cloud !!!
Et ce quelque soit le chiffrage, les diverses mesures de sécurité, etc...le 17/01/2023 à 12:40 -
daerlnaxeMembre éprouvéJ'ai déjà fait mon choix, ça fait deux ans je crois, j'ai développé ma propre app bien sûr rien en clair et diverses sécurités. J'avais eu un petit hack de mon compte FB que j'ai dégagé très rapidement, et je refaisais tout un plan pour ne pas avoir deux fois le même mot de passe et forcément sécuriser ça quelque part, au début LastPass m'a intéressé et au bout de qqs heures je me suis dit qu'au final je ne savais rien de la sécurité derrière et ça m'a inquiété quand j'ai voulu mettre les comptes de boutiques... Et finalement content d'avoir renoncé à l'utiliser. Je voulais la mettre à disposition de tout le monde mais j'ai confié l'aspect juridique à quelqu'un d'autre, n'y comprenant pas grand chose, trop de temps pour avoir un retour, une vie à remettre en route... donc on est une petite poignée à l'utiliser du coup. Truc très con je voulais simplement mettre des dons mais comme j'utiliser VS en version gratuite, je me demandais quelles étaient mes possibilités. On m'a répondu depuis mais j'ai simplement pas le temps de m'en occuper vu que je cherche un job et que j'ai du gérer ma reconversion.
En fait à ce moment je me suis dit que si j'arrivais à tirer un smic par mois de diverses solutions via des dons j'allais pouvoir à la fois m'éclater sur ce que j'aime faire et rendre service. J'ai déjà fait quelques apps, certaines sont à disposition sous d'autres pseudos mais je ne demande jamais un rond et mine de rien il y a énormément d'heures de boulot derrière... et vu qu'il y en a un petit nombre, gérer ça pour les bugs, évolutions, suivre aussi .net ça prend du temps. Ce n'était pas pour m'enrichir mais plutôt pour pouvoir m'y consacrer.
Et si vous vous demandez pourquoi je n'utilise pas KeePass et bien c'est parce que j'ai fait le tour des solutions et que ça ne couvrait pas certains de mes besoins, tout simplement. Là j'ai quelque chose qui est bien plus souple pour gérer et qui s'adapte mieux.
Maintenant le réel problème mérite que l'on creuse un peu...
Si je fais confiance à un application tierce elle doit me donner une garantie, mais si elle me donne une garantie comme me laissait accéder au code source ça peut aussi compromettre la sécurité. Derrière il y a des implémentations basiques qui sont en elles mêmes des garanties, des bonnes pratiques que normalement on devrait voir partout mais hélas on s'aperçoit que trop souvent c'est laissé de côté. Mais après il y a à gérer le confort de l'utilisateur, ses erreurs aussi... Et puis être rentable. Mon programme est conçu en mode paranoïa pure, c'est probable que ça gonflerait les gens de l'utiliser au début. Et après tout souvenez vous de toutes les personnes qui disaient de virer l'UAC comme d'autres sécurité... pour moi le seul problème qui se pose c'est la communication, tant que l'utilisateur a une idée claire de ce qu'il utilise... Car c'est à lui de faire ses choix.
En passant d'ailleurs rien n'empêcherait non plus de se retrouver avec une application qui balancerait les mots de passe, tout le monde ne va pas traquer en permanence le comportement des applis installées... et là ça peut réserver des surprises. Je me souviens d'un banal client nommé Inc...mail, avec de jolis émotes, mais qui était une vraie saleté en réalité.le 17/01/2023 à 13:16