IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

LastPass : vos infos et vos données de coffre-fort de MdP sont désormais entre les mains de pirates.
Le gestionnaire de MdP révèle que la violation qu'il a reconnu en août est pire que prévu

Le , par Stéphane le calme

9PARTAGES

12  0 
LastPass, l'un des principaux gestionnaires de mots de passe, a déclaré que des pirates ont obtenu une multitude d'informations personnelles appartenant à ses clients ainsi que des mots de passe chiffrés et cryptographiquement hachés en plus d'autres données stockées dans les coffres-forts des clients.

La révélation, publiée jeudi, représente une mise à jour spectaculaire d'une brèche que LastPass a révélée en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'ont utilisé pour accéder à des données exclusive. L'éditeur a reconnu que le(s) cybercriminel(s) « avait pris des parties du code source et certaines informations techniques propriétaires de LastPass ». La société a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés.

Données sensibles, chiffrées ou non, copiées

Dans la mise à jour de jeudi, la société a déclaré que les pirates avaient accédé aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux services LastPass. Les pirates ont également copié une sauvegarde des données du coffre-fort client qui comprenait des données non chiffrées telles que des URL de sites Web et des champs de données chiffrés tels que des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires.

« Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a expliqué le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme. Zero Knowledge fait référence à des systèmes de stockage impossibles à déchiffrer pour le fournisseur de services. Le PDG a poursuivi :

Citation Envoyé par PDG LastPass
Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local. Pour plus d'informations sur notre architecture Zero Knowledge et nos algorithmes de chiffrement, veuillez cliquer ici.
La mise à jour indique que dans l'enquête de la société jusqu'à présent, rien n'indique que des données de carte de crédit non cryptées ont été consultées. LastPass ne stocke pas les données de carte de crédit dans leur intégralité, et les données de carte de crédit qu'il stocke sont conservées dans un environnement de stockage en nuage différent de celui auquel l'acteur de la menace a accédé.

L'intrusion révélée en août qui a permis aux pirates de voler le code source de LastPass et des informations techniques propriétaires semble liée à une violation distincte de Twilio, un fournisseur de services d'authentification et de communication à deux facteurs basé à San Francisco. Le cybercriminel derrière cette violation a volé les données de 163 des clients de Twilio. Les mêmes hameçonneurs qui ont frappé Twilio ont également violé au moins 136 autres entreprises, dont LastPass.

La mise à jour de jeudi a indiqué que les cybercriminels pourraient utiliser le code source et les informations techniques volés à LastPass pour pirater un employé distinct de LastPass et obtenir des informations d'identification et des clés de sécurité pour accéder et déchiffrer les volumes de stockage au sein du service de stockage basé sur le cloud de l'entreprise.

Renforcez votre sécurité maintenant

La mise à jour de jeudi a également répertorié plusieurs solutions que LastPass a prises pour renforcer sa sécurité après la violation. Les étapes comprennent la mise hors service de l'environnement de développement piraté et sa reconstruction à partir de zéro, la conservation d'un service géré de détection et de réponse des terminaux et la rotation de toutes les informations d'identification et certificats pertinents susceptibles d'avoir été affectés.

Compte tenu de la sensibilité des données stockées par LastPass, il est alarmant qu'un si large éventail de données personnelles ait été obtenu. Alors que déchiffrer les hachages de mot de passe nécessiterait des quantités massives de ressources, ce n'est pas hors de propos, en particulier compte tenu de la méthode et de l'ingéniosité des cybercriminels.

Les clients LastPass doivent s'assurer qu'ils ont changé leur mot de passe principal et tous les mots de passe stockés dans leur coffre-fort. Ils doivent également s'assurer qu'ils utilisent des paramètres qui dépassent la valeur par défaut de LastPass. Ces paramètres hachent les mots de passe stockés à l'aide des itérations 100100 de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2), un schéma de hachage qui peut rendre impossible le déchiffrage de mots de passe principaux longs, uniques et générés de manière aléatoire Les itérations 100100 sont terriblement en deçà du seuil de 310 000 itérations recommandé par l'OWASP pour PBKDF2 en combinaison avec l'algorithme de hachage SHA256 utilisé par LastPass. Les clients LastPass peuvent vérifier le nombre actuel d'itérations PBKDF2 pour leurs comptes ici.


Les clients de LastPass doivent également être très attentifs aux e-mails et appels téléphoniques de phishing prétendument de LastPass ou d'autres services à la recherche de données sensibles et d'autres escroqueries qui exploitent leurs données personnelles compromises. La société propose également des conseils spécifiques aux clients professionnels qui ont mis en œuvre les services de connexion fédérée LastPass.

Le communiqué de LastPass sur le sujet

À notre communauté LastPass,

Nous vous avons récemment informé qu'une partie non autorisée avait eu accès à un service de stockage cloud tiers, que LastPass utilise pour stocker des sauvegardes archivées de nos données de production. Conformément à notre engagement envers la transparence, nous souhaitons vous fournir une mise à jour concernant notre enquête en cours.

Ce que nous avons appris

Sur la base de notre enquête à ce jour, nous avons appris qu'un acteur malveillant inconnu a accédé à un environnement de stockage basé sur le cloud en exploitant les informations obtenues à partir de l'incident que nous avons précédemment divulgué en août 2022. Bien qu'aucune donnée client n'ait été consultée lors de l'incident d'août 2022, une source du code et des informations techniques ont été volés dans notre environnement de développement et utilisés pour cibler un autre employé, obtenant des informations d'identification et des clés qui ont été utilisées pour accéder et déchiffrer certains volumes de stockage dans le service de stockage basé sur le cloud.

Les services de production LastPass fonctionnent actuellement à partir de centres de données sur site avec un stockage basé sur le cloud utilisé à diverses fins telles que le stockage des sauvegardes et les exigences régionales en matière de résidence des données. Le service de stockage sur le cloud auquel a accédé l'auteur de la menace est physiquement séparé de notre environnement de production.

À ce jour, nous avons déterminé qu'une fois la clé d'accès au stockage sur le cloud et les clés de déchiffrement du double conteneur de stockage obtenues, l'auteur de la menace a copié des informations à partir de la sauvegarde contenant des informations de base sur le compte client et les métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, adresses e-mail, numéros de téléphone et adresses IP à partir desquelles les clients accédaient au service LastPass.

L'auteur de la menace a également pu copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage chiffré qui est stocké dans un format binaire propriétaire qui contient à la fois des données non chiffrées, telles que les URL de sites Web, ainsi que des champs sensibles entièrement chiffrés tels que les noms d'utilisateur de sites Web. et mots de passe, notes sécurisées et données remplies par formulaire. Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge. Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local.

Il n'y a aucune preuve que des données de carte de crédit non chiffrées aient été consultées. LastPass ne stocke pas les numéros de carte de crédit complets et les informations de carte de crédit ne sont pas archivées dans cet environnement de stockage sur le cloud.

Qu'est-ce que cela signifie? Mes données sont-elles en danger ?

L'auteur de la menace peut tenter d'utiliser la force brute pour deviner votre mot de passe principal et déchiffrer les copies des données du coffre-fort qu'il a prises. En raison des méthodes de hachage et de chiffrement que nous utilisons pour protéger nos clients, il serait extrêmement difficile de tenter de deviner par force brute des mots de passe principaux pour les clients qui suivent nos meilleures pratiques en matière de mot de passe. Nous testons régulièrement les dernières technologies de craquage de mots de passe par rapport à nos algorithmes pour suivre et améliorer nos contrôles cryptographiques.

L'auteur de la menace peut également cibler les clients avec des attaques de phishing, de credential stuffing ou d'autres attaques par force brute contre les comptes en ligne associés à votre coffre-fort LastPass. Afin de vous protéger contre les attaques d'ingénierie sociale ou de phishing, il est important de savoir que LastPass ne vous appellera, n'enverra jamais d'e-mail ou de SMS pour vous demander de cliquer sur un lien pour vérifier vos informations personnelles. Sauf lors de la connexion à votre coffre-fort à partir d'un client LastPass, LastPass ne vous demandera jamais votre mot de passe principal.

Que doivent faire les clients LastPass ?

Pour rappel, les paramètres de mot de passe principal par défaut de LastPass et les meilleures pratiques incluent les éléments suivants :
  • Depuis 2018, nous exigeons un minimum de douze caractères pour les mots de passe principaux. Cela minimise considérablement la possibilité de deviner avec succès un mot de passe par force brute.
  • Pour augmenter encore la sécurité de votre mot de passe principal, LastPass utilise une implémentation plus robuste que la norme des 100100 itérations de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2), un algorithme de renforcement de mot de passe qui rend difficile la devinette de votre mot de passe principal.
  • Nous vous recommandons également de ne jamais réutiliser votre mot de passe principal sur d'autres sites Web. Si vous réutilisez votre mot de passe principal et que ce mot de passe a déjà été compromis, un acteur de la menace peut utiliser des dumping d'informations d'identification compromises déjà disponibles sur Internet pour tenter d'accéder à votre compte (c'est ce qu'on appelle une attaque de « bourrage d'informations d'identification »).

Si vous utilisez les paramètres par défaut ci-dessus, il faudrait des millions d'années pour deviner votre mot de passe principal à l'aide de la technologie de craquage de mot de passe généralement disponible. Vos données de coffre-fort sensibles, telles que les noms d'utilisateur et les mots de passe, les notes sécurisées, les pièces jointes et les champs de remplissage de formulaire, restent chiffrés en toute sécurité sur la base de l'architecture Zero Knowledge de LastPass. Il n'y a aucune action recommandée que vous devez prendre en ce moment.

Cependant, il est important de noter que si votre mot de passe principal n'utilise pas les valeurs par défaut ci-dessus, cela réduirait considérablement le nombre de tentatives nécessaires pour le deviner correctement. Dans ce cas, comme mesure de sécurité supplémentaire, vous devriez envisager de minimiser les risques en modifiant les mots de passe des sites Web que vous avez stockés.


Pour les clients professionnels qui ont implémenté les services de connexion fédérée LastPass, LastPass maintient notre architecture Zero Knowledge et implémente un mot de passe principal caché pour chiffrer vos données de coffre-fort. Selon le modèle d'implémentation choisi, ce mot de passe principal caché est en fait une combinaison de deux ou plusieurs chaînes aléatoires de 256 bits ou 32 caractères stockées séparément et générées par chiffrement qui doivent être spécifiquement combinées pour être utilisées.

L'auteur de la menace n'avait pas accès aux fragments de clé stockés dans l'infrastructure du fournisseur d'identité du client ou de LastPass et ils n'étaient pas inclus dans les sauvegardes copiées contenant les coffres du client. Par conséquent, si vous avez implémenté les services de connexion fédérée, vous n'avez pas besoin d'entreprendre d'actions supplémentaires.

Cependant, il est important de noter que si vous êtes un client Business qui n'utilise pas Federated Login et que votre mot de passe principal n'utilise pas les valeurs par défaut ci-dessus, cela réduirait considérablement le nombre de tentatives nécessaires pour le deviner correctement. Dans ce cas, comme mesure de sécurité supplémentaire, vous devriez envisager de minimiser les risques en modifiant les mots de passe des sites Web que vous avez stockés.

Source : LastPass

Et vous ?

Utilisez-vous un gestionnaire de mots de passe ? Comment le comparez vous à l'offre concurrente ? Quels sont les critères qui vous ont amené à opter pour ce dernier plutôt que sur ceux d'autres éditeurs ?
Partagez vous l'avis selon lequel les développements en cours sont l'illustration de ce que l'ère des mots de passe est dépassée ?

Voir aussi :

KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe

La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport

Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur

Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?

Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 17/01/2023 à 11:59
Ce qu'il faut abandonner, ce n'est pas LastPass mais la totalité des solutions d'archivage de mots-de-passe sur le Cloud!!!

Que la plateforme se nomme LastPass, MmeMichuPassword ou PasswordPourLesNuls, le problème sera toujours le même: des milliers de mots-de-pas réunis sur une même plateforme accessible sur le web...

Cela attire les hackers comme le miel les abeilles et, tôt ou tard, un petit malin trouvera la faille!
6  2 
Avatar de 23JFK
Inactif https://www.developpez.com
Le 23/12/2022 à 17:44
De base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.
3  0 
Avatar de Eric30
Membre actif https://www.developpez.com
Le 29/12/2022 à 9:20
Disclaimer : je n'ai pas d'actions chez LastPass. Mais je ne peux m'empêcher de réagir à certains commentaires que je trouve étranges de la part de "Professionnels de l'informatique" (c'est ce que nous sommes censés être non ?).

Citation Envoyé par daerlnaxe Voir le message
Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé. Ce jour là j'ai développé en c# ma propre appli.


Citation Envoyé par sanderbe Voir le message
Bonsoir

D'ailleurs en chinant dans les archives du forum , LastPass est le gestionnaire de mot de pass qui a eu droit à 2 piratages 2015 et 2018 de mémoires. Donc services à proscrire !
.
"Ça veut dire quoi" piraté ? Vol de code ? Vol de données de prod ou de staging ? Des données anonymisées ? Chiffrées ? Intrusion dans un réseau ? Man in the middle ? Madame Dupont qui avait mis le nom de son caniche comme mot de passe principal ?

Ah ces mots valises...

Citation Envoyé par Anselme45 Voir le message
Exact... Mais il est intéressant de noter que ta remarque s'applique à tous les services CLOUD!!! Vous savez ce truc à la mode qui est promu par tous les acteurs du numérique... [...]

Il y a encore un grand avenir aux idées stupides...
Je ne suis pas un fan du "tout cloud", mais j'aime bien rappeler que l'on parle toujours des trains qui arrivent en retard, jamais de ceux qui arrivent à l'heure.
Et de là à parler d'idée "stupide"...

Bref, au delà du troll, et de ce titre d'article un brin "sensationnaliste", on peut résumer la situation par le fait que si vous avez un mot de passe fort (et mieux encore, activé la 2FA), vous êtres assez tranquille.

Citation Envoyé par 23JFK Voir le message
De base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.
Amen.
2  0 
Avatar de FrancisGernet
Membre régulier https://www.developpez.com
Le 29/12/2022 à 10:22
Bonjour,
J'utilise toujours KeePass version 2.45.
2  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 24/12/2022 à 13:07
Citation Envoyé par 23JFK Voir le message
De base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.
Exact... Mais il est intéressant de noter que ta remarque s'applique à tous les services CLOUD!!! Vous savez ce truc à la mode qui est promu par tous les acteurs du numérique...

Pensée émue pour les 8 800 entreprises de Suisse francophone qui ont fait confiance au logiciel ERP nommé WinBiz Cloud qui a vu ses serveurs piratés!!!

Résultat: Plus d'un moi d'arrêt du service Cloud en question alors que les entreprises font leur compte de fin d'année et encore, après un mois, seuls 86% des clients sont annoncés comme ayant retrouvé l'usage de leur WinBiz Cloud avec des lenteurs et des instabilités quand ce ne sont pas des clients qui dénoncent le fait d'avoir accès à des données qui ne sont pas les leurs...

Il y a encore un grand avenir aux idées stupides...
1  0 
Avatar de
https://www.developpez.com
Le 26/12/2022 à 23:23
Bonsoir

LastPass : vos informations et vos données de coffre-fort de mots de passe sont désormais entre les mains de pirates, le gestionnaire de mots de passe affirme que la violation qu'il a révélée en août était bien pire que prévu

Utilisez-vous un gestionnaire de mots de passe ?
Oui , un strictement personnel

Comment le comparez vous à l'offre concurrente ?
Il est "gratuit" . Quoi que j'ai quand même acheté un service de logiciel derrière

Quels sont les critères qui vous ont amené à opter pour ce dernier plutôt que sur ceux d'autres éditeurs ?
Je peux personnaliser le service de stockage a ma façon et selon "ma logique" de sécurité qui m'est propre.

Partagez vous l'avis selon lequel les développements en cours sont l'illustration de ce que l'ère des mots de passe est dépassée ?
Pas du tout !

Au contraire . LE 2FA et j'en passe sont trop lourd et nécessite des moyens ou des sociétés peuvent mettre des sortes d'embargo ou empecher les gens de jouir de ce qui leur appartient. Se serait un peu le serruier qui refuse de vous laisser rentrer chez vous.
1  0 
Avatar de user056478426
Membre actif https://www.developpez.com
Le 17/01/2023 à 9:18
Pour ma part, rien de tel qu'un fichier keepass stocké sur un cloud chiffré (protondrive, mega, ...) puis synchronisé sur mes différents appareils.
1  0 
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 17/01/2023 à 9:36
Pour BitWarden, il existe une implémentation RUST du serveur nommée VaultWarden.
1  0 
Avatar de sergio_is_back
Expert éminent https://www.developpez.com
Le 17/01/2023 à 12:40
Citation Envoyé par Anselme45 Voir le message
Ce qu'il faut abandonner, ce n'est pas LastPass mais la totalité des solutions d'archivage de mots-de-passe sur le Cloud!!!

Que la plateforme se nomme LastPass, MmeMichuPassword ou PasswordPourLesNuls, le problème sera toujours le même: des milliers de mots-de-pas réunis sur une même plateforme accessible sur le web...

Cela attire les hackers comme le miel les abeilles et, tôt ou tard, un petit malin trouvera la faille!
+10

Oui quand on ne veut pas se faire voler ses données, le mieux est encore de ne pas les exposer dans le cloud !!!
Et ce quelque soit le chiffrage, les diverses mesures de sécurité, etc...
2  1 
Avatar de daerlnaxe
Membre éprouvé https://www.developpez.com
Le 17/01/2023 à 13:16
J'ai déjà fait mon choix, ça fait deux ans je crois, j'ai développé ma propre app bien sûr rien en clair et diverses sécurités. J'avais eu un petit hack de mon compte FB que j'ai dégagé très rapidement, et je refaisais tout un plan pour ne pas avoir deux fois le même mot de passe et forcément sécuriser ça quelque part, au début LastPass m'a intéressé et au bout de qqs heures je me suis dit qu'au final je ne savais rien de la sécurité derrière et ça m'a inquiété quand j'ai voulu mettre les comptes de boutiques... Et finalement content d'avoir renoncé à l'utiliser. Je voulais la mettre à disposition de tout le monde mais j'ai confié l'aspect juridique à quelqu'un d'autre, n'y comprenant pas grand chose, trop de temps pour avoir un retour, une vie à remettre en route... donc on est une petite poignée à l'utiliser du coup. Truc très con je voulais simplement mettre des dons mais comme j'utiliser VS en version gratuite, je me demandais quelles étaient mes possibilités. On m'a répondu depuis mais j'ai simplement pas le temps de m'en occuper vu que je cherche un job et que j'ai du gérer ma reconversion.

En fait à ce moment je me suis dit que si j'arrivais à tirer un smic par mois de diverses solutions via des dons j'allais pouvoir à la fois m'éclater sur ce que j'aime faire et rendre service. J'ai déjà fait quelques apps, certaines sont à disposition sous d'autres pseudos mais je ne demande jamais un rond et mine de rien il y a énormément d'heures de boulot derrière... et vu qu'il y en a un petit nombre, gérer ça pour les bugs, évolutions, suivre aussi .net ça prend du temps. Ce n'était pas pour m'enrichir mais plutôt pour pouvoir m'y consacrer.

Et si vous vous demandez pourquoi je n'utilise pas KeePass et bien c'est parce que j'ai fait le tour des solutions et que ça ne couvrait pas certains de mes besoins, tout simplement. Là j'ai quelque chose qui est bien plus souple pour gérer et qui s'adapte mieux.

Maintenant le réel problème mérite que l'on creuse un peu...

Si je fais confiance à un application tierce elle doit me donner une garantie, mais si elle me donne une garantie comme me laissait accéder au code source ça peut aussi compromettre la sécurité. Derrière il y a des implémentations basiques qui sont en elles mêmes des garanties, des bonnes pratiques que normalement on devrait voir partout mais hélas on s'aperçoit que trop souvent c'est laissé de côté. Mais après il y a à gérer le confort de l'utilisateur, ses erreurs aussi... Et puis être rentable. Mon programme est conçu en mode paranoïa pure, c'est probable que ça gonflerait les gens de l'utiliser au début. Et après tout souvenez vous de toutes les personnes qui disaient de virer l'UAC comme d'autres sécurité... pour moi le seul problème qui se pose c'est la communication, tant que l'utilisateur a une idée claire de ce qu'il utilise... Car c'est à lui de faire ses choix.

En passant d'ailleurs rien n'empêcherait non plus de se retrouver avec une application qui balancerait les mots de passe, tout le monde ne va pas traquer en permanence le comportement des applis installées... et là ça peut réserver des surprises. Je me souviens d'un banal client nommé Inc...mail, avec de jolis émotes, mais qui était une vraie saleté en réalité.
1  0