LastPass, qui était l'un des meilleurs gestionnaires de mots de passe du marché, a perdu sa réputation après avoir subi non pas une, mais deux violations massives de données l'année dernière. Nous avons appris plus de détails sur le deuxième incident la semaine dernière : une partie malveillante a installé un enregistreur de frappe sur l'ordinateur personnel d'un ingénieur senior grâce à un exploit dans Plex, le service de cloud personnel pour le stockage et la diffusion de films, et a pu ainsi pénétrer dans les caches de l'entreprise. Mais il s'avère que l'ingénieur avait également un rôle important à jouer dans cet échec majeur.
Plex a révélé que l'exploit en question a profité d'une vulnérabilité qui a été divulguée le 7 mai 2020. L'entreprise raconte que, pour une raison quelconque, l'employé de LastPass n'a jamais mis à jour son client pour appliquer le correctif.
La faille permettait à ceux qui avaient accès au compte Plex d'un administrateur de serveur de télécharger un fichier malveillant via la fonction Camera Upload et, en superposant les emplacements du répertoire de données du serveur avec une bibliothèque qui autorisait les Camera Uploads, de faire en sorte que le serveur multimédia l'exécute.
Le jour même, la société a publié la version 1.19.3 de Plex Media Server pour combler cette faille.
"Pour référence, la version qui corrigeait cet exploit datait d'environ 75 versions", a déclaré un porte-parole de LastPass.
Ce qui est flagrant pour nous, c'est que la chaîne d'événements qui a conduit à cette violation a commencé dès le sommet : LastPass a permis à cet employé senior d'accéder à des surfaces de travail privilégiées par le biais de son ordinateur personnel, ouvrant ainsi la possibilité à quelqu'un d'accéder au compte Plex de cet employé, d'exécuter un exploit corrigé depuis longtemps qui a fonctionné grâce à la négligence de l'employé susmentionné, et d'obtenir un accès illimité à ces surfaces de travail à partir de là.
Chaque étape de cette séquence a été mise en place par une décision qui a pu être justifiée pour une raison ou une autre à l'époque. Mais au vu de l'évolution des choses, LastPass aura besoin d'une plus grande pelle si elle veut se sortir de ce trou.
Source : Plex
Et vous ?
Quel est votre avis sur le sujet ?
Selon vous, est-il possible de se passer des gestionnaires de mots de passe tels que LastPass ?
Que pensez-vous des performances de LastPass par rapport aux autres outils de gestion de mots de passe (BitWarden, KeePass, etc.) ?
Voir aussi :
Les spécialistes de la cybersécurité s'attaquent au communiqué de LastPass suite à une violation de sécurité, « leur déclaration est pleine d'omissions, de demi-vérités et de mensonges éhontés »
LastPass affirme que le piratage de l'ordinateur d'un ingénieur DevOps a conduit à la brèche dans la sécurité en 2022, et aurait rendu difficile la détection de l'activité de l'acteur de la menace
Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui, selon des experts qui évoquent « sa longue histoire d'incompétence et de négligence »
La dernière violation de LastPass aurait pu être stoppée par une mise à jour de Plex vieille de trois ans
La société a publié Plex Media Server 1.19.3 pour corriger cette faille
La dernière violation de LastPass aurait pu être stoppée par une mise à jour de Plex vieille de trois ans
La société a publié Plex Media Server 1.19.3 pour corriger cette faille
Le , par Anthony
Une erreur dans cette actualité ? Signalez-nous-la !