IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La dernière violation de LastPass aurait pu être stoppée par une mise à jour de Plex vieille de trois ans
La société a publié Plex Media Server 1.19.3 pour corriger cette faille

Le , par Anthony

38PARTAGES

7  0 
LastPass, qui était l'un des meilleurs gestionnaires de mots de passe du marché, a perdu sa réputation après avoir subi non pas une, mais deux violations massives de données l'année dernière. Nous avons appris plus de détails sur le deuxième incident la semaine dernière : une partie malveillante a installé un enregistreur de frappe sur l'ordinateur personnel d'un ingénieur senior grâce à un exploit dans Plex, le service de cloud personnel pour le stockage et la diffusion de films, et a pu ainsi pénétrer dans les caches de l'entreprise. Mais il s'avère que l'ingénieur avait également un rôle important à jouer dans cet échec majeur.

Plex a révélé que l'exploit en question a profité d'une vulnérabilité qui a été divulguée le 7 mai 2020. L'entreprise raconte que, pour une raison quelconque, l'employé de LastPass n'a jamais mis à jour son client pour appliquer le correctif.

La faille permettait à ceux qui avaient accès au compte Plex d'un administrateur de serveur de télécharger un fichier malveillant via la fonction Camera Upload et, en superposant les emplacements du répertoire de données du serveur avec une bibliothèque qui autorisait les Camera Uploads, de faire en sorte que le serveur multimédia l'exécute.


Le jour même, la société a publié la version 1.19.3 de Plex Media Server pour combler cette faille.

"Pour référence, la version qui corrigeait cet exploit datait d'environ 75 versions", a déclaré un porte-parole de LastPass.

Ce qui est flagrant pour nous, c'est que la chaîne d'événements qui a conduit à cette violation a commencé dès le sommet : LastPass a permis à cet employé senior d'accéder à des surfaces de travail privilégiées par le biais de son ordinateur personnel, ouvrant ainsi la possibilité à quelqu'un d'accéder au compte Plex de cet employé, d'exécuter un exploit corrigé depuis longtemps qui a fonctionné grâce à la négligence de l'employé susmentionné, et d'obtenir un accès illimité à ces surfaces de travail à partir de là.

Chaque étape de cette séquence a été mise en place par une décision qui a pu être justifiée pour une raison ou une autre à l'époque. Mais au vu de l'évolution des choses, LastPass aura besoin d'une plus grande pelle si elle veut se sortir de ce trou.

Source : Plex

Et vous ?

Quel est votre avis sur le sujet ?
Selon vous, est-il possible de se passer des gestionnaires de mots de passe tels que LastPass ?
Que pensez-vous des performances de LastPass par rapport aux autres outils de gestion de mots de passe (BitWarden, KeePass, etc.) ?

Voir aussi :

Les spécialistes de la cybersécurité s'attaquent au communiqué de LastPass suite à une violation de sécurité, « leur déclaration est pleine d'omissions, de demi-vérités et de mensonges éhontés »

LastPass affirme que le piratage de l'ordinateur d'un ingénieur DevOps a conduit à la brèche dans la sécurité en 2022, et aurait rendu difficile la détection de l'activité de l'acteur de la menace

Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui, selon des experts qui évoquent « sa longue histoire d'incompétence et de négligence »

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de QBasic
Membre à l'essai https://www.developpez.com
Le 08/09/2023 à 21:27
C'est une hérésie d'utiliser un gestionnaire de mots de passe qui stocke des données quelque part dans un cloud inconnu !
C'est tellement plus sûr d'utiliser des solutions matérielles et sans connexion (par exemple Hoplite Key Manager).
1  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 10/09/2023 à 1:31
mdr. lastpass qui stocke les clefs des utilisateurs dans un cloud.. haha.

mon gestionnaire de mot de passe a encore de beau jour devant lui.

je sais pas ce qui est le pire ? lastpass qui stocke dans le cloud ou les utilisateurs qui lui font confiance.

forcemment pour des pirates, c'est une cible de choix..
1  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 07/03/2023 à 14:40
Les boules...
0  0