IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

LastPass, le gestionnaire de mots de passe, confirme que les pirates ont eu un accès interne à son système,
Pendant quatre jours

Le , par Bruno

18PARTAGES

6  0 
Le 22 août, nous avons révélé que le code source de LastPass, le gestionnaire de mots de passe, et des informations techniques propriétaires de l’entreprise avaient été volés. L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes avait annoncé que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Aujoued'hui, LastPass affirme que les pirates ont eu un accès interne à son système pendant quatre jours. « Le 25 août 2022, nous vous avons informé d'un incident de sécurité limité à l'environnement de développement de LastPass, au cours duquel certains de nos codes sources et informations techniques ont été dérobés. Je tenais à vous informer de la conclusion de notre enquête afin d'assurer la transparence et la tranquillité d'esprit de nos communautés de consommateurs et d'entreprises », déclare Karim Toubba, CEO de LastPass.

LastPass est un gestionnaire de mots de passe freemium qui stocke des mots de passe chiffrés en ligne. La version standard de LastPass est fournie avec une interface web, mais comprend également des plugins pour divers navigateurs web et des applications pour de nombreux smartphones. Elle prend également en charge les bookmarklets LogMeIn.


Le contenu d'un utilisateur dans LastPass, y compris les mots de passe et les notes sécurisées, est protégé par un seul mot de passe principal. Le contenu est synchronisé avec tout appareil sur lequel l'utilisateur utilise le logiciel LastPass ou des extensions d'applications. Les informations sont chiffrées avec un chiffrement AES-256 avec PBKDF2 SHA-256, des hachages et la possibilité d'augmenter la valeur des itérations du mot de passe. Le chiffrement et le déchiffrement ont lieu au niveau de l'appareil.

LastPass dispose d'un remplisseur de formulaires qui automatise la saisie de mots de passe et le remplissage de formulaires, et prend en charge la génération de mots de passe, le partage et la journalisation de sites, ainsi que l'authentification à deux facteurs. LastPass prend en charge l'authentification à deux facteurs via diverses méthodes, notamment l'application LastPass Authenticator pour les téléphones mobiles, ainsi que d'autres méthodes comme YubiKey.

LastPass est disponible sous forme d'extension pour de nombreux navigateurs Web, notamment Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi et Opera. Des applications sont également disponibles pour les smartphones fonctionnant sous les systèmes d'exploitation Android, iOS ou Windows Phone. Ces applications ont une fonctionnalité hors ligne. Notez que LastPass désactive le paramètre du navigateur Google Chrome permettant à l'utilisateur d'enregistrer automatiquement ses mots de passe dans le navigateur.

« Nous avons terminé l'enquête et le processus d’incvestigation en partenariat avec Mandiant. Notre enquête a révélé que l'activité de l'acteur de la menace s'est limitée à une période de quatre jours en août 2022. Pendant cette période, l'équipe de sécurité de LastPass a détecté l'activité des cybercriminels et a ensuite contenu l'incident », déclare l’entreprise.

Il n'y aurait aucune preuve d'une quelconque activité de l'acteur de la menace au-delà de la période établie. « Nous pouvons également confirmer qu'il n'y a aucune preuve que cet incident ait impliqué un accès aux données des clients ou aux coffres de mots de passe chiffrés. »   

L’enquête de LastPassa déterminé que les cybercriminels ont accédé à l'environnement de développement en utilisant le terminal compromis d'un développeur. Bien que la méthode utilisée pour la compromission initiale du point de terminaison ne soit pas concluante, les cybercriminels ont utilisé son accès persistant pour se faire passer pour le développeur après que celui-ci se soit authentifié avec succès à l'aide de l'authentification multifactorielle.

Bien que les cybercriminels ont aient pu accéder à l'environnement de développement, la conception et les contrôles de notre système ont empêché l'acteur menaçant d'accéder aux données des clients ou aux coffres-forts de mots de passe chiffrés.

Tout d'abord, l'environnement de développement de LastPass est physiquement séparé de notre environnement de production et n'a aucune connectivité directe avec celui-ci. Deuxièmement, l'environnement de développement ne contient aucune donnée client ou coffre-fort chiffré. Troisièmement, LastPass n'a pas accès aux mots de passe principaux des coffres-forts de ses clients - sans le mot de passe principal, il n'est pas possible pour quiconque autre que le propriétaire d'un coffre-fort de déchiffer les données du coffre-fort dans le cadre de notre modèle de sécurité « Zero Knowledge ». 

Afin de valider l'intégrité du code, LastPass dit avoir effectué une analyse de son code source et de ses constructions de production et confirme qu’elle ne voit aucune preuve de tentatives de compromission du code ou d'injection de code malveillant. Les développeurs n'ont pas la possibilité de pousser le code source de l'environnement de développement vers la production. Cette capacité est limitée à une équipe séparée de Build Release et ne peut se produire qu'après l'achèvement de processus rigoureux de révision, de test et de validation du code.

Dans le cadre de son programme de gestion des risques, elle a également établi un partenariat avec une société de cybersécurité de premier plan afin d'améliorer ses pratiques existantes en matière de sécurité du code source, qui comprennent des processus de cycle de vie de développement de logiciels sécurisés, la modélisation des menaces, la gestion des vulnérabilités et des programmes de primes aux bogues.

Source : LastPass

Et vous ?

Selon vous, LastPass vaut-il le coup ? Protège-t-il vraiment vos mots de passe ?

Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?

Voir aussi :

Des versions trojanisées de l'utilitaire PuTTY sont utilisées pour propager des backdoors, par des cybercriminels ayant des liens avec des pirates soutenus par le gouvernement nord-coréen

Les lacunes en matière de sécurité du cloud exposent les actifs critiques de l'entreprise en seulement trois coups, selon un rapport d'Orca Security

Uber : un cadre accusé d'avoir déguisé une extorsion de données en « prime de bug », en signant des accords de non-divulgation pour recevoir 100 000 dollars en bitcoins

Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 17/09/2022 à 12:51
Utiliser un service en ligne pour y stocker ses mots-de-passe est par définition une idiotie...

C'est comme si un banquier regroupait toutes les clés des coffres-forts que sa banque met à disposition de sa clientèle fortuné au milieu d'une place publique dans une jolie cassette munie d'un cadenas avec une pancarte "Ici sont réunies l'ensemble des clés des coffres-forts de la banque Cresus&co. Prière de ne pas toucher"
5  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 17/01/2023 à 11:59
Ce qu'il faut abandonner, ce n'est pas LastPass mais la totalité des solutions d'archivage de mots-de-passe sur le Cloud!!!

Que la plateforme se nomme LastPass, MmeMichuPassword ou PasswordPourLesNuls, le problème sera toujours le même: des milliers de mots-de-pas réunis sur une même plateforme accessible sur le web...

Cela attire les hackers comme le miel les abeilles et, tôt ou tard, un petit malin trouvera la faille!
6  2 
Avatar de 23JFK
Membre expert https://www.developpez.com
Le 23/12/2022 à 17:44
De base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.
3  0 
Avatar de jbrosset
Membre régulier https://www.developpez.com
Le 24/09/2022 à 17:30
Je vais réagir à l'inverse de la quasi totalité des commentaires :
Je veux bien entendre que l'utilisation d'un gestionnaire de mots de passe en ligne est une idiotie, mais personnellement je n'ai pas trouvé mieux pour gérer une bonne centaine de mots de passe et les partager avec une épouse non technophile qui n'accepte que des trucs hyper simples.
Note monde aujourd'hui est fou avec des dizaines et des dizaines de mots de passe à définir, forts (et donc difficiles à mémoriser), qu'il faut changer souvent.
Bref, moi je vous le dis honnêtement : ma vie ne se déroule pas exclusivement derrière un ordinateur, loin s'en faut, et je ne sais pas comment faire, sans migraine ni crise de nerfs.
J'ose le dire, parmi ce concert de critiques à propos de LastPass, parce que je suis convaincu que ce que je raconte c'est ce que vivent beaucoup, beaucoup de personnes individuelles, et de familles (avec partage des données sensibles).
Alors, si vous avez des idées constructives et réalistes (c'est-à-dire très simples à mettre en œuvre, sinon je sais déjà que ça ne marchera pas) eh bien n'hésitez pas à nous les partager...
2  0 
Avatar de Eric30
Membre actif https://www.developpez.com
Le 29/12/2022 à 9:20
Disclaimer : je n'ai pas d'actions chez LastPass. Mais je ne peux m'empêcher de réagir à certains commentaires que je trouve étranges de la part de "Professionnels de l'informatique" (c'est ce que nous sommes censés être non ?).

Citation Envoyé par daerlnaxe Voir le message
Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé. Ce jour là j'ai développé en c# ma propre appli.


Citation Envoyé par sanderbe Voir le message
Bonsoir

D'ailleurs en chinant dans les archives du forum , LastPass est le gestionnaire de mot de pass qui a eu droit à 2 piratages 2015 et 2018 de mémoires. Donc services à proscrire !
.
"Ça veut dire quoi" piraté ? Vol de code ? Vol de données de prod ou de staging ? Des données anonymisées ? Chiffrées ? Intrusion dans un réseau ? Man in the middle ? Madame Dupont qui avait mis le nom de son caniche comme mot de passe principal ?

Ah ces mots valises...

Citation Envoyé par Anselme45 Voir le message
Exact... Mais il est intéressant de noter que ta remarque s'applique à tous les services CLOUD!!! Vous savez ce truc à la mode qui est promu par tous les acteurs du numérique... [...]

Il y a encore un grand avenir aux idées stupides...
Je ne suis pas un fan du "tout cloud", mais j'aime bien rappeler que l'on parle toujours des trains qui arrivent en retard, jamais de ceux qui arrivent à l'heure.
Et de là à parler d'idée "stupide"...

Bref, au delà du troll, et de ce titre d'article un brin "sensationnaliste", on peut résumer la situation par le fait que si vous avez un mot de passe fort (et mieux encore, activé la 2FA), vous êtres assez tranquille.

Citation Envoyé par 23JFK Voir le message
De base il y a deux idées stupides dans ce concept : Centralisation des données et externalisation sur un serveur tiers.
Amen.
2  0 
Avatar de FrancisGernet
Membre régulier https://www.developpez.com
Le 29/12/2022 à 10:22
Bonjour,
J'utilise toujours KeePass version 2.45.
2  0 
Avatar de QBasic
Membre à l'essai https://www.developpez.com
Le 17/09/2022 à 15:13
Utiliser un service en ligne pour y stocker ses mots-de-passe est par définition une idiotie...
C'est clair, s'il y a bien un type de données à ne confier à personne, c'est les mots de passe !
1  0 
Avatar de onilink_
Membre émérite https://www.developpez.com
Le 17/09/2022 à 15:38
Moi qui pensais que les gestionnaires de password c'était forcement chiffré et en local...
Comme quoi on en apprend tous les jours
1  0 
Avatar de
https://www.developpez.com
Le 17/09/2022 à 19:24
Bonsoir

LastPass, le gestionnaire de mots de passe, affirme que les pirates ont eu un accès interne à son système, pendant quatre jours

Selon vous, LastPass vaut-il le coup ?
Non pas du tout !

Protège-t-il vraiment vos mots de passe ?
Absoluement pas ! D'ailleurs en chinant dans les archives du forum , LastPass est le gestionnaire de mot de pass qui a eu droit à 2 piratages 2015 et 2018 de mémoires. Donc services à proscrire !

Êtes-vous pour ou contre l'utilisation des gestionnaires de mots de passe ?
Contre .
1  0 
Avatar de daerlnaxe
Membre éprouvé https://www.developpez.com
Le 17/09/2022 à 23:09
Ah ben ça confirme ce que je pensais, à un moment j'ai stocké quelques mots de passe puis à un moment je me suis dit qu'à tout moment ça pouvait être choppé. Ce jour là j'ai développé en c# ma propre appli, je comptais d'ailleurs la mettre à dispo gratuitement, simplement je voulais savoir avant sur les licences si j'avais droit (pour une fois) à proposer de me faire des dons (pas des gros trucs mais histoire de pouvoir moins m'inquiéter de mon activité "pro", vu qu'une maladie me clouait dans un fauteuil).
1  0