Dans une mise à jour surprenante liée à une violation de données plus tôt ce mois-ci, LastPass a révélé que les pirates avaient pu obtenir une copie des coffres-forts de mots de passe des clients. Les acteurs malveillants ont volé les clés de stockage cloud de LastPass à un employé pour accéder aux données stockées et les déchiffrer, selon un article du blog de l’entreprise sur l’incident.
LastPass a déclaré que l’acteur avait accédé aux informations du compte client et à certaines métadonnées associées, y compris les noms de société, les noms d’utilisateur final, les adresses de facturation et e-mail, les numéros de téléphone et les adresses IP utilisées pour accéder au gestionnaire de mots de passe.
LastPass est un service qui permet aux clients de facilement stocker, gérer et remplir automatiquement les mots de passe sur les sites Web. Pour ce faire, ils utilisent un mot de passe principal pour déverrouiller le service.
Bien que l’entreprise déclare qu’elle ne connaît ni ne stocke les mots de passe principaux, elle a déclaré que l’incident ouvre la possibilité à des acteurs malveillants d’arracher les mots de passe principaux aux clients eux-mêmes par le biais de divers stratagèmes cybercriminels.
Les pirates peuvent tenter des attaques par force brute pour voler les mots de passe principaux
LastPass a averti les clients que les pirates pourraient tenter des attaques par force brute afin de voler leurs mots de passe principaux. Les acteurs ont volé les données du coffre-fort client dans un conteneur de stockage chiffré, qui stockait les données dans un format binaire propriétaire.
Les données comprennent des données sensibles non cryptées et entièrement cryptées, notamment des noms d’utilisateur et des mots de passe de sites Web, des notes sécurisées et des informations remplies par formulaire. Les données non chiffrées incluent les URL des sites Web, qui renvoient aux sites Web sur lesquels les utilisateurs utilisent le gestionnaire de mots de passe.
Cependant, LastPass a déclaré qu’il ne serait pas facile pour un acteur malveillant d’obtenir les mots de passe principaux des clients par force brute.
« En raison des méthodes de hachage et de cryptage que nous utilisons pour protéger nos clients, il serait extrêmement difficile d’essayer de forcer brutalement à deviner les mots de passe principaux pour les clients qui suivent notre mot de passe meilleures pratiques« , a déclaré le PDG de LastPass, Karim Toubba, dans un communiqué.
« Nous testons régulièrement les dernières technologies de craquage de mots de passe par rapport à nos algorithmes pour suivre le rythme et améliorer nos contrôles cryptographiques », a ajouté Touba.
LastPass exhorte les clients à se méfier des attaques de phishing
Outre la force brute, LastPass a déclaré que les cybercriminels pourraient cibler ses clients avec des attaques de phishing, de credential-stuffing et d’ingénierie sociale. Ils peuvent également tenter des attaques par force brute contre d’autres comptes en ligne que les clients peuvent utiliser.
« Afin de vous protéger contre l’l’ingénierie sociale ou hameçonnage, il est important de savoir que LastPass ne vous appellera, n’enverra jamais d’e-mail ou de SMS pour vous demander vous de cliquer sur un lien pour vérifier vos informations personnelles », a ajouté Toubba. « Sauf lorsque vous vous connectez à votre coffre-fort à partir d’un client LastPass, LastPass ne vous demandera jamais votre mot de passe principal. »
L’auteur de la menace aurait utilisé les informations d’une violation de données en août pour cibler l’employé de LastPass. À l’époque, LastPass a déclaré que la violation n’avait entraîné le vol d’aucune information client. Cependant, l’auteur de la menace a combiné les informations des deux failles pour exécuter cette cyberattaque inquiétante.
LastPass recommande à ses utilisateurs professionnels de mettre en œuvre ses services de connexion fédérée. Il a averti les clients commerciaux vulnérables, soit environ 3 % de ses utilisateurs, de prendre certaines mesures pour se protéger. Nous vous recommandons de lire la déclaration complète pour en savoir plus sur l’incident et les éventuelles interventions de sécurité, ainsi que sur la technologie de cryptage de la plateforme.
Cet épisode rappelle que chacun doit maintenir une cyberhygiène de haut niveau pour protéger ses appareils et ses informations privées. Vous pouvez consulter certaines de nos ressources pour vous aider à créer des mots de passe sécurisés et consulter notre aperçu des gestionnaires de mots de passe les plus sécurisés du marché, une liste que LastPass n’a pas faite.
Toute l’actualité en temps réel, est sur L’Entrepreneur
