Le gestionnaire de mots de passe assiégé LastPass a annoncé une autre grave erreur de sécurité et, cette fois, cela pourrait être la goutte d’eau pour certains utilisateurs.
Depuis des mois, la société fournit périodiquement des mises à jour sur un méchant violation de données survenu en août dernier. À l’époque, LastPass a révélé qu’un cybercriminel avait réussi à se faufiler dans l’environnement de développement de l’entreprise et à voler du code source, mais revendiqué il n’y avait « aucune preuve » que des données d’utilisateurs aient été compromises en conséquence. Puis, en décembre, l’entreprise a fait une mise à jourrévélant que, eh bien, en fait, oui, certaines informations de l’utilisateur avait été compromis, mais n’a pas pu partager ce qui, exactement, avait été touché. Plusieurs semaines plus tard, il a fait révéler ce qui avait été impacté : les données du coffre-fort des utilisateurs, qui, dans des circonstances extrêmes, pouvaient entraîner des compromissions totales du compte. Et maintenant, enfin, LastPass a encore fourni plus détails, révélant que les retombées de la brèche étaient encore pires qu’on ne l’imaginait auparavant. C’est probablement suffisant pour faire courir certains utilisateurs en criant vers les collines.
Selon un communiqué de presse Publié lundi, la première violation de données d’août a permis au cybercriminel en question de pirater l’ordinateur personnel de l’un des employés les plus privilégiés de LastPass – un ingénieur DevOps senior et l’un des quatre employés ayant accès aux clés de déchiffrement qui pourraient déverrouiller le cloud partagé de la plateforme environnement. Le pirate a ensuite équipé l’ordinateur de l’ingénieur d’un enregistreur de frappe, ce qui lui a permis de voler son mot de passe principal LastPass. À l’aide du PW, le cybercriminel a réussi à pénétrer dans le coffre-fort de mots de passe de l’ingénieur et, en dérobé les clés de déchiffrement nécessaires du compte de l’ingénieur, a pénétré dans l’environnement cloud partagé de LastPass, où il a volé toute une série de données importantes.
La société admet que le pirate « a exporté les entrées natives du coffre-fort de l’entreprise et le contenu des dossiers partagés, qui contenaient des notes sécurisées chiffrées avec les clés d’accès et de déchiffrement nécessaires pour accéder aux sauvegardes de production AWS S3 LastPass, à d’autres ressources de stockage basées sur le cloud et à certains éléments critiques connexes. sauvegardes de la base de données.
En bref : aïe, aïe, aïe.
Qu’il suffise de dire que cela ne rendra pas la plupart des clients de la plateforme très heureux. La mesure dans laquelle le cybercriminel a pu pénétrer les défenses de l’entreprise est certainement déconcertante. En fait, le journaliste de sécurité Joseph Cox de Motherboard est recommander que les internautes évitent complètement LastPass. Dans son article sur les révélations les plus récentes, Cox s’en prend au gestionnaire de mots de passe pour ses failles de sécurité, ses tactiques de relations publiques douteuses et son manque de transparence :
LastPass, le populaire gestionnaire de mots de passe, est par bonne volonté. Depuis que l’entreprise a révélé une brèche pour la première fois en août, elle a lentement fourni aux consommateurs des gouttes d’informations, et les nouveaux détails qui sortent brossent de plus en plus l’image d’une entreprise à laquelle il ne faut pas faire confiance pour vos mots de passe.
Cox termine son article en notant qu' »il est temps de trouver un autre gestionnaire de mots de passe ». Pour plus de quelques utilisateurs, ils sont sans aucun doute sur la même page.
Vous pouvez lire l’article original (en Angais) sur le sitegizmodo.com