Pourquoi l’incident de Lastpass est plus grave qu’annoncé initialement

En août dernier, le gestionnaire de mots de passe LastPass avait annoncé avoir subi une intrusion dans son réseau. Son communiqué de presse mentionnait alors:

Une partie non autorisée a eu accès à certaines parties de l’environnement de développement de LastPass par le biais d’un seul compte de développeur compromis.

LastPass

A ce moment, LastPass indiquait n’avoir aucune évidence que cet incident ait impliqué un accès aux données des clients ou à des coffres de mots de passe cryptés.

Malheureusement, les dernières nouvelles de LastPass ont montré que les criminels avaient utilisé les informations obtenues lors de l’incident d’août 2022 pour accéder à nettement plus d’informations qu’initialement annoncé.

L’acteur de la menace a copié des informations à partir de la sauvegarde qui contenait des informations de base sur les comptes des clients et des métadonnées connexes, notamment les noms des entreprises, les noms des utilisateurs finaux, les adresses de facturation, les adresses électroniques, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass.

LastPass

Bref, même si les données essentielles des mots de passe sont chiffrées, beaucoup d’autres données sensibles, comme les références des sites web, sont néanmoins déjà perdues à jamais dans la nature.

Si la probabilité de casser un mot de passe maître par une attaque par force brute semble réduite, la mesure minimale de précaution serait néanmoins de le changer … ainsi que les mots de passe du coffre-fort, histoire de laisser le moins de chance possible à ces acteurs malveillants.

Cet incident ne doit pas remettre en question l’utilité des coffres de mots de passe et ne pas négliger l’importance d’activer l’authentification forte sur les sites la proposant.

Notice of Recent Security Incident – The LastPass Blog

To Our LastPass Community,   We recently notified you that an unauthorized party gained access to a third-party cloud-based storage service, which LastPass uses to store archived backups of our production data. In keeping with our commitment to transparency, we want to provide you with an update regarding our ongoing investigation.

LastPass finally admits: Those crooks who got in? They did steal your password vaults, after all…

Popular password management company LastPass has been under the pump this year, following a network intrusion back in August 2022. Details of how the attackers first got in are still scarce, with LastPass’s first official comment cautiously stating that: [A]n unauthorized party gained access to portions of the LastPass development environment through a single compromised developer account.

LastPass piraté, les données clients affectées – Le Monde Informatique

Début décembre, le spécialiste en gestion des mots de passe a essuyé un incident de sécurité lié au premier où des données clients et confirme que les données de ses utilisateurs ont été touchées. Une situation qui intervient quelques mois après une précédente violation de données.

LastPass revealed that encrypted password vaults were stolen

In August password management software firm LastPass disclosed a security breach, threat actors had access to portions of the company development environment through a single compromised developer account and stole portions of source code and some proprietary technical information. In response to the incident, the company deployed containment and mitigation measures and implemented additional enhanced security measures.

Inutile de dire que certains proposent également d’abandonner ce service comme ci-après

Yes, It’s Time to Ditch LastPass

You’ve heard it again and again: You need to use a password manager to generate strong, unique passwords and keep track of them for you. And if you finally took the plunge with a free and mainstream option, particularly during the 2010s, it was probably LastPass.

un petit clic pour ma veille
un super clic pour la maintenance du blog

Veilleur et spécialiste en cybersécurité

S'incrire à la newsletter

Inscrivez-vous et recevez la synthèse des nouveaux articles directement dans votre boîte aux lettres.

Merci pour votre inscription !

Un erreur s'est produite. Merci d'essayer à nouveau ou utiliser le formulaire disponible dans la barre latérale du site.

Send this to a friend