Sécurité

Des experts en sécurité appellent LastPass pour divulgation trompeuse de violation de données – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

(Crédit : LastPass)
LastPass a passé la seconde moitié de 2022 sur la défensive suite à une paire de violations de données majeures. Il a affirmé que les utilisateurs ne sont pas à risque, le sous-texte étant que nous ne devrions pas être contrariés par LastPass. Certains experts en sécurité s’expriment à la suite des déclarations les plus récentes de l’entreprise, soulignant que le langage apaisant et les assurances sonnent creux lorsque vous regardez comment LastPass sécurise ses données. Selon qui vous croyez, il est peut-être temps de changer certains mots de passe.

Les choses ont commencé à aller au sud pour LastPass en août 2022 lorsqu’il a annoncé que des attaquants avaient accédé à ses serveurs et se sont enfuis avec des données techniques mais pas de fichiers utilisateur. Il a ensuite signalé une deuxième violation début décembre qui a exploité les informations précédemment volées pour exfiltrer les données des utilisateurs. Il les a présentés comme des incidents distincts, mais le chercheur en sécurité Wladimir Palant de la renommée d’AdBlock Pro ne tire aucun coup de poing son analyse. Il dit que parler de ces violations comme des attaques distinctes rend LastPass moins coupable alors qu’en réalité, il s’agit d’une attaque d’un mois que LastPass ne contenait pas.

LastPass a confirmé le 22 décembre que les attaquants avaient réussi à copier les coffres-forts de mots de passe qui contiennent toutes les informations sensibles comme les mots de passe et les notes sécurisées. Le plat à emporter si vous ne lisez que LastPass’ article de blog est que vos données sont toujours sécurisées grâce à l’architecture « Zero Knowlege » de l’entreprise. Les mots de passe sont cryptés avec le mot de passe principal, et puisque LastPass ne connaît pas votre mot de passe principal, les pirates ne peuvent pas le voler. Malheureusement, la situation n’est pas aussi simple que cela.

Des professionnels de la sécurité comme SwiftOnSecurity, John Scott-Railtonet Jérémi Gosney rappellent à tous comment un pirate informatique déterminé peut encore accéder à vos comptes. D’une part, LastPass ne crypte pas l’intégralité du fichier. Il crypte uniquement les mots de passe, laissant les URL et les adresses IP exposées. Les attaquants pourraient utiliser ces informations pour lancer des campagnes de phishing afin d’inciter les gens à donner leurs mots de passe. Malgré tous ses défauts, LastPass est facile à utiliser. Ainsi, beaucoup de gens l’ont peut-être utilisé non seulement pour des comptes personnels, mais également pour des comptes d’entreprise. Cela pourrait signifier beaucoup de maux de tête pour les professionnels de l’informatique dans les mois à venir.

Les fichiers pourraient également être simplement craqués avec suffisamment de temps. Nous savons que le dernier matériel GPU a établi de nouveaux records pour le craquage de mot de passe, et vous n’aurez peut-être même pas besoin d’un RTX 4090 pour faire le travail ; LastPass a des exigences laxistes pour les mots de passe principaux, qui n’ont été augmentés qu’à un minimum de 12 caractères en 2018. Toute personne possédant un compte plus ancien peut toujours utiliser un mot de passe plus court et moins sécurisé. Le concurrent de LastPass, 1Password, a pris la décision inhabituelle de appeler son rival dans un article de blog, qualifiant l’affirmation du premier selon laquelle il faudrait des millions d’années pour casser les coffres volés de « très trompeuse ». Palant dit dans son analyse que certains mots de passe maîtres que les gens considèrent comme sûrs prendraient moins d’une demi-heure à craquer avec un GPU moderne.

Avec ce que nous savons maintenant, il semble inévitable qu’au moins certains des coffres-forts les moins sécurisés soient piratés, et personne ne peut rien y faire maintenant. Si vous avez des mots de passe stockés dans LastPass, vous devez les considérer comme compromis. Mettre à jour vos identifiants les plus importants serait intelligent. Vous devez également activer l’authentification à deux facteurs dans la mesure du possible. Que vous mettiez ou non les nouveaux mots de passe dans LastPass dépend de vous (mais je ne le ferais pas).

Maintenant lis:

Bouton retour en haut de la page