Lastpass : le gestionnaire de mots de passe piraté durant 4 jours

  • Messages : 184
Lastpass : le gestionnaire de mots de passe piraté durant 4 jours mais rien n'aurait fuité... selon le P.-D.G.

Les conclusions de l’enquête sont limpides pour l’entreprise : aucune donnée client n’a été dérobée.
Le 25 août, Karim Toubba, P.-D.G. de LastPass, un gestionnaire de mots de passe, informait le public d’une intrusion dans l’environnement de développement. Il garantissait à l’époque que les cybercriminels n’avaient pas réussi à voler les données utilisateurs. Dans une nouvelle publication, Karim Toubba détaille la conclusion de l’enquête menée avec Mandiant, apportant ainsi davantage de précisions sur cet évènement.

Sauvé par un système Zero Knowledge
Pas de rétropédalage : les données utilisateurs n’ont pas été volées. L’entreprise explique qu’un pirate a effectivement accédé à l’environnement de développement de LastPass après avoir compromis le terminal d’un développeur et obtenu ses codes d’authentification.

Fort heureusement pour les utilisateurs du service, ce gestionnaire de mots de passe utilise, comme de coutume, un système dit Zero Knowledge.

L’environnement de développement ne contient ni donnée client ou ni coffre-fort crypté ; il est physiquement séparé de l’environnement de production et il n’y a pas de lien direct entre eux. Ainsi, LastPass ne dispose pas des mots de passe principaux des coffres-forts de ses clients, et sans ce mot de passe principal, il est en pratique quasiment impossible pour un tiers de décrypter les données du coffre-fort d’un utilisateur.

Reste que le pirate aurait pu profiter de son accès à la plateforme de développement pour injecter du code malveillant. Une analyse complète du code source n’a rien révélé de tel. De fait, l’entreprise explique que la faculté d’injecter du code source depuis l’environnement de développement vers l’environnement de production est limitée aux développeurs composant une petite équipe séparée. Ce processus est ainsi jalonné par de nombreuses phases de test/validation.

Enfin, il n'y a aucune preuve d'une quelconque activité malveillante au-delà de la période établie de quatre jours.


Des contrôles supplémentaires
Karim Toubba rapporte que cet incident a néanmoins conduit son entreprise à conclure un partenariat avec une société de cybersécurité « de premier plan ». Il évoque aussi l’établissement de nouveaux contrôles de sécurité et le renforcement des procédures.

Le P.-D.G. conclut : « Nous sommes conscients que les incidents de sécurité, quels qu'ils soient, sont déstabilisants, mais nous tenons à vous assurer que vos données personnelles et vos mots de passe sont en sécurité chez nous ». Autrement dit, l'incident n'a fait aucune victime…

Source : LastPass

Rémi Bouvet 20/09/2022
Voir l'article original sur Clubic en cliquant sur ce lien

 
27 Sep 2022 10:25 #1
  • Vous pouvez: Créer un nouveau sujet.
  • Vous pouvez: Répondre au sujet.
  • Vous pouvez: Ajouter des images.
  • Vous ne pouvez pas: Ajouter des fichiers.
  • Vous ne pouvez pas: Éditer votre message.
Modérateurs: Modérateur du Forum
© 2022 CAP des Clayes
We use cookies
Ce site utilise des cookies. Certains sont essentiels au fonctionnement et d’autres peuvent être placés par des services externes (captchas) intégrés. Vous pouvez décider d'autoriser ou non les cookies. Si vous les rejetez certaines fonctionnalités seront désactivées comme par exemple les vidéos YouTube et des problèmes d'authentification pourront alors survenir.