Un pirate de LastPass a obtenu des informations sur ses clients et ses données de coffre-fort cryptées

Les utilisateurs professionnels et personnels de la solution de gestion des mots de passe LastPass sont avisés de prendre des mesures défensives après que l’entreprise eut reconnu que des informations client et des données cryptées qu’elles avaient stockées dans le coffre-fort numérique du service ont été copiées par un pirate informatique lors d’une attaque de la chaîne d’approvisionnement.

« Les utilisateurs doivent se méfier des attaques de hameçonnage sophistiquées visant à voler leur mot de passe principal », a déclaré Mike Walters, vice-président de la recherche sur les vulnérabilités et les menaces chez Action1, un fournisseur de solutions de gestion des correctifs. « Un attaquant peut se faire passer pour LastPass, les autorités réglementaires et d’autres organisations et inciter les utilisateurs à partager leurs informations d’identification. N’oubliez pas que le hameçonnage moderne peut aller au-delà des courriels habituels et combiner différents canaux de communication, tels que les appels téléphoniques, les SMS, les messageries privées et autres.

« Je recommande à tous les utilisateurs de changer leur mot de passe principal et d’appliquer les meilleures pratiques en matière de sécurité des mots de passe. Cela comprend la création d’un mot de passe principal fort d’au moins 30 caractères, le rechiffrement du coffre-fort de mots de passe et l’activation de l’authentification multifacteur (MFA). »

Son conseil survient après que le PDG de LastPass, Karim Toubba, eut reconnu que la violation de données d’août dernier était pire que ce qu’il avait décrit plus tôt ce mois-ci. Un pirate a accédé à un service de stockage tiers basé sur le nuage que LastPass utilise pour stocker des sauvegardes archivées de ses données de production à l’aide des informations obtenues lors d’une attaque en août.

Après une enquête plus approfondie, l’entreprise s’est rendu compte qu’une fois la clé d’accès au stockage infonuagique et les doubles clés de déchiffrement du conteneur de stockage obtenues, le cybercriminel copiait des informations à partir de sauvegardes contenant des informations de base sur le compte client et les métadonnées associées, notamment les noms de l’entreprise, les noms des utilisateurs finaux, la facturation. les adresses et adresses de courriel, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass.

En outre, le pirate a également copié une sauvegarde cryptée des données du coffre-fort client à partir du conteneur de stockage crypté. « Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur en utilisant notre architecture Zero Knowledge », a déclaré Karim Toubba dans un article de blog. « Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local d’un utilisateur. »

« En raison des méthodes de hachage et de cryptage que nous utilisons pour protéger nos clients, il serait extrêmement difficile d’essayer de forcer brutalement les mots de passe maîtres pour les clients qui suivent nos meilleures pratiques en matière de mot de passe », a-t-il affirmé.

« Cet incident montre qu’un attaquant expérimenté peut exploiter les vulnérabilités de sécurité d’une entreprise et voler des données clients sensibles même s’il n’a initialement eu accès qu’à une certaine partie de l’infrastructure de l’entreprise qui n’est pas directement liée à ces données sensibles », a-t-il déclaré.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

L’appât des cartes-cadeaux bien présent lors d’un test de hameçonnage

Un nombre important d'employés sont toujours victimes d'escroqueries par hameçonnage, selon les résultats d'un test mondial réalisé par une entreprise québécoise.

Un pirate défigure le site Web d’une entreprise fournissant des applications à la police et pourrait avoir volé des données

Un groupe affirme avoir reçu des données volées, prétendument d'une entreprise américaine qui fournit une application de reconnaissance faciale à la police dont le site Web a été défiguré durant le week-end.

Des pirates informatiques ont compromis le site Web de la LCBO et volé des données de clients

Des cybercriminels ont compromis le site Web de la LCBO, l’équivalent ontarien de la SAQ, et volé les informations personnelles de clients qui ont acheté des produits en ligne, a reconnu le détaillant.

Les cybercriminels profiteront de ChatGPT, selon un expert

Microsoft, les développeurs de logiciels, les forces de l'ordre, les banques, les étudiants qui rédigent des dissertations et presque tout le monde pense pouvoir tirer parti de ChatGPT. Il en va de même pour les cybercriminels.

Du code source d’Okta volé sur GitHub

Du code source du fournisseur de gestion des identités et des accès Okta auraient été volés dans ses référentiels privés GitHub, selon le service d'information Bleeping Computer.