La société mère du service de gestion de mots de passe, LastPass, qui a révélé fin 2022 que les coffres-forts de mots de passe de l'ensemble de son clientèle était désormais entre les mains de criminels, a annoncé que les clés de cryptage de certains de ses autres produits avaient été compromis aussi.
Qu'est-ce que cela signifie pour ses utilisateurs ?
Quelle était la violation de données LastPass 2022 ?
LastPass et ses clients n'ont pas connu la meilleure année en 2022. En août, la société a annoncé de manière discrète article de blog que les criminels avaient accédé à l'environnement de développement LastPass, au code source et aux informations techniques. Le langage était rassurant et faisait référence à "une activité inhabituelle" et à l'incident comme "un développement". Une section FAQ a rassuré les clients sur la sécurité de leurs coffres-forts, mots de passe et mots de passe principaux, tout en déclarant: "nous ne recommandons aucune action de la part de nos utilisateurs ou administrateurs".
Un mois plus tard, après une enquête en partenariat avec Mandiant, le billet de blog original a été mis à jour, pour rassurer davantage les utilisateurs de LastPass sur le fait qu'il était, "aucune preuve que cet incident impliquait un accès aux données client ou à des coffres-forts de mots de passe cryptés", et en outre, les utilisateurs étaient patronnés avec le reconnaissance que "les incidents de sécurité de toute sorte sont troublants mais [nous] voulons vous assurer que vos données personnelles et vos mots de passe sont en sécurité dans notre se soucier."
Cependant, fin novembre 2022, le blog a été à nouveau mis à jour, dans un aveu que les intrus avaient réussi à s'approprier, "certains éléments d'informations de nos clients".
Enfin, dans une mise à jour de décembre 2022, LastPass a reconnu au fait que des criminels avaient réussi à exfiltrer les coffres-forts de données personnelles de millions de clients, contenant des URL et des noms de sites Web non cryptés, ainsi que noms d'utilisateur et mots de passe cryptés, ainsi que des données de sauvegarde, y compris les noms, adresses et numéros de téléphone des clients, adresses e-mail, adresses IP et carte de crédit partielle Nombres.
Encore une fois, LastPass a cherché à contenir les dommages à la réputation, déclarant qu'"il faudrait des millions d'années pour deviner votre mot de passe principal en utilisant la technologie de craquage de mot de passe généralement disponible".
Pire à venir pour les utilisateurs de LastPass ?
LastPass est un société indépendante, détenue par GoTo (un fournisseur SaaS, anciennement connu sous le nom de LogMeIn), et tandis que la violation de LastPass a recueilli le plus attention, la pénétration initiale était d'un service de stockage en nuage tiers, qui est utilisé à la fois par GoTo et Dernier passage. Comme LastPass a été compromis, GoTo l'était aussi. Les pirates ont réussi à exfiltrer les sauvegardes cryptées des deux sociétés.
Le 23 janvier 2023, GoTo a publié une déclaration sur son blog indiquant qu'il a "la preuve qu'un acteur de la menace a exfiltré une clé de chiffrement pour une partie des sauvegardes chiffrées", et en outre que Paramètres d'authentification multifacteur (MFA) d'un petit sous-ensemble de leurs clients ont été touchés.
Cela signifie que les criminels peuvent facilement décrypter leurs biens volés sans avoir à attendre des millions d'années pour le faire.
Il n'est pas certain que les clés de chiffrement du coffre-fort LastPass aient également été exfiltrées.
Rapports de coffres LastPass compromis
Presque aussitôt que la mise à jour de décembre a été publiée, MUO a été contacté par des lecteurs affirmant que les mots de passe uniques stockés uniquement dans les coffres-forts LastPass étaient utilisés par des criminels pour accéder à des comptes en ligne, entraînant un échange de carte SIM attaques.
Sur Twitter, les utilisateurs ont signalé que les portefeuilles cryptographiques étaient attaqués et vidés de leur contenu - ces graines auraient été stockées uniquement dans les coffres LastPass.
Pour l'instant, LastPass n'a pas abordé ces rumeurs, ni les révélations de sa maison mère.
GoTo a au moins commencé à contacter les utilisateurs concernés et tous les mots de passe ont été automatiquement réinitialisés.
Changez vos mots de passe pour tout
Des services de gestion de mots de passe existent pour garder vos mots de passe sûrs et indevinables. Si les criminels ont les clés de ce coffre-fort, alors vos mots de passe peuvent être utilisés par n'importe qui.
La première chose à faire est de changer vos mots de passe pour chaque service auquel vous avez accédé en ligne. Dans la mesure du possible, vous devez également utiliser un nom d'utilisateur et une adresse e-mail uniques.
Ce n'est jamais une bonne idée de confier vos secrets les plus profonds à quelqu'un d'autre pour qu'il les protège. BitWarden est un gestionnaire de mots de passe que vous pouvez héberger sur votre propre matériel et qui générera des noms d'utilisateur, des alias de messagerie et des mots de passe pour chaque site que vous visitez. Comme vous l'exécutez sur votre propre machine, vous n'avez pas à laisser vos mots de passe aux soins douteux d'une autre entreprise.
