LastPass : code source dérobé
-
Lastpass est un coffre-fort à mots de passe: https://www.lastpass.com/fr/pricing/lastpass-premium-vs-families
LastPass a récemment annoncé avoir détecté « une activité inhabituelle dans certaines parties de l’environnement de développement LastPass » sur son blog. Un compte développeur aurait été compromis et des morceaux du code source et des informations techniques de LastPass auraient été subtilisés.
Ci-dessous, les commentaires de Jérôme Warot, Vice-président Technical Account Management, South EMEA chez Tanium sur ce que nous enseigne cette compromission, en particulier en matière de gestion des mots de passe :
« La discussion autour de l’authentification « sans mot de passe » (Passwordless) gagne en popularité, en particulier avec les grands acteurs comme Microsoft et Google qui la rendent relativement facile à adopter. Si vous êtes un client actuel de LastPass, continuez à surveiller leur site Web et les communications officielles pour obtenir de nouvelles directives. Actuellement, LastPass n’a rien identifié qui nécessiterait des actions spécifiques de la part des utilisateurs finaux. L’entreprise déploie des efforts d’atténuation, de réponse aux incidents et d’investigation en interne.
Actuellement, il n’y a pas de violation connue des données sensibles des clients et des mots de passe. Cependant, cette violation offre l’opportunité d’évaluer votre position de sécurité si la portée de la violation s’étend, ou si d’autres violations se produisent à l’avenir – ceci est vrai indépendamment du fait que vous utilisiez LastPass ou non.
Cela peut signifier une rotation proactive des mots de passe, le passage temporaire à un autre gestionnaire de mots de passe ou un autre service de gestion des mots de passe. Utilisez l’authentification multifactorielle non seulement pour vos comptes bancaires et vos médias sociaux, mais surtout pour votre compte LastPass ou toute autre solution de gestion de mots de passe. De nombreux fournisseurs, dont LastPass, proposent et migrent vers des connexions passwordless (« sans mot de passe ») qui utilisent des technologies de sécurité plus avancées telles que les clés de sécurité FIDO2. Cela réduit les frictions pour les utilisateurs finaux et augmente la sécurité globale du compte. Personnellement, j’utilise YubiKeys.
De nombreux services, dont Microsoft et le programme de protection avancée de Google, proposent déjà cette fonctionnalité depuis plusieurs années pour vous permettre d’accéder plus rapidement et de manière plus sécurisée à vos comptes – tant personnels que professionnels. Vous ne pouvez pas nécessairement prévoir les prochaines compromissions ou les futures failles zero day, mais vous pouvez prendre des mesures aujourd’hui pour ajouter ces contrôles de sécurité supplémentaires et vérifier l’accès à votre compte afin de minimiser le niveau d’impact si/quand cela se produira. Les gestionnaires de mots de passe sont une cible difficile mais attrayante pour les cybercriminels, car ils ouvrent – littéralement – un trésor d’accès à des centaines de milliers de comptes et de données clients sensibles en un instant s’ils sont piratés.
Je pense qu’un autre élément important à retenir est que les avantages associés à l’utilisation d’une solution de gestion des mots de passe sécurisée dépassent souvent, et de loin, les risques d’une potentielle compromission et de ce à quoi elle pourrait donner accès. Associée aux autres recommandations en matière de sécurité, cette solution reste l’une des meilleures pour prévenir le vol de données d’identités et les attaques associées. »
Source: https://www.undernews.fr/alertes-securite/lastpass-code-source-derobe.html
Confier ses mots de passe à un autre, c’est juste augmenter le risque de piratage, même si c’est très confortable, vous offrez des dizaines, voire des centaines de mots de passe aux pirates en une seule fois.
Ces sites ou applis sont de fait des cibles privilégiées pour les pirates. -
@duJambon
Y a pas de solution miracle…
Les écrire sur un bout de papier : on peut le perdre.
Les garder dans son ordi : si on hacke l’ordi, si on le vole, s’il tombe en panne, etc…, on peut les voler ou les perdre.
Si on les confie à un site comme LastPass : il peut se faire hacker.
Etc…
Perso, je les ai confiés à BitWarden et j’ai fait une copie sur un DDE.
Je ne voit pas ce qu’on peut faire de plus.
Bonne journée à toi… -
La meilleure solution pour les mots de passe/passphrases, c’est bien un gestionnaire de mot de passe. La mémoire fera toujours défaut.
Le mieux étant d’avoir la base en local en hébergeant son propre Bitwarden ou en utilisant des outils comme KeepassXC avec sauvegarde de la base.
Pour moi, c’est la méthode la plus valable, la plus safe et la plus pratique à ce jour.
Là on parle de fuite du code source qui en soit ne touchera pas forcément aux coffres de l’utilisateur même si ça reste sérieux pour l’entreprise.
@BahBwah a dit dans LastPass : code source dérobé :
Si on les confie à un site comme LastPass : il peut se faire hacker.
Oui en effet, mais ils ne peuvent pas faire grand chose dessus mis à part du bruteforce sur les coffres vu que les clés ou password sont bien sur hashés.
Le seul hic est d’avoir un mot de passe tout pourris, là c’est la merde mais je dirais tant pis pour ce genre d’utilisateur.
-
En bon Suisse, j’utilise un rolodex dans un coffre…
-
@duJambon
Les bonnes vieilles méthodes, y a que ça de vrai…
-
Sinon avoir un QI de 180 et se souvenir de tout, mais bon ça reste rare
°°° Si la manière forte ne fonctionne pas, c'est que tu n’as pas frappé assez fort °°°
-
tudikoi Ciné-Séries Club Rebelle Windowsien Torrent user DDL PW Addicta répondu à Ashura le dernière édition par
@Ashura a dit dans LastPass : code source dérobé :
Sinon avoir un QI de 180 et se souvenir de tout, mais bon ça reste rare
Ou avoir tout simplement du Q
-
@duJambon a dit dans LastPass : code source dérobé :
En bon Suisse, j’utilise un rolodex
J’ai l’air malin maintenant avec mon bloc notes répertoire!
-
Orphancia PW Addict Seeder Geek Windowsien Torrent user DDL Anime Lovers I.T Guya répondu à Ashura le dernière édition par
@Ashura a dit dans LastPass : code source dérobé :
Sinon avoir un QI de 180 et se souvenir de tout, mais bon ça reste rare
Ben, Monk le fait bien, lui !
Alors pourquoi pas nous ?
Plus sérieusement, rien de mieux qu’un gestionnaire de mots de passe en local avec sauvegardes à l’appui pour protéger ses accès
