Surfons Tranquille : LastPass, application de gestion de mots de passe, victime d’un piratage informatique
Mémoriser ses mots de passe n’est pas toujours chose aisée. Plusieurs outils sont développés afin de faciliter la gestion de ces clés d’accès. S’ils sont en général bien parés contre les piratages informatiques, ils ne sont parfois pas parfaitement infaillibles.
C’est ce qu’a appris à ses dépens la société commercialisant l’application LastPass, victime de deux attaques l’an dernier.
En menant leurs attaques contre la société éditrice de LastPass, les pirates sont parvenus à se glisser dans l’ordinateur de l’un des membres du personnel en charge du développement de cet outil. « Après avoir installé un logiciel espion, ils ont pu récupérer les données d’identification de cet employé », développe Olivier Bogaert, commissaire à la Computer Crime Unit. « Ils ont ensuite pu accéder à un espace de travail stocké dans le Cloud et y voler les clés de chiffrement des sauvegardes des utilisateurs de LastPass. »
Une faille dans un logiciel multimédia
Il a été établi que les pirates ont profité d’une faille présente depuis 2020 dans le logiciel multimédia Plex, utilisé par les développeurs de LastPass. Cette lacune leur a permis d’installer un keylogger sur l’ordinateur de leur cible et de récupérer son activité sur son clavier, et donc, certains identifiants et mots de passe.
« Suite à sa découverte il y a trois ans, la société, qui gère ce logiciel, avait invité ses utilisateurs à rapidement installer la mise à jour de son outil », relaye le commissaire. « Malheureusement, l’employé de LastPass ne l’avait jamais effectuée. »
Réaction de LastPass
LastPass a pris toute une série de mesures afin d’éviter de nouvelles intrusions. Elle a commencé par supprimer les identifiants volés et modifier les mot de passe qui y étaient associés. Elle a par ailleurs aidé son employé, par l’intermédiaire de qui l’attaque informatique a été perpétrée, en renforçant la sécurité de son réseau à domicile et en sécurisant ses données personnelles. Enfin, LastPass conseille vivement à tous ses utilisateurs de changer le mot de passe donnant accès au coffre, ainsi que tous ceux qui y sont stockés.
Plus d'informations
- Plan national de sécurité 2022-2025 - Le sujet de cet article s’inscrit dans la lutte contre le phénomène Piratage, sabotage informatique, fraude informatique et escroquerie sur Internet
