{"id":524457,"date":"2022-12-23T02:36:23","date_gmt":"2022-12-23T04:36:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lastpass-admet-une-grave-violation-de-donnees-et-des-coffres-forts-de-mots-de-passe-cryptes-compromis\/"},"modified":"2022-12-23T02:36:25","modified_gmt":"2022-12-23T04:36:25","slug":"lastpass-admet-une-grave-violation-de-donnees-et-des-coffres-forts-de-mots-de-passe-cryptes-compromis","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lastpass-admet-une-grave-violation-de-donnees-et-des-coffres-forts-de-mots-de-passe-cryptes-compromis\/","title":{"rendered":"LastPass admet une grave violation de donn\u00e9es et des coffres-forts de mots de passe crypt\u00e9s compromis"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Gestion des mots de passe \/ Violation des donn\u00e9es<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>La faille de s\u00e9curit\u00e9 de LastPass d&#8217;ao\u00fbt 2022 a peut-\u00eatre \u00e9t\u00e9 plus grave que ce que l&#8217;entreprise avait pr\u00e9c\u00e9demment divulgu\u00e9.<\/p>\n<p>Le service populaire de gestion des mots de passe a r\u00e9v\u00e9l\u00e9 jeudi que des acteurs malveillants avaient obtenu une mine d&#8217;informations personnelles appartenant \u00e0 ses clients, notamment leurs coffres-forts de mots de passe crypt\u00e9s \u00e0 l&#8217;aide de donn\u00e9es siphonn\u00e9es lors de l&#8217;effraction.<\/p>\n<p>Sont \u00e9galement vol\u00e9s &#8220;les informations de base sur le compte client et les m\u00e9tadonn\u00e9es associ\u00e9es, y compris les noms de soci\u00e9t\u00e9, les noms d&#8217;utilisateur final, les adresses de facturation, les adresses e-mail, les num\u00e9ros de t\u00e9l\u00e9phone et les adresses IP \u00e0 partir desquelles les clients acc\u00e9daient au service LastPass&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.lastpass.com\/2022\/12\/notice-of-recent-security-incident\/\" target=\"_blank\">m&#8217;a dit<\/a>.<\/p>\n<p>L&#8217;incident d&#8217;ao\u00fbt 2022, qui fait toujours l&#8217;objet d&#8217;une enqu\u00eate en cours, impliquait que les malfaiteurs acc\u00e9daient au code source et aux informations techniques exclusives de son environnement de d\u00e9veloppement via un seul compte d&#8217;employ\u00e9 compromis.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671770183_323_LastPass-admet-une-grave-violation-de-donnees-et-des-coffres-forts.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>LastPass a d\u00e9clar\u00e9 que cela permettait \u00e0 l&#8217;attaquant non identifi\u00e9 d&#8217;obtenir des informations d&#8217;identification et des cl\u00e9s qui ont ensuite \u00e9t\u00e9 exploit\u00e9es pour extraire des informations d&#8217;une sauvegarde stock\u00e9e dans un service de stockage bas\u00e9 sur le cloud, qui, a-t-il soulign\u00e9, est physiquement s\u00e9par\u00e9 de son environnement de production.<\/p>\n<p>En plus de cela, l&#8217;adversaire aurait copi\u00e9 les donn\u00e9es du coffre-fort client \u00e0 partir du service de stockage crypt\u00e9.  Il est stock\u00e9 dans un &#8220;format binaire propri\u00e9taire&#8221; qui contient \u00e0 la fois des donn\u00e9es non crypt\u00e9es, telles que les URL de sites Web, et des champs enti\u00e8rement crypt\u00e9s tels que les noms d&#8217;utilisateur et les mots de passe des sites Web, les notes s\u00e9curis\u00e9es et les donn\u00e9es remplies par formulaire.<\/p>\n<p>Ces champs, a expliqu\u00e9 la soci\u00e9t\u00e9, sont prot\u00e9g\u00e9s \u00e0 l&#8217;aide d&#8217;un cryptage AES 256 bits et ne peuvent \u00eatre d\u00e9cod\u00e9s qu&#8217;avec une cl\u00e9 d\u00e9riv\u00e9e du code de l&#8217;utilisateur. <a rel=\"nofollow noopener\" href=\"https:\/\/support.lastpass.com\/help\/about-password-iterations-lp030027\" target=\"_blank\">mot de passe ma\u00eetre<\/a> sur les appareils des utilisateurs.<\/p>\n<p>LastPass a confirm\u00e9 que la faille de s\u00e9curit\u00e9 n&#8217;impliquait pas l&#8217;acc\u00e8s aux donn\u00e9es de carte de cr\u00e9dit non crypt\u00e9es, car ces informations n&#8217;\u00e9taient pas archiv\u00e9es dans le conteneur de stockage en nuage.<\/p>\n<p>La soci\u00e9t\u00e9 n&#8217;a pas divulgu\u00e9 la date de la sauvegarde, mais a averti que l&#8217;acteur de la menace &#8220;pourrait tenter d&#8217;utiliser la force brute pour deviner votre mot de passe principal et d\u00e9chiffrer les copies des donn\u00e9es du coffre-fort qu&#8217;il a prises&#8221;, ainsi que cibler les clients avec l&#8217;ing\u00e9nierie sociale et attaques de credential stuffing.<\/p>\n<p>Il convient de noter \u00e0 ce stade que le succ\u00e8s des attaques par force brute pour pr\u00e9dire les mots de passe ma\u00eetres est inversement proportionnel \u00e0 leur force, ce qui signifie que plus il est facile de deviner le mot de passe, moins le nombre de tentatives n\u00e9cessaires pour le d\u00e9chiffrer est important.<\/p>\n<p>&#8220;Si vous r\u00e9utilisez votre mot de passe principal et que ce mot de passe a d\u00e9j\u00e0 \u00e9t\u00e9 compromis, un acteur malveillant peut utiliser des vidages d&#8217;informations d&#8217;identification compromises d\u00e9j\u00e0 disponibles sur Internet pour tenter d&#8217;acc\u00e9der \u00e0 votre compte&#8221;, a averti LastPass.<\/p>\n<p>Le fait que les URL des sites Web soient en clair signifie qu&#8217;un d\u00e9chiffrement r\u00e9ussi du mot de passe principal pourrait donner aux attaquants une id\u00e9e des sites Web sur lesquels un utilisateur particulier d\u00e9tient des comptes, leur permettant de monter des attaques de phishing ou de vol d&#8217;informations d&#8217;identification suppl\u00e9mentaires.<\/p>\n<p>La soci\u00e9t\u00e9 a en outre d\u00e9clar\u00e9 qu&#8217;elle avait notifi\u00e9 \u00e0 un petit sous-ensemble de ses clients professionnels \u2013 qui repr\u00e9sente moins de 3 % \u2013 de prendre certaines mesures non sp\u00e9cifi\u00e9es en fonction de la configuration de leurs comptes.<\/p>\n<p>Le d\u00e9veloppement intervient quelques jours apr\u00e8s qu&#8217;Okta a reconnu que les acteurs de la menace avaient obtenu un acc\u00e8s non autoris\u00e9 \u00e0 ses r\u00e9f\u00e9rentiels Workforce Identity Cloud (WIC) h\u00e9berg\u00e9s sur GitHub et copi\u00e9 le code source.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/lastpass-admits-to-severe-data-breach.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 d\u00e9cembre 2022\ue804Ravie LakshmananGestion des mots de passe \/ Violation des donn\u00e9es La faille de s\u00e9curit\u00e9 de LastPass d&#8217;ao\u00fbt 2022 a peut-\u00eatre \u00e9t\u00e9 plus grave que ce que l&#8217;entreprise avait pr\u00e9c\u00e9demment divulgu\u00e9. Le service populaire de gestion des mots de passe a r\u00e9v\u00e9l\u00e9 jeudi que des acteurs malveillants avaient obtenu une mine d&#8217;informations personnelles appartenant [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":524458,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5898,42609,4168,20350,57130,4158,4165,4161,133,1343,11184,4157,4159,4171,4170,103437,4167,4160,5722,4163,4162,769,4172,4169,196,899,4166,4164],"class_list":["post-524457","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-admet","tag-coffresforts","tag-comment-pirater","tag-compromis","tag-cryptes","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-donnees","tag-grave","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lastpass","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-mots","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-passe","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/524457","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=524457"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/524457\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/524458"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=524457"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=524457"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=524457"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}