{"id":544600,"date":"2023-01-05T18:45:27","date_gmt":"2023-01-05T20:45:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/attenuez-la-surface-dattaque-lastpass-dans-votre-environnement-avec-cet-outil-gratuit\/"},"modified":"2023-01-05T18:45:28","modified_gmt":"2023-01-05T20:45:28","slug":"attenuez-la-surface-dattaque-lastpass-dans-votre-environnement-avec-cet-outil-gratuit","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/attenuez-la-surface-dattaque-lastpass-dans-votre-environnement-avec-cet-outil-gratuit\/","title":{"rendered":"Att\u00e9nuez la surface d&#8217;attaque LastPass dans votre environnement avec cet outil gratuit"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Les nouvelles des pirates<\/span><\/span><span class=\"p-tags\">Gestion des mots de passe \/ Violation informatique<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>La derni\u00e8re faille annonc\u00e9e par LastPass est une source majeure d&#8217;inqui\u00e9tude pour les acteurs de la s\u00e9curit\u00e9.  Comme cela arrive souvent, nous sommes dans un vide s\u00e9curitaire &#8211; d&#8217;une part, comme l&#8217;a not\u00e9 LastPass, les utilisateurs qui suivraient les meilleures pratiques de LastPass seraient expos\u00e9s \u00e0 un risque pratiquement nul \u00e0 extr\u00eamement faible.  Cependant, dire que les meilleures pratiques en mati\u00e8re de mots de passe ne sont pas suivies est un euph\u00e9misme.  La r\u00e9alit\u00e9 est qu&#8217;il existe tr\u00e8s peu d&#8217;organisations dans lesquelles ces pratiques sont r\u00e9ellement appliqu\u00e9es.  Cela place les \u00e9quipes de s\u00e9curit\u00e9 dans la pire position, o\u00f9 l&#8217;exposition \u00e0 la compromission est presque certaine, mais il est presque impossible d&#8217;identifier les utilisateurs qui ont cr\u00e9\u00e9 cette exposition. <\/p>\n<p>Pour les aider tout au long de cette p\u00e9riode difficile, la solution de s\u00e9curit\u00e9 des navigateurs LayerX a lanc\u00e9 une offre gratuite de sa plate-forme, permettant aux \u00e9quipes de s\u00e9curit\u00e9 d&#8217;avoir une visibilit\u00e9 sur tous les navigateurs sur lesquels l&#8217;extension LastPass est install\u00e9e et d&#8217;att\u00e9nuer les impacts potentiels de la violation LastPass sur leurs environnements en informer les utilisateurs vuln\u00e9rables et leur demander de mettre en \u0153uvre l&#8217;authentification MFA sur leurs comptes et, si n\u00e9cessaire, de d\u00e9ployer une proc\u00e9dure de r\u00e9initialisation du mot de passe principal d\u00e9di\u00e9e pour \u00e9liminer la capacit\u00e9 des adversaires \u00e0 exploiter un mot de passe principal compromis pour un acc\u00e8s malveillant (<a rel=\"nofollow noopener\" href=\"https:\/\/layerxsecurity.com\/?utm_source=THN#demo\" target=\"_blank\">Pour demander l&#8217;acc\u00e8s \u00e0 l&#8217;outil gratuit, remplissez ce formulaire<\/a>)<\/p>\n<h2>R\u00e9capitulatif de l&#8217;annonce de LastPass\u00a0: de quelles donn\u00e9es disposent les adversaires et quel est le risque\u00a0?<\/h2>\n<p>Par LastPass <a rel=\"nofollow noopener\" href=\"https:\/\/blog.lastpass.com\/2022\/12\/notice-of-recent-security-incident\/\" target=\"_blank\">site Internet<\/a>&#8220;L&#8217;auteur de la menace a \u00e9galement pu copier une sauvegarde des donn\u00e9es du coffre-fort client \u00e0 partir du conteneur de stockage crypt\u00e9 qui est stock\u00e9 dans un format binaire propri\u00e9taire contenant \u00e0 la fois des donn\u00e9es non crypt\u00e9es, telles que des URL de sites Web, ainsi que des champs sensibles enti\u00e8rement crypt\u00e9s tels que noms d&#8217;utilisateur et mots de passe de site Web, notes s\u00e9curis\u00e9es et donn\u00e9es remplies par formulaire.<\/p>\n<p>Le risque d\u00e9riv\u00e9 est que &#8220;l&#8217;acteur de la menace peut tenter d&#8217;utiliser la force brute pour deviner votre mot de passe principal et d\u00e9chiffrer les copies des donn\u00e9es du coffre-fort qu&#8217;il a prises&#8221;.  En raison des m\u00e9thodes de hachage et de cryptage que nous utilisons pour prot\u00e9ger nos clients, il serait extr\u00eamement difficile de tenter de deviner par force brute des mots de passe principaux pour les clients qui suivent nos meilleures pratiques en mati\u00e8re de mot de passe.<\/p>\n<h2>La non-impl\u00e9mentation des meilleures pratiques de mot de passe LastPass expose le mot de passe principal au coffre-fort<\/h2>\n<p>La derni\u00e8re section sur les \u00ab meilleures pratiques \u00bb est la plus alarmante.  Meilleures pratiques de mot de passe\u00a0?  Combien de personnes maintiennent les meilleures pratiques en mati\u00e8re de mot de passe\u00a0?  La r\u00e9ponse r\u00e9aliste \u2013 mais malheureuse \u2013 est : pas beaucoup.  Cela est vrai m\u00eame dans le contexte d&#8217;applications g\u00e9r\u00e9es par l&#8217;entreprise.  En ce qui concerne les applications personnelles, il n&#8217;est pas exag\u00e9r\u00e9 de supposer que la r\u00e9utilisation des mots de passe est la norme plut\u00f4t que la valeur aberrante.  Le risque introduit par la violation de LastPass s&#8217;applique aux deux cas d&#8217;utilisation.  Comprenons pourquoi.<\/p>\n<h2>Le risque r\u00e9el : acc\u00e8s malveillant aux ressources de l&#8217;entreprise <\/h2>\n<p>Divisons les organisations en deux types\u00a0:<\/p>\n<p><strong>Type A:<\/strong> Organisations o\u00f9 LastPass est utilis\u00e9 dans le cadre de la politique de l&#8217;entreprise pour la sauvegarde des mots de passe pour acc\u00e9der aux applications g\u00e9r\u00e9es par l&#8217;entreprise, que ce soit pour tous les utilisateurs ou dans des services sp\u00e9cifiques.  Dans ce cas, le probl\u00e8me est simple : un adversaire qui parvient \u00e0 d\u00e9chiffrer ou \u00e0 obtenir le mot de passe principal LastPass d&#8217;un employ\u00e9 pourrait facilement acc\u00e9der aux ressources sensibles de l&#8217;entreprise.<\/p>\n<p><strong>Type\u00a0B\u00a0:<\/strong> Organisations o\u00f9 LastPass est utilis\u00e9 ind\u00e9pendamment par les employ\u00e9s (que ce soit pour un usage personnel ou professionnel) ou par des groupes sp\u00e9cifiques de l&#8217;organisation, sans connaissances informatiques, pour les applications de leur choix.  Dans ce cas, le probl\u00e8me est qu&#8217;un adversaire qui parvient \u00e0 d\u00e9chiffrer ou \u00e0 obtenir le mot de passe principal LastPass d&#8217;un employ\u00e9 profite de la tendance des utilisateurs \u00e0 r\u00e9utiliser les mots de passe et, apr\u00e8s avoir compromis les mots de passe dans le coffre-fort, en trouve un qui est \u00e9galement utilis\u00e9 pour acc\u00e9der applications d&#8217;entreprise. <\/p>\n<h2>L&#8217;impasse du RSSI : certaines menaces mais des capacit\u00e9s d&#8217;att\u00e9nuation extr\u00eamement faibles <\/h2>\n<p>Qu&#8217;une organisation appartienne au type A ou B, le risque est clair.  Ce qui intensifie le d\u00e9fi pour le RSSI dans cette situation est que s&#8217;il existe une forte probabilit\u00e9 &#8211; pour ne pas dire une certitude &#8211; qu&#8217;il y ait des employ\u00e9s dans son environnement dont les comptes d&#8217;utilisateurs sont susceptibles d&#8217;\u00eatre compromis, le RSSI a une capacit\u00e9 tr\u00e8s limit\u00e9e \u00e0 savoir qui ces employ\u00e9s sont, et encore moins prennent les mesures n\u00e9cessaires pour att\u00e9nuer le risque qu&#8217;ils imposent.<\/p>\n<h2>Offre gratuite LayerX : visibilit\u00e9 \u00e0 100 % sur la surface d&#8217;attaque LastPass ainsi que des mesures de protection proactives<\/h2>\n<p>LayerX a publi\u00e9 un outil gratuit qui aide les \u00e9quipes de s\u00e9curit\u00e9 \u00e0 comprendre l&#8217;exposition de leur organisation \u00e0 la violation LastPass, cartographie tous les utilisateurs et applications vuln\u00e9rables et applique des mesures de s\u00e9curit\u00e9.<\/p>\n<p>L&#8217;outil de LayerX est fourni en tant qu&#8217;extension d&#8217;entreprise au navigateur que vos employ\u00e9s utilisent et offre donc une visibilit\u00e9 imm\u00e9diate sur toutes les extensions de navigateur et les activit\u00e9s de navigation de chaque utilisateur.  Cela permet aux RSSI d&#8217;obtenir les avantages suivants\u00a0:<\/p>\n<ul>\n<li><strong>Cartographie de l&#8217;utilisation de LastPass<\/strong>: Visibilit\u00e9 de bout en bout sur tous les navigateurs sur lesquels l&#8217;extension LastPass est install\u00e9e, qu&#8217;elle fasse partie de la politique de l&#8217;entreprise (type A) ou qu&#8217;elle soit utilis\u00e9e personnellement (type B).  L&#8217;outil mappe toutes les applications et destinations Web dont les informations d&#8217;identification sont stock\u00e9es dans LastPass.  Il convient de noter que les d\u00e9fis de visibilit\u00e9 pour les organisations de type B sont beaucoup plus s\u00e9v\u00e8res que pour le type A et ne peuvent \u00eatre r\u00e9solus par aucune solution \u00e0 l&#8217;exception de l&#8217;outil de LayerX.<\/li>\n<\/ul>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1672951527_800_Attenuez-la-surface-dattaque-LastPass-dans-votre-environnement-avec-cet.png\" alt=\"Surface d'attaque LastPass\" border=\"0\" data-original-height=\"411\" data-original-width=\"728\" title=\"Surface d'attaque LastPass\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Rapport LastPass de LayerX<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1672951527_863_Attenuez-la-surface-dattaque-LastPass-dans-votre-environnement-avec-cet.png\" alt=\"Surface d'attaque LastPass\" border=\"0\" data-original-height=\"371\" data-original-width=\"728\" title=\"Surface d'attaque LastPass\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">La notification LayerX envoy\u00e9e aux utilisateurs vuln\u00e9rables<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<ul>\n<li><strong>Identification des utilisateurs \u00e0 risque\u00a0:<\/strong> En s&#8217;appuyant sur ces connaissances, les \u00e9quipes de s\u00e9curit\u00e9 peuvent informer les utilisateurs vuln\u00e9rables et leur demander de mettre en \u0153uvre l&#8217;authentification MFA sur leurs comptes.  Ils peuvent \u00e9galement d\u00e9ployer une proc\u00e9dure d\u00e9di\u00e9e de r\u00e9initialisation du mot de passe principal pour \u00e9liminer la capacit\u00e9 des adversaires \u00e0 exploiter un mot de passe principal compromis pour un acc\u00e8s malveillant.<\/li>\n<\/ul>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/layerxsecurity.com\/?utm_source=THN#demo\" target=\"_blank\">Pour acc\u00e9der \u00e0 l&#8217;outil gratuit, remplissez ce formulaire<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/mitigate-lastpass-attack-surface-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 janvier 2023\ue804Les nouvelles des piratesGestion des mots de passe \/ Violation informatique La derni\u00e8re faille annonc\u00e9e par LastPass est une source majeure d&#8217;inqui\u00e9tude pour les acteurs de la s\u00e9curit\u00e9. Comme cela arrive souvent, nous sommes dans un vide s\u00e9curitaire &#8211; d&#8217;une part, comme l&#8217;a not\u00e9 LastPass, les utilisateurs qui suivraient les meilleures pratiques de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":544601,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[137098,84,8039,4168,4158,4165,4161,429,14392,23757,4127,4157,4159,4171,4170,103437,4167,4160,4163,4162,5527,4172,4169,4310,4166,877,4164],"class_list":["post-544600","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attenuez","tag-avec","tag-cet","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-dattaque","tag-environnement","tag-gratuit","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lastpass","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-outil","tag-securite-informatique","tag-securite-internet","tag-surface","tag-violation-de-donnees","tag-votre","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/544600","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=544600"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/544600\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/544601"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=544600"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=544600"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=544600"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}