19 décembre 2022
Quelle est la problématique?
LastPass, l’outil de gestion des mots de passe en ligne, a récemment annoncé avoir subi une autre violation de données, sa deuxième en trois mois. Selon un communiqué du directeur général de LastPass, Karim Toubba, l’auteur de menace a réussi à accéder à certains renseignements des clients stockés dans un service infonuagique tiers partagé par LastPass et sa société mère, GoTo (qui a fait une annonce similaire).
Lors de la plus récente atteinte à la sécurité, les auteurs de menace ont accédé aux renseignements des clients de façon non autorisée à l’aide d’informations obtenues lors de la première violation, survenue au mois d’août. Les renseignements utilisés pour permettre la dernière brèche et le contenu consulté n’ont pas été identifiés. Au moment de la violation, en août, LastPass a déclaré que le compte d’employé utilisé pour pénétrer dans ses systèmes n’avait pas accès aux renseignements ni aux mots de passe des clients, mais que la brèche avait démontré l’utilisation d’un code source exclusif et d’autres données techniques.
Avec 33 millions d’utilisateurs, principalement dans un contexte professionnel, LastPass est une mine d’or d’identifiants de connexion pour des comptes de messagerie, des systèmes de paie, des flux de rentrées, des données privées, des renseignements personnels sur des employés et des clients, et plus encore. LastPass est un coffre-fort qui contient les identifiants de connexion de ses utilisateurs. Il s’agit donc d’une cible intéressante pour les cybercriminels qui essaient continuellement de contourner les mesures de sécurité.
Qu’est-ce que cela signifie pour vous?
Cet incident vous concerne si vous ou vos employés êtes utilisateurs de LastPass.
Étant donné que des éléments du code source de LastPass ont été compromis, ces informations pourraient être utilisées par les auteurs de menace pour perfectionner des stratégies d’hameçonnage visant les utilisateurs de LastPass ou pour attaquer directement le service infonuagique afin d’obtenir plus de données d’utilisateurs.
Au moment d’écrire ces lignes, LastPass affirme que les mots de passe des utilisateurs demeurent chiffrés et que les membres de l’équipe tentent d’évaluer la portée de l’incident. Ils tiendront les utilisateurs informés. Ils essaient également de déterminer quels renseignements ont été consultés. Compte tenu de la nature critique de la protection de l’accès aux appareils et aux services de leurs utilisateurs et du fait que nous ne savons pas quels renseignements ont été compromis (ou combien), les utilisateurs de LastPass doivent être vigilants et surveiller attentivement la situation.
Quelle est la marche à suivre?
Chez NPC, nous ne recommandons pas à nos clients d’utiliser un gestionnaire de mots de passe infonuagique comme LastPass. Nous leur offrons plutôt une gestion chiffrée des mots de passe sur l’appareil. Que vous soyez un client de NPC ou non, nous vous invitons à changer votre mot de passe LastPass, activez l’authentification multifacteur LastPass, mettez à jour tous vos appareils gérés par LastPass et supprimez tous les appareils inactifs. Nous vous recommandons également de changer votre mot de passe et d’activer l’authentification multifacteur pour tous les services et appareils importants pour lesquels vous utilisez LastPass.
Finalement, suivez les nouvelles de LastPass au sujet de la violation. Demeurez vigilant si vous êtes un utilisateur de LastPass et assurez-vous que les notifications que vous recevez sont légitimes. Il est probable que ces auteurs de menaces et les autres cybercriminels saisissent l’occasion pour tenter de vous soutirer des informations, par exemple en se faisant passer pour l’équipe de LastPass. Gardez vos bonnes habitudes lorsque vous interagissez avec des courriels et des pages Web inconnues.
- Ne cliquez pas sur ce que vous ne connaissez pas:
- liens ou pièces jointes dans des courriels inattendus;
- liens vers des sites Web que vous ne connaissez pas;
- messages textes non sollicités.
- Observez attentivement les adresses courriel et le contenu, surtout les messages qui demandent des renseignements.
- Soyez prudent en cas de recouvrement de compte, ou de demandes de modification ou d’amélioration de la sécurité de vos comptes.
Activation de l’authentification multifacteur
Cet incident est aussi l’occasion de rappeler à nos abonnés l’importance de l’authentification multifacteur (AMF). L’AMF ajoute une deuxième couche de sécurité à vos comptes en exigeant une autre méthode de confirmation par l’utilisateur, par exemple en entrant un code envoyé à votre téléphone ou à une autre adresse courriel. Vous trouverez ici [en anglais seulement] plus de renseignements sur la sécurité des mots de passe et l’authentification multifacteur.
En activant cette fonctionnalité sur tous vos comptes, personne ne pourra se connecter à vos comptes ou services avec les informations de connexion et les mots de passe volés à un service de gestion de mots de passe ou perdus. Cela augmentera considérablement la sécurité de votre compte, que vos mots de passe soient compromis ou non.
Pour en savoir plus sur la protection de votre identité en ligne
Dans un webinaire éducatif récent, nos experts en cybersécurité de NPC ont discuté des risques de révéler des informations personnelles en ligne, de la meilleure façon de protéger vos comptes personnels et professionnels, de comment repérer une tentative de vol de vos informations en ligne et de ce qu'il faut faire si votre identité a été volée. Vous pouvez regarder l'enregistrement de ce webinaire éducatif ici [en anglais seulement].
Sources [en anglais]:
Notice of Recent Security Incident (LastPass)
Lastpass says hackers accessed customer data in new breach (BleepingComputer)
LastPass admits to customer data breach caused by previous breach (Naked Security by Sophos)
LastPass admits new hack, some customer data exposed (Channel Daily News)