NPC Alertes de sécurité

English


Mise à jour : LastPass révèle les informations personnelles et les mots de passe cryptés volés lors d'une récente violation

29 décembre 2022



Remarque : Cette alerte de sécurité de la NPC met à jour notre alerte publiée le 12 décembre 2022, concernant la brèche de LastPass d'août 2022.


De quoi s'agit-il?

Le 30 novembre, LastPass a annoncé avoir subi une deuxième faille de données, suite à une faille en août. En novembre, ils savaient que les informations recueillies lors de la faille en août avaient permis aux acteurs de menace d'accéder à leurs systèmes, mais il était incertain de quelles informations avaient été utilisées ou quelles données client avaient été compromises.

Dans une mise à jour publiée le 22 décembre 2022 [en anglais], LastPass a détaillé l'incident et ce qu'ils ont appris de leur enquête en cours. Ils ont maintenant avisé que deux types de données ont été pris. Certaines informations de base de client non chiffrées, telles que les noms de société, les noms d'utilisateur final, les adresses de facturation, etc., et deuxièmement, les données de "coffre" client chiffrées - les identifiants et mots de passe du client.

Cela pose deux problèmes pour les utilisateurs de LastPass. Tout d'abord, les informations de base de client non chiffrées peuvent être utilisées pour aider les acteurs de menace à casser les coffres et à mieux exécuter des attaques de phishing contre les utilisateurs. Deuxièmement, car les coffres ont été copiés hors du système LastPass, les acteurs de menace ont maintenant le temps illimité pour essayer de casser les coffres avec les informations descriptives volées sur le propriétaire d'un coffre.

LastPass a déclaré qu'étant donné que les coffres sont cryptés avec un cryptage AES-256 (un algorithme de cryptage puissant), si l'utilisateur a suivi les meilleures pratiques en créant un mot de passe principal pour son coffre qui soit unique, complexe et long, alors tout devrait bien se passer. Cependant, quelle que soit l'éventualité, la perte des coffres contenant les identifiants et mots de passe des utilisateurs du système LastPass met en danger les informations secrètes de connexion des utilisateurs de LastPass. Bien que les données des coffres soient illisibles sans le mot de passe principal de l'utilisateur, que même LastPass n'a pas stocké dans un endroit quelconque, la possibilité de violer les coffres n'est pas nulle.


Que signifie cela pour l'utilisateur de LastPass?

Les acteurs de menace pourraient essayer de déchiffrer les données en utilisant des algorithmes complexes qui analysent les données d'utilisateur de base pour créer des tentatives de mot de passe principal et utiliseront d'autres mots de passe volés lors d'autres violations, les associant à l'utilisateur pour des tentatives. Les acteurs de menace, en particulier les acteurs de menace d'État, ont accès à d'énormes ressources humaines, techniques et informatiques pour extraire éventuellement de ces données volées les données spécifiques du client très précieuses et les identifiants de compte qui peuvent représenter des millions de butins financiers s'ils sont déchiffrés.

Il est également important de noter que depuis que les coffres ont été exfiltrés (copiés hors du système), changer ou renforcer votre mot de passe principal maintenant ne vous protégera que dans le système LastPass et nécessitera que tous les mots de passe que vous aviez stockés dans le système avant cela soient modifiés. Certains utilisateurs stockent des centaines de connexions dans LastPass pour des sites importants, il n'est donc pas trivial de changer tous ces mots de passe, mais la récompense pour l'acteur de menace en cas de rupture du coffre est en proportion.

Comme nous l'avons expliqué dans notre précédent avertissement, le danger avec un criminel informatique qui possède certaines informations personnelles est qu'il peut s'en servir pour paraître crédible ou légitime tout en essayant d'obtenir encore plus d'informations. Suite à l'enquête de LastPass, nous savons maintenant quelles informations ont été prises dans la faille - noms, adresses, numéros de téléphone et adresses IP - et vous devez être vigilant face à toute personne qui essaierait de s'en servir pour vous extorquer encore plus, notamment votre mot de passe principal.


Que devriez-vous faire?

  • Les utilisateurs de LastPass doivent immédiatement changer leur mot de passe principal de LastPass et les mots de passe de tous les systèmes que vous avez stockés dans LastPass.
  • Vérifiez de nouveau les paramètres de sécurité de votre compte sur LastPass et assurez-vous que votre mot de passe principal respecte au moins leurs recommandations minimales, ou les nôtres ci-dessous.
  • Activez l'authentification à deux facteurs (la deuxième étape d'accès à la connexion, comme un code de confirmation par text ou e-mail) sur LastPass et tout autre compte important.
  • Soyez à l'affût de toute tentative de phishing ou de tactique d'ingénierie sociale.

Voici nos recommandations minimales pour les mots de passe:

  • 14+ caractères
    • Utilisez une phrase de passe au lieu de caractères aléatoires difficiles à mémoriser. Une phrase de passe est une suite de mots ou de caractères qui vous sont mémorables, mais qui n'ont aucun sens pour quelqu'un d'autre, comme Cheval! Feu de camp# Bleu5
    • Favorisez la longueur sur la complexité, car le temps de crackage d'un mot de passe augmente exponentiellement avec chaque caractère ajouté
  • Changez régulièrement vos mots de passe, tous les 90 à 120 jours
  • Ne textez jamais ni n'envoyez par e-mail un mot de passe avec le nom de connexion
  • N'utilisez jamais le même mot de passe deux fois, ni en plus d'un endroit

Pour en savoir plus sur les mots de passe forts et la sécurité de votre compte, regardez notre webinaire éducatif gratuit, Amélioration de la sécurité des mots de passe et puissance de l'authentification à deux facteurs (MFA) [en anglais].


Sources [en anglais]:

Notice of Recent Security Incident (LastPass)

LastPass users: Your info and password vault data are now in hackers’ hands (Ars Technica)

Hackers stole encrypted LastPass password vaults, and we’re just now hearing about it (The Verge)

Yes, It’s Time to Ditch LastPass (Wired)

NPC Alertes de sécurité

Recevez les alertes de sécurité de NPC par courriel pour demeurer au fait des plus importantes menaces à la sécurité de vos appareils, de vos données et de votre vie privée. Nous n'utilisons cette liste à aucune autre fin.

Je m'inscris