LastPass : code source dérobé

0
257

LastPass a récemment annoncé avoir détecté « une activité inhabituelle dans certaines parties de l’environnement de développement LastPass » sur son blog. Un compte développeur aurait été compromis et des morceaux du code source et des informations techniques de LastPass auraient été subtilisés.

Ci-dessous, les commentaires de Jérôme Warot, Vice-président Technical Account Management, South EMEA chez Tanium sur ce que nous enseigne cette compromission, en particulier en matière de gestion des mots de passe :

“La discussion autour de l’authentification “sans mot de passe” (Passwordless) gagne en popularité, en particulier avec les grands acteurs comme Microsoft et Google qui la rendent relativement facile à adopter. Si vous êtes un client actuel de LastPass, continuez à surveiller leur site Web et les communications officielles pour obtenir de nouvelles directives. Actuellement, LastPass n’a rien identifié qui nécessiterait des actions spécifiques de la part des utilisateurs finaux. L’entreprise déploie des efforts d’atténuation, de réponse aux incidents et d’investigation en interne.

Actuellement, il n’y a pas de violation connue des données sensibles des clients et des mots de passe.  Cependant, cette violation offre l’opportunité d’évaluer votre position de sécurité si la portée de la violation s’étend, ou si d’autres violations se produisent à l’avenir – ceci est vrai indépendamment du fait que vous utilisiez LastPass ou non.

Cela peut signifier une rotation proactive des mots de passe, le passage temporaire à un autre gestionnaire de mots de passe ou un autre service de gestion des mots de passe.  Utilisez l’authentification multifactorielle non seulement pour vos comptes bancaires et vos médias sociaux, mais surtout pour votre compte LastPass ou toute autre solution de gestion de mots de passe.  De nombreux fournisseurs, dont LastPass, proposent et migrent vers des connexions passwordless (“sans mot de passe”) qui utilisent des technologies de sécurité plus avancées telles que les clés de sécurité FIDO2.  Cela réduit les frictions pour les utilisateurs finaux et augmente la sécurité globale du compte.  Personnellement, j’utilise YubiKeys.   

De nombreux services, dont Microsoft et le programme de protection avancée de Google, proposent déjà cette fonctionnalité depuis plusieurs années pour vous permettre d’accéder plus rapidement et de manière plus sécurisée à vos comptes – tant personnels que professionnels. Vous ne pouvez pas nécessairement prévoir les prochaines compromissions ou les futures failles zero day, mais vous pouvez prendre des mesures aujourd’hui pour ajouter ces contrôles de sécurité supplémentaires et vérifier l’accès à votre compte afin de minimiser le niveau d’impact si/quand cela se produira. Les gestionnaires de mots de passe sont une cible difficile mais attrayante pour les cybercriminels, car ils ouvrent – littéralement – un trésor d’accès à des centaines de milliers de comptes et de données clients sensibles en un instant s’ils sont piratés. 

Je pense qu’un autre élément important à retenir est que les avantages associés à l’utilisation d’une solution de gestion des mots de passe sécurisée dépassent souvent, et de loin, les risques d’une potentielle compromission et de ce à quoi elle pourrait donner accès.  Associée aux autres recommandations en matière de sécurité, cette solution reste l’une des meilleures pour prévenir le vol de données d’identités et les attaques associées.”