Lorsque LastPass a été piraté en août 2022, l’attaquant n’a pas pu accéder aux données des clients ou aux coffres-forts de mots de passe, assure le PDG.
Après avoir piraté le populaire service de gestion de mots de passe en ligne LastPass en août, son PDG a maintenant confirmé que l’attaquant n’était pas en mesure d’accéder aux données des clients ou aux coffres-forts de mots de passe cryptés. L’équipe de sécurité voit encore un potentiel d’optimisation et travaille actuellement sur le concept de sécurité de l’entreprise. L’impact de l’incident aurait pu être dévastateur pour les plus de 33 millions d’utilisateurs.
Le PDG de LastPass fournit une mise à jour sur l’incident de sécurité d’août
Le 25 août 2022, le PDG de LastPass, Karim Toubba, a annoncé un incident de sécurité dans lequel un pirate a pu voler les codes sources et les informations techniques du populaire gestionnaire de mots de passe. Après de nouvelles enquêtes internes, Toubba a maintenant clarifié les résultats dans une mise à jour du statut, « pour assurer la transparence.«
En collaboration avec les experts en sécurité Mandiant, la société a déclaré qu’elle n’avait trouvé aucune preuve que l’attaquant avait pu voler des données client ou des coffres-forts de mots de passe cryptés dans les quatre jours où ils avaient accès à l’infrastructure LastPass. Au lieu de cela, il n’a pu accéder à l’environnement de développement que via un compte de développeur compromis.
« Bien que l’acteur de la menace ait pu accéder à l’environnement de développement, la conception et les contrôles de notre système l’ont empêché d’accéder aux données des clients ou aux coffres-forts de mots de passe cryptés. »
Karim Toubba, PDG de LastPass
Accès aux coffres-forts de mots de passe exclu en raison de l’architecture de sécurité
Une séparation physique de l’environnement de développement de l’environnement de production a contribué au fait que l’accès aux données des clients peut être exclu. De plus, la société a assuré avoir «pas d’accès aux mots de passe maîtres des coffres» de ses clients. Et « sans le mot de passe principal, il est impossible pour quiconque autre que le propriétaire du coffre de déchiffrer les données du coffre“.
L’équipe de sécurité de LastPass a également été en mesure d’exclure avec certitude toute manipulation du code source.
« Les développeurs n’ont pas la possibilité de transférer le code source de l’environnement de développement vers l’environnement de production. Cette opportunité est limitée à une équipe de construction et de publication distincte et ne peut se produire qu’à l’issue de processus rigoureux de révision, de test et de validation du code.
Karim Toubba, PDG de LastPass
L’équipe de sécurité optimise le concept de sécurité de LastPass
Néanmoins, l’équipe a apparemment vu un potentiel d’optimisation supplémentaire dans son propre concept de sécurité et a donc décidé de travailler avec une société de cybersécurité de premier plan pour améliorer encore la sécurité du code source ainsi que les environnements de développement et de production.
« Nous réalisons que les incidents de sécurité de toute nature sont inquiétants, mais nous voulons vous rassurer que vos informations personnelles et vos mots de passe sont en sécurité avec nous.‘ Toubba rassure les utilisateurs de LastPass.
L’accès aux coffres-forts LastPass aurait pu être dévastateur
Comme LastPass l’annonce sur son propre site Web, le service compte désormais plus de 33 millions d’utilisateurs. Plus de 100 000 entreprises font confiance au service, qui est censé permettre de stocker les mots de passe en toute sécurité dans un cloud. L’accès d’un pirate aux coffres-forts de mots de passe des clients aurait pu avoir des effets dévastateurs sur LastPass. Surtout si l’on considère qu’il existe des mots de passe pour de nombreux autres services en ligne. Une véritable mine d’or pour les cybercriminels.
Pour ceux qui se méfient généralement des services en ligne et préfèrent prendre en main la sécurité de leurs mots de passe, des applications telles que KeePass avec stockage local de la base de données de mots de passe sont certainement une alternative plus attrayante.