Des informations que les pirates ont obtenues lors d’un piratage en août du fournisseur de gestion de mots de passe LastPass ont été utilisées pour compromettre à nouveau l’entreprise, a reconnu son PDG.
« Nous avons déterminé qu’un tier non autorisé, utilisant les informations obtenues lors de l’incident d’août 2022, a pu accéder à certains éléments des informations de nos clients », a déclaré Karim Toubba dans un communiqué mercredi.
La découverte, a déclaré M. Toubba, est intervenue après que la société eut récemment détecté une activité inhabituelle au sein d’un service de stockage en nuage tiers, qui est actuellement partagé à la fois par LastPass et sa filiale GoTo.
Les mots de passe des clients restent cryptés en toute sécurité, a-t-il ajouté.
« Nous travaillons avec diligence pour comprendre l’étendue de l’incident et identifier les informations spécifiques auxquelles nous avons eu accès. En attendant, nous pouvons confirmer que les produits et services LastPass restent entièrement fonctionnels. Comme toujours, nous vous recommandons de suivre nos meilleures pratiques concernant l’installation et la configuration de LastPass. ».
Dans le cadre de ses efforts, a déclaré M. Toubba, LastPass continue de déployer des mesures de sécurité améliorées et des capacités de surveillance sur l’ensemble de son infrastructure pour aider à détecter et à prévenir d’autres activités cybercriminelles.
Compte tenu du grand nombre de mots de passe qu’il protège dans le monde, Lastpass reste une cible importante, a déclaré Yoav Iellin, chercheur principal à Silverfort.
Bien que LastPass ait admis que le cybercriminel avait eu accès à l’aide des informations obtenues lors de la compromission précédente, la nature exacte de ces informations reste floue, a-t-il déclaré. En règle générale, a ajouté Yoav Iellin, il est préférable pour une organisation, après avoir subi une violation, de générer de nouvelles clés d’accès et de remplacer d’autres informations d’identification compromises afin de garantir que des éléments tels que le stockage infonuagique et les clés d’accès de sauvegarde ne peuvent pas être réutilisés.
Les abonnés LastPass doivent surveiller les mises à jour et vérifier qu’elles sont légitimes avant d’entreprendre toute action. S’ils ne l’ont pas déjà fait, ils devraient changer les mots de passe et activer l’authentification à deux facteurs sur toutes les applications avec des mots de passe dans LastPass, a-t-il également déclaré.
Lors de l’incident d’août, une partie du code source de l’entreprise a été volée après le piratage de l’un de ses comptes de développeur.
La société affirme avoir 100 000 clients professionnels, ainsi que des utilisateurs individuels. En tout, elle compte 33 millions d’utilisateurs enregistrés, avec « une grande majorité » de clients corporatifs..
Adaptation et traduction française par Renaud Larue-Langlois.
