Le nouveau menu Démarrer de Windows 11 ne fait pas l’unanimité. Microsoft, qui a commencé à le déployer fin octobre vient de le rendre disponible...
Lire la suite
On continue d’en apprendre davantage sur le piratage de LastPass. D’après une nouvelle révélation, le vol des mots de passe a été rendu possible par la négligence d’un développeur en matière de sécurité informatique.
L’an dernier, LastPass a été victime de deux attaques informatiques. Après enquête, LastPass a découvert que les deux offensives étaient liées. Concrètement, les pirates se sont appuyés sur les données volées lors de la première incursion pour fomenter la seconde violation.
La société a récemment révélé le mode opératoire des hackers dans les détails. Les assaillants ont commencé par infiltrer l’ordinateur personnel d’un des développeurs de LastPass. Grâce à un logiciel d’espionnage, ils se sont emparés des identifiants professionnels de l’ingénieur. Les pirates ont alors pu pénétrer dans un espace de travail partagé dans le Cloud et dérober les clés de chiffrement des sauvegardes des coffres-forts des clients… à l’insu de LastPass.
Une faille Plex remontant à 2020
Pour pénétrer dans l’ordinateur du développeur, les hackers ont exploité une vulnérabilité du code d’un « logiciel multimédia tiers vulnérable », explique LastPass. D’après les informations glanées par PCMag, le logiciel évoqué par LastPass n’est autre que Plex. Le gestionnaire de mots de passe a depuis confirmé qu’il s’agissait bien de Plex.
Nos confrères de PCMag soulignent surtout que la faille de Plex, exploitée par les attaquants pour atteindre les données sensibles de LastPass, remonte à 2020. Interrogé par le média, Plex précise que la brèche à l’origine du désastre a été divulguée publiquement en mai 2020.
D’après Plex, la faille permettait « à un attaquant ayant accès au compte Plex de l’administrateur du serveur de télécharger un fichier malveillant via la fonction de téléchargement depuis la caméra et de le faire exécuter par le serveur multimédia ». L’attaquant pouvait abuser de cette fonctionnalité pour déployer du code malveillant sur l’ordinateur de sa victime, uniquement après avoir pris obtenu un accès au compte Plex du serveur. C’est exactement ce que les pirates de LastPass ont fait dans l’intention d’infiltrer un keylogger, ou enregistreur de frappes, sur le PC de l’ingénieur.
Un développeur négligent
La vulnérabilité a été corrigée dans la foulée par le biais d’une mise à jour. Sur son site web, Plex recommandait à ses utilisateurs d’installer la version 1.19.3 ou ultérieure du logiciel sans tarder pour se protéger d’éventuelles attaques. Malheureusement, le développeur de LastPass a négligé de mettre à jour le logiciel avec le correctif. Depuis mai 2020, Plex a pourtant déployé de nombreuses versions de son logiciel :
« Malheureusement, l’employé de LastPass n’a jamais mis à niveau son logiciel pour activer le patch. Pour référence, la version qui a corrigé cet exploit a été déployée il y a environ 75 versions. Sans plus d’informations et de détails, il n’y a aucun moyen pour nous de spéculer sur la raison pour laquelle cette personne n’a pas mis à jour Plex durant une période aussi longue ».
In fine, le piratage des mots de passe de LastPass aurait pu être évité si l’ingénieur, pris pour cible par les hackers, avait simplement installé les mises à jour de Plex. Il est même fort probable que les attaquants aient décidé de concentrer leurs efforts sur l’ingénieur après avoir découvert la version antérieure de Plex sur son ordinateur.
Pendant des mois, les pirates ont en effet mené des opérations de reconnaissance pour mettre leur plan au point. Au moment de déployer le virus-espion, les attaquants avaient déjà obtenu un accès administrateur au serveur Plex de leur victime. Lors de la phase de reconnaissance, les assaillants ont apparemment étudié tous les points d’entrée sur les systèmes de LastPass. Un ordinateur personnel, connecté à un espace Cloud truffé de données sensibles, et équipé d’une version antérieure et défectueuse d’un logiciel, est rapidement apparu comme la portée d’entrée la plus évidente.
Au vu des retombées de cette négligence, Plex a annoncé des mesures pour encourager ses utilisateurs à installer les mises à jour. La firme californienne va afficher « des notifications via l’interface utilisateur de l’administrateur sur les mises à jour qui sont disponibles ». Si l’internaute continue d’oublier celles-ci, Plex se donne le droit de faire « des mises à jour automatiques » dans certains cas.
Quoi qu’il en soit, l’imprudence du développeur coûte cher à LastPass. En effet, la réputation du gestionnaire de mots de passe a été profondément entachée par le piratage…
Source : PCMag
Plus de 100 failles Windows corrigées : Microsoft déploie le premier Patch Tuesday de 2026, installez la mise à jour
Microsoft ouvre l’année 2026 sur un Patch Tuesday massif. La mise à jour corrige 114 failles de sécurité, dont huit jugées critiques. On trouve surtout...
Lire la suite
Ce que Siri pourra faire grâce à Gemini
Gemini sera donc le nouveau cerveau de Siri. Apple fait en effet appel à Google et à ses modèles IA comme base pour les futures...
Lire la suite
Une vague de cyberattaques s’abat sur ces routeurs D-Link obsolètes
Une faille critique permet de prendre le contrôle à distance d’anciens routeurs D‑Link. Privés de mises à jour depuis plus de cinq ans, ils sont...
Lire la suite
Avec Gemini 3 Flash, Google fait passer son IA au niveau supérieur
Google vient de présenter Gemini 3 Flash, son nouveau modèle plus rapide et polyvalent, qui arrive dans plusieurs services du géant américain. Google annonce le déploiement...
Lire la suite
Votre PC Windows 11 rame ? C’est peut-être à cause de ces deux fonctions gourmandes en mémoire
Certains services système de Windows 11, dont un activé par défaut dans une récente mise à jour, pourraient être à l’origine de mauvaises performances de...
Lire la suite
Ce bug de Windows 10 pourrait bien vous obliger à passer à Windows 11
Windows Latest a mis le doigt sur un comportement pour le moins curieux sur Windows 10. Sur certains PC non-inscrits à l’ESU, la pause des mises...
Lire la suite
Double authentification : les pirates ont une nouvelle stratégie pour mettre en péril vos comptes en ligne
La double authentification n’est plus un bouclier absolu contre les cyberattaques. Un outil employé par les cybercriminels permet en effet de casser l’authentification deux facteurs....
Lire la suite
Les futurs iPhone pourraient surfer sur le web avec les satellites de Starlink
Après s’être regardés en chiens de faïence pendant plusieurs années, Apple et SpaceX vont peut-être finir par trouver un terrain d’entente. Un faisceau d’éléments pourrait...
Lire la suite
Android : 4 nouveautés que vous avez peut-être ratées
Dans un billet de blog, Google présente les dernières nouveautés d’Android. On fait le point au cas où vous en auriez raté certaines. Google annonce une...
Lire la suite
500 apps Android en danger : le virus Godfather est de retour, et il est encore plus dangereux
Le virus Godfather refait surface sur Android. Plus trompeur qu’en 2022, il utilise désormais une nouvelle tactique pour voler les identifiants bancaires de ses cibles....
Lire la suite
Windows 11 : comment utiliser « Click to do », les Actions par clic animées par l’IA des PC Copilot+ ?
Les PC Copilot+ embarquent de nombreuses fonctionnalités rattachées à l’intelligence artificielle. Parmi celles-ci, Click to do permet, grâce à l’IA, de lancer rapidement des actions...
Lire la suite
ASTUCE: Windows 11 : comment retrouver facilement votre mot de passe Wi-Fi
Windows 11 enregistre et conserve les mots de passe de toutes les connexions Wi-Fi auxquelles votre PC s’est connecté. Vous pouvez donc récupérer très facilement...
Lire la suite
Avec ce petit changement, Microsoft fait un pas de géant vers la suppression des mots de passe
Microsoft ne poussera plus ses nouveaux utilisateurs à la création d’un mot de passe. Bien au contraire, l’entreprise semble décidée à inciter tout le monde...
Lire la suite
L’IA est arrivée au bout des données humaines, c’est quoi la suite ?
Largement basées sur l’exploitation massive de données humaines, les intelligences artificielles génératives pourraient bientôt atteindre leurs limites. Une nouvelle voie pour continuer à progresser existe...
Lire la suite
Cyberattaque mondiale : le virus ResolverRAT prend d’assaut le secteur de la santé et de la pharmacie
Un nouveau virus du nom de ResolverRAT se propage dans le monde entier. Le malware piège les entreprises du secteur de la santé et de...
Lire la suite
Windows 11 : l’Outil Capture d’écran va intégrer une fonction empruntée aux Microsoft PowerToys
Microsoft va mettre à jour son Outil Capture d’écran pour simplifier l’utilisation de son module OCR. Vous pourrez bientôt extraire le texte d’une image affichée...
Lire la suite
Plus de la moitié des cyberattaques « commencent dans votre boîte de réception
Les cybercriminels prennent d’assaut votre boite mail. Selon CheckPoint, près de 7 cyberattaques sur 10 débutent par l’envoi d’un mail malveillant. Bien souvent, ce mail...
Lire la suite
Fuite massive de données sur X : plus de 2 milliards de comptes touchés ?
Un pirate affirme avoir obtenu les données de 2,87 milliards de comptes X. La fuite inclut des informations détaillées sur les comptes. Combinées à une...
Lire la suite
Cyberespionnage en cours sur Chrome : une faille permet de propager des virus et de piller vos données
Une nouvelle faille critique menace Google Chrome sur Windows. Exploitée dans des attaques de phishing, elle permet aux pirates de contourner les protections du Privacy...
Lire la suite
