Une nouvelle faille critique menace Google Chrome sur Windows. Exploitée dans des attaques de phishing, elle permet aux pirates de contourner les protections du Privacy...
Lire la suite
On continue d’en apprendre davantage sur le piratage de LastPass. D’après une nouvelle révélation, le vol des mots de passe a été rendu possible par la négligence d’un développeur en matière de sécurité informatique.
L’an dernier, LastPass a été victime de deux attaques informatiques. Après enquête, LastPass a découvert que les deux offensives étaient liées. Concrètement, les pirates se sont appuyés sur les données volées lors de la première incursion pour fomenter la seconde violation.
La société a récemment révélé le mode opératoire des hackers dans les détails. Les assaillants ont commencé par infiltrer l’ordinateur personnel d’un des développeurs de LastPass. Grâce à un logiciel d’espionnage, ils se sont emparés des identifiants professionnels de l’ingénieur. Les pirates ont alors pu pénétrer dans un espace de travail partagé dans le Cloud et dérober les clés de chiffrement des sauvegardes des coffres-forts des clients… à l’insu de LastPass.
Une faille Plex remontant à 2020
Pour pénétrer dans l’ordinateur du développeur, les hackers ont exploité une vulnérabilité du code d’un « logiciel multimédia tiers vulnérable », explique LastPass. D’après les informations glanées par PCMag, le logiciel évoqué par LastPass n’est autre que Plex. Le gestionnaire de mots de passe a depuis confirmé qu’il s’agissait bien de Plex.
Nos confrères de PCMag soulignent surtout que la faille de Plex, exploitée par les attaquants pour atteindre les données sensibles de LastPass, remonte à 2020. Interrogé par le média, Plex précise que la brèche à l’origine du désastre a été divulguée publiquement en mai 2020.
D’après Plex, la faille permettait « à un attaquant ayant accès au compte Plex de l’administrateur du serveur de télécharger un fichier malveillant via la fonction de téléchargement depuis la caméra et de le faire exécuter par le serveur multimédia ». L’attaquant pouvait abuser de cette fonctionnalité pour déployer du code malveillant sur l’ordinateur de sa victime, uniquement après avoir pris obtenu un accès au compte Plex du serveur. C’est exactement ce que les pirates de LastPass ont fait dans l’intention d’infiltrer un keylogger, ou enregistreur de frappes, sur le PC de l’ingénieur.
Un développeur négligent
La vulnérabilité a été corrigée dans la foulée par le biais d’une mise à jour. Sur son site web, Plex recommandait à ses utilisateurs d’installer la version 1.19.3 ou ultérieure du logiciel sans tarder pour se protéger d’éventuelles attaques. Malheureusement, le développeur de LastPass a négligé de mettre à jour le logiciel avec le correctif. Depuis mai 2020, Plex a pourtant déployé de nombreuses versions de son logiciel :
« Malheureusement, l’employé de LastPass n’a jamais mis à niveau son logiciel pour activer le patch. Pour référence, la version qui a corrigé cet exploit a été déployée il y a environ 75 versions. Sans plus d’informations et de détails, il n’y a aucun moyen pour nous de spéculer sur la raison pour laquelle cette personne n’a pas mis à jour Plex durant une période aussi longue ».
In fine, le piratage des mots de passe de LastPass aurait pu être évité si l’ingénieur, pris pour cible par les hackers, avait simplement installé les mises à jour de Plex. Il est même fort probable que les attaquants aient décidé de concentrer leurs efforts sur l’ingénieur après avoir découvert la version antérieure de Plex sur son ordinateur.
Pendant des mois, les pirates ont en effet mené des opérations de reconnaissance pour mettre leur plan au point. Au moment de déployer le virus-espion, les attaquants avaient déjà obtenu un accès administrateur au serveur Plex de leur victime. Lors de la phase de reconnaissance, les assaillants ont apparemment étudié tous les points d’entrée sur les systèmes de LastPass. Un ordinateur personnel, connecté à un espace Cloud truffé de données sensibles, et équipé d’une version antérieure et défectueuse d’un logiciel, est rapidement apparu comme la portée d’entrée la plus évidente.
Au vu des retombées de cette négligence, Plex a annoncé des mesures pour encourager ses utilisateurs à installer les mises à jour. La firme californienne va afficher « des notifications via l’interface utilisateur de l’administrateur sur les mises à jour qui sont disponibles ». Si l’internaute continue d’oublier celles-ci, Plex se donne le droit de faire « des mises à jour automatiques » dans certains cas.
Quoi qu’il en soit, l’imprudence du développeur coûte cher à LastPass. En effet, la réputation du gestionnaire de mots de passe a été profondément entachée par le piratage…
Source : PCMag
Windows 11 intègre l’iPhone dans le menu Démarrer
Windows 11 approfondit la prise en charge des smartphones et plus particulièrement des iPhone. Le menu Démarrer va intégrer un panneau supplémentaire affichant des informations...
Lire la suite
11 astuces pour accélérer votre PC sous Windows 11
Votre ordinateur commence à donner des signes de faiblesse ? Voici tout ce que vous pouvez faire pour tenter d’améliorer sa vitesse. Que votre machine soit...
Lire la suite
La fin du support de Windows 10 entraînera celui des applis Microsoft 365
Alors que le support de Windows 10 prendra fin en octobre prochain, Microsoft a averti ses utilisateurs que les applications Microsoft 365 ne seront plus,...
Lire la suite
HDMI 2.2 : une bande passante monstrueuse pour afficher de la 4K à 480 images par seconde
Comme prévu, le HDMI Forum a profité du CES pour officialiser la nouvelle version de la norme HDMI. Un an et demi après la publication...
Lire la suite
Microsoft mettra fin au support de Windows 10, quelles sont les implications?
À partir du mois d'octobre 2025, Microsoft cessera le support de son système d'exploitation Windows 10 Famille et Pro pour ordinateurs de bureau et portable....
Lire la suite
iOS 18 et ses 250 nouveautés sont maintenant disponibles pour tous
Avec ses plus de 250 nouveautés, iOS 18 est un gros morceau ! La version finale du système d’exploitation des iPhone est désormais disponible pour tous...
Lire la suite
Android 15 : même avec votre code secret, les voleurs n’auront plus accès à vos données
Google s’apprête à déployer une fonctionnalité de sécurité pour Android 15 qui va permettre de protéger vos données personnelles en cas de vol de votre...
Lire la suite
Comment bien utiliser l’outil de correction de Microsoft Word ?
Relisez et corrigez un document sur Microsoft Word en affichant le suivi des modifications apportées et en y intégrant des commentaires. Le logiciel de traitement...
Lire la suite
Ransomware : les cybercriminels sont de plus en plus gourmands
Les rançons demandées par les cybercriminels explosent à la hausse. Les attaques de ransomware ciblent de plus en plus de grandes entreprises et des secteurs...
Lire la suite
Pour pirater votre smartphone, les hackers ont deux nouvelles stratégies ultra redoutables
Les cybercriminels innovent constamment pour tromper les utilisateurs de smartphones. En ce moment, les hackers s’appuient sur deux nouvelles tactiques pour pirater les smartphones Android...
Lire la suite
Le Wi-Fi 7 va-t-il nous rendre tous accros au sans-fil ?
Débit monstre, latence imperceptible, et stabilité à toute épreuve. Sur le papier, la promesse du Wi-Fi 7 est alléchante. Mais comme est-elle possible, et aussi,...
Lire la suite
Processeurs Intel instables : le correctif ne résoudra pas tous les problèmes
Les problèmes de stabilité des processeurs Core de 13e et 14e génération n’ont pas fini de hanter Intel et ses clients. Le correctif annoncé en...
Lire la suite
ChatGPT coûte très cher, OpenAI risque de manquer d’argent
OpenAI peut-il réellement faire faillite ? Cela parait difficile à croire pour l’entreprise leader du marché de l’intelligence artificielle générative, avec ChatGPT. Mais l’entraînement des modèles...
Lire la suite
Windows 11 : comment désinstaller le panneau de widgets
Vous n’utilisez jamais le panneau de widgets intégré à Windows 11 ? Voici comment le faire disparaître pour de bon en quelques secondes. Une chose est...
Lire la suite
Windows 11 : l’Explorateur de fichiers pourra bientôt afficher les fichiers de votre téléphone Android
Microsoft pourrait améliorer très bientôt la liaison entre votre PC et votre smartphone Android. Dans une prochaine mise à jour, Windows 11 vous permettra d’accéder...
Lire la suite
Pourquoi une vague de fuites de données menace de s’abattre sur le web
Une grande entreprise spécialisée dans le cloud a été victime d’une intrusion. Les mots de passe de centaines de clients sont apparemment partagées en ligne...
Lire la suite
Ce portable à double écran Oled est si malin qu’on se demande pourquoi personne n’y avait pensé avant
GPD a dévoilé un concept de PC à double écran doté d’une charnière à 360 degrés. Cela lui permet de se transformer à l’envi en...
Lire la suite
Android 15 : jusqu’à 3 heures d’autonomie en plus grâce à cette nouvelle optimisation
Android 15 va apporter son lot d’améliorations, dont une optimisation du temps de mise en veille qui va permettre d’allonger l’autonomie de la batterie des...
Lire la suite
Windows 11 : comment désactiver les publicités Microsoft sur votre PC
Le système d’exploitation de Microsoft affiche fréquemment et en différents endroits de Windows 11 des messages visant à promouvoir les produits de l’entreprise. Vous pouvez...
Lire la suite
