Supprimez toutes les données de votre ordinateur et remettez-le dans sa configuration d’usine en réinitialisant Windows 11. Quand votre PC commence à se montrer poussif,...
Lire la suite
On continue d’en apprendre davantage sur le piratage de LastPass. D’après une nouvelle révélation, le vol des mots de passe a été rendu possible par la négligence d’un développeur en matière de sécurité informatique.
L’an dernier, LastPass a été victime de deux attaques informatiques. Après enquête, LastPass a découvert que les deux offensives étaient liées. Concrètement, les pirates se sont appuyés sur les données volées lors de la première incursion pour fomenter la seconde violation.
La société a récemment révélé le mode opératoire des hackers dans les détails. Les assaillants ont commencé par infiltrer l’ordinateur personnel d’un des développeurs de LastPass. Grâce à un logiciel d’espionnage, ils se sont emparés des identifiants professionnels de l’ingénieur. Les pirates ont alors pu pénétrer dans un espace de travail partagé dans le Cloud et dérober les clés de chiffrement des sauvegardes des coffres-forts des clients… à l’insu de LastPass.
Une faille Plex remontant à 2020
Pour pénétrer dans l’ordinateur du développeur, les hackers ont exploité une vulnérabilité du code d’un « logiciel multimédia tiers vulnérable », explique LastPass. D’après les informations glanées par PCMag, le logiciel évoqué par LastPass n’est autre que Plex. Le gestionnaire de mots de passe a depuis confirmé qu’il s’agissait bien de Plex.
Nos confrères de PCMag soulignent surtout que la faille de Plex, exploitée par les attaquants pour atteindre les données sensibles de LastPass, remonte à 2020. Interrogé par le média, Plex précise que la brèche à l’origine du désastre a été divulguée publiquement en mai 2020.
D’après Plex, la faille permettait « à un attaquant ayant accès au compte Plex de l’administrateur du serveur de télécharger un fichier malveillant via la fonction de téléchargement depuis la caméra et de le faire exécuter par le serveur multimédia ». L’attaquant pouvait abuser de cette fonctionnalité pour déployer du code malveillant sur l’ordinateur de sa victime, uniquement après avoir pris obtenu un accès au compte Plex du serveur. C’est exactement ce que les pirates de LastPass ont fait dans l’intention d’infiltrer un keylogger, ou enregistreur de frappes, sur le PC de l’ingénieur.
Un développeur négligent
La vulnérabilité a été corrigée dans la foulée par le biais d’une mise à jour. Sur son site web, Plex recommandait à ses utilisateurs d’installer la version 1.19.3 ou ultérieure du logiciel sans tarder pour se protéger d’éventuelles attaques. Malheureusement, le développeur de LastPass a négligé de mettre à jour le logiciel avec le correctif. Depuis mai 2020, Plex a pourtant déployé de nombreuses versions de son logiciel :
« Malheureusement, l’employé de LastPass n’a jamais mis à niveau son logiciel pour activer le patch. Pour référence, la version qui a corrigé cet exploit a été déployée il y a environ 75 versions. Sans plus d’informations et de détails, il n’y a aucun moyen pour nous de spéculer sur la raison pour laquelle cette personne n’a pas mis à jour Plex durant une période aussi longue ».
In fine, le piratage des mots de passe de LastPass aurait pu être évité si l’ingénieur, pris pour cible par les hackers, avait simplement installé les mises à jour de Plex. Il est même fort probable que les attaquants aient décidé de concentrer leurs efforts sur l’ingénieur après avoir découvert la version antérieure de Plex sur son ordinateur.
Pendant des mois, les pirates ont en effet mené des opérations de reconnaissance pour mettre leur plan au point. Au moment de déployer le virus-espion, les attaquants avaient déjà obtenu un accès administrateur au serveur Plex de leur victime. Lors de la phase de reconnaissance, les assaillants ont apparemment étudié tous les points d’entrée sur les systèmes de LastPass. Un ordinateur personnel, connecté à un espace Cloud truffé de données sensibles, et équipé d’une version antérieure et défectueuse d’un logiciel, est rapidement apparu comme la portée d’entrée la plus évidente.
Au vu des retombées de cette négligence, Plex a annoncé des mesures pour encourager ses utilisateurs à installer les mises à jour. La firme californienne va afficher « des notifications via l’interface utilisateur de l’administrateur sur les mises à jour qui sont disponibles ». Si l’internaute continue d’oublier celles-ci, Plex se donne le droit de faire « des mises à jour automatiques » dans certains cas.
Quoi qu’il en soit, l’imprudence du développeur coûte cher à LastPass. En effet, la réputation du gestionnaire de mots de passe a été profondément entachée par le piratage…
Source : PCMag
Québec craint une cyberattaque russe, les risques sont réels, selon un expert
Le gouvernement du Québec resserre ses mesures de sécurité informatique en raison de menaces « sérieuses » d'une cyberattaque de la part de la Russie. « Tous les...
Lire la suite
Un processeur chinois est un million de fois plus rapide que le meilleur processeur de Google
Comment nous perdons désespérément la course aux ordinateurs quantiques La Chine a pris la tête du développement des ordinateurs quantiques en établissant un record absolu...
Lire la suite
Un pas en avant vers l’œil bionique, grâce à un nouveau capteur de couleur nanométrique
Si distinguer les couleurs avec précision nous semble être une capacité toute naturelle, recréer la vision artificiellement est en réalité un grand défi optique. Des...
Lire la suite
Outlook web : comment rappeler un e-mail envoyé accidentellement ?
Le webmail de Microsoft dispose d’une option très pratique qui vous permet de rappeler un message envoyé un peu trop rapidement. Rédiger un long e-mail...
Lire la suite
D’ex-actionnaires de Twitter déposent un recours contre Elon Musk
Un recours collectif a été déposé contre Elon Musk mardi aux États-Unis, mené par d’ex-actionnaires de Twitter qui affirment avoir raté la récente hausse du...
Lire la suite
Cyberattaques : une étude révèle pourquoi les salariés sont si peu prudents
Dans une étude publiée l’an dernier, le Conseil de stabilité financière (CSF), une organisation internationale qui regroupe les autorités financières nationales des pays du G20 ainsi que...
Lire la suite
Tesla Bot : la production du robot Optimus commencera en 2023
Lors du Tesla Cyber Rodeo, Elon Musk est revenu sur l’avancée de son projet Optimus, le robot qui promet de révolutionner notre quotidien. Selon le...
Lire la suite
Une mise à jour de sécurité importante pour le navigateur Chrome
Google a lancé cette semaine un correctif de sécurité d’urgence pour son navigateur Chrome après la découverte d’une vulnérabilité par un membre de Project Zero,...
Lire la suite
Windows 11 : dix raccourcis qui vont vous faire gagner du temps
La touche Windows de votre clavier fait peut-être partie de celles que vous utilisez le moins. Extrêmement pratique, elle est pourtant la base d’un bon...
Lire la suite
010422 – Build a laptop
POISSON D'AVRIL!!! POUR DES VRAIS BONS PC, LAPTOP, MONITEURS ET SERVEURS À BAS PRIX, VISITE NOTRE PAGE FLEETÉCO APPAREILS RÉUSINÉS! https://fleetinfo.info/eco/ BONNE JOURNÉE!
Lire la suite
Microsoft rappelle qu’Internet Explorer sera définitivement mort le 15 juin 2022
Internet Explorer vit ses derniers instants ! Plusieurs mois avant la date butoir, Microsoft rappelle à tous les derniers utilisateurs du navigateur de passer sur...
Lire la suite
300 000 hackers s’inscrivent pour rejoindre “l’armée informatique” ukrainienne pour combattre la Russie
Environ 300 000 pirates informatiques volontaires se sont unis pour mener une cyberguerre contre la Russie dans le cadre de l'« armée informatique » ukrainienne, rapporte The...
Lire la suite
Cette batterie de la taille d’un grain de sel peut alimenter un ordinateur
Cette minuscule batterie de la taille d'un grain de sel est capable d'alimenter sans problème un ordinateur. Pour développer l'architecture de la batterie, les chercheurs...
Lire la suite
7 problèmes VoIP courants et comment les résoudre
Une connexion VoIP solide peut faire la différence entre un bon chat et un match de crise. Ces conseils devraient vous aider à résoudre les...
Lire la suite
Diffusez les visioconférences 3CX sur YouTube
La visioconférence 3CX sur la version 18 a été mise à jour pour s'intégrer à YouTube. Les utilisateurs peuvent présenter des vidéoconférences EN DIRECT via YouTube...
Lire la suite
RENCONTREZ JOSH! Le nouveau IA domotique Control4
RENCONTREZ JOSH ! À ce stade, vous avez peut-être interagi avec un assistant vocal ou deux. Ils sont sur votre téléphone, dans des haut-parleurs intelligents et...
Lire la suite
Les meilleurs logiciels de contrôle parental
Dans un monde toujours plus connecté où les écrans numériques ne cessent de proliférer, les enfants sont en première ligne. Que cela soit pour téléphoner,...
Lire la suite
Windows 11 : la build 22557 introduit bel et bien l’avalanche de nouveautés espérées
Microsoft vient de publier une nouvelle mise à jour de Windows 11 à destination des Insiders. La préversion de la build 22557 introduit les dossiers...
Lire la suite
Microsoft met à jour OneDrive sur macOS… et efface tous vos documents stockés localement
N'installez surtout pas la dernière mise à jour de OneDrive sur macOS Monterey. Elle active par défaut une nouvelle option qui risque de vous mettre...
Lire la suite
