La nouvelle version de Windows exige la présence d’un module de sécurité de dernière génération. La bonne nouvelle, c’est qu’il est probable que votre ordinateur...
Lire la suite
On continue d’en apprendre davantage sur le piratage de LastPass. D’après une nouvelle révélation, le vol des mots de passe a été rendu possible par la négligence d’un développeur en matière de sécurité informatique.
L’an dernier, LastPass a été victime de deux attaques informatiques. Après enquête, LastPass a découvert que les deux offensives étaient liées. Concrètement, les pirates se sont appuyés sur les données volées lors de la première incursion pour fomenter la seconde violation.
La société a récemment révélé le mode opératoire des hackers dans les détails. Les assaillants ont commencé par infiltrer l’ordinateur personnel d’un des développeurs de LastPass. Grâce à un logiciel d’espionnage, ils se sont emparés des identifiants professionnels de l’ingénieur. Les pirates ont alors pu pénétrer dans un espace de travail partagé dans le Cloud et dérober les clés de chiffrement des sauvegardes des coffres-forts des clients… à l’insu de LastPass.
Une faille Plex remontant à 2020
Pour pénétrer dans l’ordinateur du développeur, les hackers ont exploité une vulnérabilité du code d’un « logiciel multimédia tiers vulnérable », explique LastPass. D’après les informations glanées par PCMag, le logiciel évoqué par LastPass n’est autre que Plex. Le gestionnaire de mots de passe a depuis confirmé qu’il s’agissait bien de Plex.
Nos confrères de PCMag soulignent surtout que la faille de Plex, exploitée par les attaquants pour atteindre les données sensibles de LastPass, remonte à 2020. Interrogé par le média, Plex précise que la brèche à l’origine du désastre a été divulguée publiquement en mai 2020.
D’après Plex, la faille permettait « à un attaquant ayant accès au compte Plex de l’administrateur du serveur de télécharger un fichier malveillant via la fonction de téléchargement depuis la caméra et de le faire exécuter par le serveur multimédia ». L’attaquant pouvait abuser de cette fonctionnalité pour déployer du code malveillant sur l’ordinateur de sa victime, uniquement après avoir pris obtenu un accès au compte Plex du serveur. C’est exactement ce que les pirates de LastPass ont fait dans l’intention d’infiltrer un keylogger, ou enregistreur de frappes, sur le PC de l’ingénieur.
Un développeur négligent
La vulnérabilité a été corrigée dans la foulée par le biais d’une mise à jour. Sur son site web, Plex recommandait à ses utilisateurs d’installer la version 1.19.3 ou ultérieure du logiciel sans tarder pour se protéger d’éventuelles attaques. Malheureusement, le développeur de LastPass a négligé de mettre à jour le logiciel avec le correctif. Depuis mai 2020, Plex a pourtant déployé de nombreuses versions de son logiciel :
« Malheureusement, l’employé de LastPass n’a jamais mis à niveau son logiciel pour activer le patch. Pour référence, la version qui a corrigé cet exploit a été déployée il y a environ 75 versions. Sans plus d’informations et de détails, il n’y a aucun moyen pour nous de spéculer sur la raison pour laquelle cette personne n’a pas mis à jour Plex durant une période aussi longue ».
In fine, le piratage des mots de passe de LastPass aurait pu être évité si l’ingénieur, pris pour cible par les hackers, avait simplement installé les mises à jour de Plex. Il est même fort probable que les attaquants aient décidé de concentrer leurs efforts sur l’ingénieur après avoir découvert la version antérieure de Plex sur son ordinateur.
Pendant des mois, les pirates ont en effet mené des opérations de reconnaissance pour mettre leur plan au point. Au moment de déployer le virus-espion, les attaquants avaient déjà obtenu un accès administrateur au serveur Plex de leur victime. Lors de la phase de reconnaissance, les assaillants ont apparemment étudié tous les points d’entrée sur les systèmes de LastPass. Un ordinateur personnel, connecté à un espace Cloud truffé de données sensibles, et équipé d’une version antérieure et défectueuse d’un logiciel, est rapidement apparu comme la portée d’entrée la plus évidente.
Au vu des retombées de cette négligence, Plex a annoncé des mesures pour encourager ses utilisateurs à installer les mises à jour. La firme californienne va afficher « des notifications via l’interface utilisateur de l’administrateur sur les mises à jour qui sont disponibles ». Si l’internaute continue d’oublier celles-ci, Plex se donne le droit de faire « des mises à jour automatiques » dans certains cas.
Quoi qu’il en soit, l’imprudence du développeur coûte cher à LastPass. En effet, la réputation du gestionnaire de mots de passe a été profondément entachée par le piratage…
Source : PCMag
Comment l’intelligence artificielle pourrait bientôt hacker notre monde
D’après le cryptologue Bruce Schneier, les IA vont avoir la capacité de trouver des failles dans les systèmes de nos sociétés, qu’ils soient financiers, sociaux,...
Lire la suite
De grandes entreprises visent la carboneutralité numérique
Amazon. Netflix. Facebook. De plus en plus d’entreprises cherchent à réduire à zéro leur empreinte carbone numérique, alors que nos activités sur le web à...
Lire la suite
Windows 11 pourrait abandonner Skype au profit de Teams
L'application Skype serait remplacée par Teams comme outil par défaut pour communiquer et pour organiser des réunions virtuelles dans Windows 11. La version préliminaire de Windows...
Lire la suite
Ce nom de réseau Wi-Fi bizarre peut faire planter les iPhone à coup sûr
Le SSID « %p%s%s%s%s%n » a le pouvoir de désactiver de façon permanente la fonction Wi-Fi d’un iPhone. Seule solution : réinitialiser les réglages réseau. Encore une bonne...
Lire la suite
On a joué avec Windows 11 : à quoi ressemble le futur de nos PC ?
Un peu plus d’une semaine avant la présentation officielle du « prochain Windows », une build de ce qui semble être Windows 11 a fuité sur la...
Lire la suite
Windows 11 : Microsoft publie une bande annonce de 11 minutes pour vous faire patienter d’ici le 24 juin
La future mise à jour de Windows 10 portera-t-elle le nom de Windows 11 ? Depuis quelques jours, Microsoft fait tout pour nous laisser croire...
Lire la suite
NE PAS UTILISER SA CARTE DE CRÉDIT LORS DE CES SITUATIONS❌
Si une adresse web ne débute pas par HTTPS En effet, le « s », signifie que le site est sécurisé. L'avocat et membre de...
Lire la suite
QUIC, le protocole de Google pour accélérer le web, est désormais un standard
Vieille de huit ans, la technologie créée par Google pour remplacer le protocole TCP vient de recevoir l'aval de l'IETF. L'organisme américain Internet Engineering Task...
Lire la suite
Apple travaillerait sur un nouveau AirPower et la recharge sans-fil à distance
Malgré l’échec reconnu, en mars 2019, de son AirPower, Apple n’aurait pas abandonné l’idée de sortir une base Qi multi-produits, et il s’essaierait même à...
Lire la suite
Microsoft semble prêt à lancer Windows 11
Microsoft taquine une "nouvelle génération" de Windows depuis des mois maintenant, mais de nouveaux indices suggèrent que la société ne prépare pas seulement une mise...
Lire la suite
Un nouveau processeur rend tout piratage impossible en transformant l’ordinateur en « puzzle aléatoire »
Des chercheurs en informatique ont développé un nouveau processeur ultra-sécurisé, capable de déjouer les attaques des pirates informatiques comme jamais auparavant. Pour cela, il est...
Lire la suite
Intel dévoile un processeur pour ultraportable à 5 GHz, et son premier modem 5G
Intel profite du Computex 2021 pour dévoiler deux nouveaux fleurons Core i5 et Core i7 de sa gamme de puces ultraportables « Tiger Lake ». Il lance...
Lire la suite
Edge est désormais le plus performant des navigateurs sur Windows… selon Microsoft
Le navigateur optimise la gestion de la mémoire et des processus par un lancement en arrière-plan et la mise en hibernation des onglets. Le roi...
Lire la suite
Microsoft dévoilera bientôt « la plus importante mise à jour de Windows de la décennie »
Le système d’exploitation de Microsoft devrait profiter d’une interface revue de fond en comble, d’une nouvelle version du Microsoft Store et probablement de plusieurs nouveautés...
Lire la suite
Cryptomonnaies : les blockchains, réputées inviolables, sont bien vulnérables au piratage
L’essor des cryptomonnaies est principalement basé sur la confiance qu’ont les utilisateurs dans le concept de la blockchain. La complexité du protocole et son processus de vérification...
Lire la suite
Apple dépose un brevet pour afficher des contenus 3D sans lunettes 3D
Un brevet d'Apple montre une technologie pour changer la façon dont les pixels d'un écran sont contrôlés lors de l'affichage d'images séparées pour chaque oeil....
Lire la suite
Tesla n’acceptera plus les bitcoins, trop polluants selon Elon Musk
Elon Musk a annoncé mercredi que Tesla, son entreprise de véhicules électriques, n'acceptait plus le bitcoin comme moyen de paiement, par souci de préservation de...
Lire la suite
Google veut faire passer tout le monde à la double authentification
Les mots de passe seraient la plus grande menace pour notre sécurité informatique, d’après le géant du Web. Il va mettre en place automatiquement une...
Lire la suite
La nouvelle puce 2 nm d’IBM pourrait réduire la consommation d’énergie de 75%
Les exploits dans le domaine des microprocesseurs continuent, et ce malgré le fait que les fameuses lois de Moore — qui veulent un doublement du...
Lire la suite
