Cette année interminable tire finalement à sa fin, laissant planer l’espoir que 2021 sera un peu plus clémente à notre endroit. La fin d’année se...
Lire la suite
On continue d’en apprendre davantage sur le piratage de LastPass. D’après une nouvelle révélation, le vol des mots de passe a été rendu possible par la négligence d’un développeur en matière de sécurité informatique.
L’an dernier, LastPass a été victime de deux attaques informatiques. Après enquête, LastPass a découvert que les deux offensives étaient liées. Concrètement, les pirates se sont appuyés sur les données volées lors de la première incursion pour fomenter la seconde violation.
La société a récemment révélé le mode opératoire des hackers dans les détails. Les assaillants ont commencé par infiltrer l’ordinateur personnel d’un des développeurs de LastPass. Grâce à un logiciel d’espionnage, ils se sont emparés des identifiants professionnels de l’ingénieur. Les pirates ont alors pu pénétrer dans un espace de travail partagé dans le Cloud et dérober les clés de chiffrement des sauvegardes des coffres-forts des clients… à l’insu de LastPass.
Une faille Plex remontant à 2020
Pour pénétrer dans l’ordinateur du développeur, les hackers ont exploité une vulnérabilité du code d’un « logiciel multimédia tiers vulnérable », explique LastPass. D’après les informations glanées par PCMag, le logiciel évoqué par LastPass n’est autre que Plex. Le gestionnaire de mots de passe a depuis confirmé qu’il s’agissait bien de Plex.
Nos confrères de PCMag soulignent surtout que la faille de Plex, exploitée par les attaquants pour atteindre les données sensibles de LastPass, remonte à 2020. Interrogé par le média, Plex précise que la brèche à l’origine du désastre a été divulguée publiquement en mai 2020.
D’après Plex, la faille permettait « à un attaquant ayant accès au compte Plex de l’administrateur du serveur de télécharger un fichier malveillant via la fonction de téléchargement depuis la caméra et de le faire exécuter par le serveur multimédia ». L’attaquant pouvait abuser de cette fonctionnalité pour déployer du code malveillant sur l’ordinateur de sa victime, uniquement après avoir pris obtenu un accès au compte Plex du serveur. C’est exactement ce que les pirates de LastPass ont fait dans l’intention d’infiltrer un keylogger, ou enregistreur de frappes, sur le PC de l’ingénieur.
Un développeur négligent
La vulnérabilité a été corrigée dans la foulée par le biais d’une mise à jour. Sur son site web, Plex recommandait à ses utilisateurs d’installer la version 1.19.3 ou ultérieure du logiciel sans tarder pour se protéger d’éventuelles attaques. Malheureusement, le développeur de LastPass a négligé de mettre à jour le logiciel avec le correctif. Depuis mai 2020, Plex a pourtant déployé de nombreuses versions de son logiciel :
« Malheureusement, l’employé de LastPass n’a jamais mis à niveau son logiciel pour activer le patch. Pour référence, la version qui a corrigé cet exploit a été déployée il y a environ 75 versions. Sans plus d’informations et de détails, il n’y a aucun moyen pour nous de spéculer sur la raison pour laquelle cette personne n’a pas mis à jour Plex durant une période aussi longue ».
In fine, le piratage des mots de passe de LastPass aurait pu être évité si l’ingénieur, pris pour cible par les hackers, avait simplement installé les mises à jour de Plex. Il est même fort probable que les attaquants aient décidé de concentrer leurs efforts sur l’ingénieur après avoir découvert la version antérieure de Plex sur son ordinateur.
Pendant des mois, les pirates ont en effet mené des opérations de reconnaissance pour mettre leur plan au point. Au moment de déployer le virus-espion, les attaquants avaient déjà obtenu un accès administrateur au serveur Plex de leur victime. Lors de la phase de reconnaissance, les assaillants ont apparemment étudié tous les points d’entrée sur les systèmes de LastPass. Un ordinateur personnel, connecté à un espace Cloud truffé de données sensibles, et équipé d’une version antérieure et défectueuse d’un logiciel, est rapidement apparu comme la portée d’entrée la plus évidente.
Au vu des retombées de cette négligence, Plex a annoncé des mesures pour encourager ses utilisateurs à installer les mises à jour. La firme californienne va afficher « des notifications via l’interface utilisateur de l’administrateur sur les mises à jour qui sont disponibles ». Si l’internaute continue d’oublier celles-ci, Plex se donne le droit de faire « des mises à jour automatiques » dans certains cas.
Quoi qu’il en soit, l’imprudence du développeur coûte cher à LastPass. En effet, la réputation du gestionnaire de mots de passe a été profondément entachée par le piratage…
Source : PCMag
Un nouveau type d’ordinateur qui échantillonne la lumière atteint la suprématie quantique
Une équipe de chercheurs de l’Université des sciences et technologies de Chine a conçu un nouveau type d’ordinateur quantique, basé sur l’échantillonnage de bosons. Ce...
Lire la suite
Windows 10 : comment afficher le menu Démarrer en plein écran
Réorganisez le menu Démarrer de Windows 10 et modifiez les paramètres du système d’exploitation pour l’afficher en plein écran. Il existe deux écoles en ce...
Lire la suite
Test de la GeForce RTX 3060 Ti : Nvidia crée la surprise avec cette petite carte aux grandes ambitions
C'est la surprise de la fin de l'année : Nvidia dégaine déjà une quatrième GeForce RTX de série 30. Voici venir la RTX 3060 Ti,...
Lire la suite
iPhone : Apple condamné à 10 millions d’euros d’amende pour tromperie sur l’étanchéité
Le régulateur italien de la concurrence a infligé ce lundi une amende de 10 millions d'euros pour des allégations mensongères sur la résistance à l'eau des...
Lire la suite
Microsoft dépose un brevet pour mesurer la qualité des réunions dans une entreprise
Microsoft travaille sur un concept de notation de la qualité d'une réunion en utilisant des paramètres tels que le langage corporel et les expressions faciales...
Lire la suite
Windows 10 pourrait bientôt exécuter nativement les applications Android
Microsoft serait en train de travailler sur une solution permettant de télécharger et de lancer des applications Android dans son système d’exploitation. Utiliser nativement des...
Lire la suite
Comment activer le Dark Mode sur l’appli mobile de Facebook
Facebook a démarré le déploiement du thème sombre sur son application mobile iOS et Android. Voici comment l’activer dès maintenant. Après des mois de test,...
Lire la suite
Vous pourrez bientôt utiliser Windows 10 dans le cloud
Microsoft travaille sur une version de Windows 10 permettant aux utilisateurs d’installer des applications gourmandes pour les streamer sur n’importe quelle machine. Microsoft serait-il en...
Lire la suite
Essais d’alerte au public partout au Canada mercredi
Toutes les organisations provinciales et territoriales de gestion des urgences effectueront ce mercredi des essais d'alerte au public au Canada, sauf au Nunavut. Le Conseil...
Lire la suite
Faites attention à GHIMOB, un logiciel espion qui vise les applications bancaires
La compagnie d’antivirus Kaspersky nous met en garde contre le logiciel malveillant Ghimob. Il s’agit d’un logiciel espion de type cheval de Troie qui, une...
Lire la suite
Android : les nouveaux emojis pourraient arriver séparément des mises à jour système
Vous n’aurez peut-être bientôt plus besoin d’attendre le déploiement d’une mise à jour complète d’Android pour profiter de nouveaux emojis. Google prévoirait de les déployer...
Lire la suite
Un « anti-laser » permettant de recharger un appareil électronique à distance
Malgré l’arrivée des chargeurs à induction, permettant de recharger des appareils électroniques sans connexion physique, la grande majorité des usagers utilise encore des chargeurs filaires...
Lire la suite
Ransomware : presque un tiers des entreprises attaquées paie la rançon
En moyenne, le montant de la rançon est de 1,1 million de dollars. Face aux attaques, les organisations cherchent à blinder davantage leur système d’information. Il...
Lire la suite
L’équipe de Joe Biden est contrainte d’utiliser Google Workspace à cause de Donald Trump
Dans son refus d’accepter sa défaite, le président sortant Donald Trump interdit l’administration de transition de Joe Biden d’accéder à des outils numériques fédéraux sécurisés....
Lire la suite
Protection de nos vies privées : pour Facebook, la stratégie d’Apple est hypocrite
Par lettres interposées, Apple et Facebook se tirent dessus à boulets rouges à propos de la protection des données personnelles. C’est la réponse du berger...
Lire la suite
Le piratage d’octobre aura coûté 2 millions de dollars à la STM
Un peu plus du tiers des serveurs informatiques critiques de la Société de transport de Montréal (STM), soit 600 des 1600 appareils, ont été ciblés...
Lire la suite
Cette nouvelle technologie permet aux caméras de capturer des couleurs invisibles à l’œil humain
Il existe des couleurs autres que celles que nous connaissons et que nous, en tant qu’êtres humains, ne pouvons percevoir, pas plus que les caméras...
Lire la suite
Windows 10 : comment créer un raccourci pour lancer simultanément plusieurs applications?
Lancez simultanément plusieurs programmes sur votre ordinateur à l’aide d’un script s’exécutant en cliquant sur un raccourci. En fonction des tâches que vous réalisez dans...
Lire la suite
La Chine affirme avoir lancé un satellite « 6G »
Le pays va expérimenter les ondes térahertz depuis l’espace avec un satellite dédié. Ces bandes de fréquence pourraient être utilisées dans le cadre d’une future...
Lire la suite
