L’application de visioconférence vient de déployer officiellement son système de chiffrement end-to-end pour tous les utilisateurs. Découvrez comment l’activer pour mieux protéger vos réunions vidéo....
Lire la suite
On continue d’en apprendre davantage sur le piratage de LastPass. D’après une nouvelle révélation, le vol des mots de passe a été rendu possible par la négligence d’un développeur en matière de sécurité informatique.
L’an dernier, LastPass a été victime de deux attaques informatiques. Après enquête, LastPass a découvert que les deux offensives étaient liées. Concrètement, les pirates se sont appuyés sur les données volées lors de la première incursion pour fomenter la seconde violation.
La société a récemment révélé le mode opératoire des hackers dans les détails. Les assaillants ont commencé par infiltrer l’ordinateur personnel d’un des développeurs de LastPass. Grâce à un logiciel d’espionnage, ils se sont emparés des identifiants professionnels de l’ingénieur. Les pirates ont alors pu pénétrer dans un espace de travail partagé dans le Cloud et dérober les clés de chiffrement des sauvegardes des coffres-forts des clients… à l’insu de LastPass.
Une faille Plex remontant à 2020
Pour pénétrer dans l’ordinateur du développeur, les hackers ont exploité une vulnérabilité du code d’un « logiciel multimédia tiers vulnérable », explique LastPass. D’après les informations glanées par PCMag, le logiciel évoqué par LastPass n’est autre que Plex. Le gestionnaire de mots de passe a depuis confirmé qu’il s’agissait bien de Plex.
Nos confrères de PCMag soulignent surtout que la faille de Plex, exploitée par les attaquants pour atteindre les données sensibles de LastPass, remonte à 2020. Interrogé par le média, Plex précise que la brèche à l’origine du désastre a été divulguée publiquement en mai 2020.
D’après Plex, la faille permettait « à un attaquant ayant accès au compte Plex de l’administrateur du serveur de télécharger un fichier malveillant via la fonction de téléchargement depuis la caméra et de le faire exécuter par le serveur multimédia ». L’attaquant pouvait abuser de cette fonctionnalité pour déployer du code malveillant sur l’ordinateur de sa victime, uniquement après avoir pris obtenu un accès au compte Plex du serveur. C’est exactement ce que les pirates de LastPass ont fait dans l’intention d’infiltrer un keylogger, ou enregistreur de frappes, sur le PC de l’ingénieur.
Un développeur négligent
La vulnérabilité a été corrigée dans la foulée par le biais d’une mise à jour. Sur son site web, Plex recommandait à ses utilisateurs d’installer la version 1.19.3 ou ultérieure du logiciel sans tarder pour se protéger d’éventuelles attaques. Malheureusement, le développeur de LastPass a négligé de mettre à jour le logiciel avec le correctif. Depuis mai 2020, Plex a pourtant déployé de nombreuses versions de son logiciel :
« Malheureusement, l’employé de LastPass n’a jamais mis à niveau son logiciel pour activer le patch. Pour référence, la version qui a corrigé cet exploit a été déployée il y a environ 75 versions. Sans plus d’informations et de détails, il n’y a aucun moyen pour nous de spéculer sur la raison pour laquelle cette personne n’a pas mis à jour Plex durant une période aussi longue ».
In fine, le piratage des mots de passe de LastPass aurait pu être évité si l’ingénieur, pris pour cible par les hackers, avait simplement installé les mises à jour de Plex. Il est même fort probable que les attaquants aient décidé de concentrer leurs efforts sur l’ingénieur après avoir découvert la version antérieure de Plex sur son ordinateur.
Pendant des mois, les pirates ont en effet mené des opérations de reconnaissance pour mettre leur plan au point. Au moment de déployer le virus-espion, les attaquants avaient déjà obtenu un accès administrateur au serveur Plex de leur victime. Lors de la phase de reconnaissance, les assaillants ont apparemment étudié tous les points d’entrée sur les systèmes de LastPass. Un ordinateur personnel, connecté à un espace Cloud truffé de données sensibles, et équipé d’une version antérieure et défectueuse d’un logiciel, est rapidement apparu comme la portée d’entrée la plus évidente.
Au vu des retombées de cette négligence, Plex a annoncé des mesures pour encourager ses utilisateurs à installer les mises à jour. La firme californienne va afficher « des notifications via l’interface utilisateur de l’administrateur sur les mises à jour qui sont disponibles ». Si l’internaute continue d’oublier celles-ci, Plex se donne le droit de faire « des mises à jour automatiques » dans certains cas.
Quoi qu’il en soit, l’imprudence du développeur coûte cher à LastPass. En effet, la réputation du gestionnaire de mots de passe a été profondément entachée par le piratage…
Source : PCMag
UNE VAGUE DE FAUSSES MISES À JOUR DE MICROSOFT TEAMS CACHE UN VIRUS
De fausses publicités faisant la promotion d’une mise à jour du logiciel Microsoft Teams cachent en réalité un logiciel malveillant. Ce dernier cible les entreprises...
Lire la suite
L’importance de décrocher des écrans malgré la pandémie
Depuis le début de la pandémie, de nombreuses personnes ont publié sur les réseaux sociaux des photos de leur pain maison et de leurs 5...
Lire la suite
Consoles : Microsoft lance sa nouvelle Xbox, deux jours avant sa rivale Sony
Le monde du jeu vidéo attendait l'événement depuis des mois : Microsoft met en vente mardi sa nouvelle console Xbox Series, deux jours avant le lancement...
Lire la suite
Les fouilles d’appareils électroniques aux frontières devront être motivées
La Cour d’appel de l’Alberta a récemment rendu un jugement qui renforce le droit à la vie privée des voyageurs en exigeant des agents frontaliers...
Lire la suite
Télétravail en PME : comment rester efficace et compétitif sans trop investir ?
La crise de la COVID-19 et le confinement ont poussé les entreprises vers la pratique massive du télétravail. Épouser cette tendance n’est pas forcément évident...
Lire la suite
Astuces faciles pour accélérer votre PC ou ordinateur portable
Presque tout les utilisateurs d’ordinateur ont ce problème de ralentissement de son PC, où il fonctionne bien et devient soudainement lent et parfois il se...
Lire la suite
La reconnaissance faciale utilisée à l’insu des clients dans des centres commerciaux canadiens
Des caméras « discrètes » dans les bornes d’information numériques ont capturé 5 millions d’images de clients pour alimenter un logiciel de reconnaissance faciale. La compagnie immobilière Cadillac...
Lire la suite
Windows 7 ne meurt jamais, le système d’exploitation pèse toujours 20,4% de parts de marché
La dernière étude NetMarketShare donne Windows 10 grand vainqueur du marché des PC. Néanmoins, Windows 7 vit toujours et représente plus d’un cinquième des machines...
Lire la suite
La fondation Raspberry Pi lance un nouveau nano-ordinateur
Vendu pour 135 dollars, le Raspberry Pi 400 est un ordinateur intégré à un clavier. L'ordinateur, dont le prix est très abordable, pourrait répondre aux...
Lire la suite
Covid-19 : bientôt une application intelligente pour remplacer le test ?
Des chercheurs du MIT ont développé une intelligence artificielle capable d’analyser la manière dont on tousse et de déceler les malades atteints du Coronavirus. Et...
Lire la suite
Télétravail : six conseils pour une sécurité sans faille
En raison du coronavirus, beaucoup de salariés doivent se remettre au télétravail. C’est le moment de vérifier si les mesures de protection à la maison...
Lire la suite
Microsoft propose une mise à jour pour supprimer Adobe Flash Player dans Windows 10
La mise à jour optionnelle KB4577586 permet de supprimer le lecteur Adobe Flash dans Internet Explorer 11 et l'ancienne version du navigateur Edge. Microsoft ne veut plus...
Lire la suite
Windows 10 : comment trouver les fichiers les plus volumineux stockés sur votre PC ?
Libérez rapidement de la place dans votre espace de stockage en recherchant les fichiers les plus volumineux présents sur votre disque dur. Il existe de...
Lire la suite
Premiers tests de la Nvidia GeForce RTX 3070 : une carte 3D au rapport performance-prix incroyable
La GeForce RTX 3070 devait arriver mi-octobre dans les rayons. Mais elle a été retardée pour qu'il y ait davantage de modèles prêts à peupler...
Lire la suite
Apple travaillerait sur son propre moteur de recherche pour éventuellement remplacer Google
Si les autorités américaines invalident la place de moteur de recherche par défaut de Google au sein des iPhone, Apple pourrait le remplacer par son...
Lire la suite
Microsoft : Windows 10X serait finalisé pour le mois de décembre
Windows 10X pourrait être proposé aux constructeurs d'ordinateurs au mois de décembre, pour concurrencer Chrome OS. Microsoft semble avoir résolu les problèmes avec son nouveau...
Lire la suite
Facebook teste une fonction pour vous aider à rencontrer vos voisins
Le réseau social pourrait prochainement vous proposer de renseigner votre adresse pour vous proposer des publications, des groupes ou des objets vendus sur le marketplace...
Lire la suite
La justice américaine va poursuivre Google pour abus de position dominante
C'est peut-être un moment clé de la courte histoire de l'entreprise qui est devenue en seulement 22 ans un mastodonte du Web. Avec, peut-être, un...
Lire la suite
Six agents militaires russes inculpés aux États-Unis pour cyberattaques
Six agents du renseignement militaire russe ont été inculpés aux États-Unis pour des cyberattaques mondiales, qui ont notamment visé les élections en France en 2017...
Lire la suite
