[INFO] [PIRATAGE] Le gestionnaire de mot de passe LastPass victime d'une attaque

Cette semaine, nous vous proposons le bulletin INFO envoyé au client du CERT-XMCO suite de vol de données au sein de l’entreprise à l’origine du gestionnaire de mot de passe LastPass.

Bulletin CXA-2015-1909
Titre Le gestionnaire de mot de passe LastPass victime d’une attaque
Titre officiel Mots de passe : LastPass victime d’une attaque
Criticité Criticite Moyenne
Date 16 Juin 2015
Description Le service en ligne de gestion de mot de passe, LastPass, a déclaré avoir été victime d’une intrusion dans son système. Ce service permet de stoker les mots de passe des utilisateurs en les protégeant par un seul mot de passe appelé le mot de passe maître.

L’entreprise a détecté et bloqué une activité douteuse sur son réseau. Son PDG a précisé sur le blog de la société que les adresses email des comptes utilisateurs et les empreintes des mots de passe maîtres avaient été compromis.

LastPass se veut cependant confiant envers ses mesures de sécurité en spécifiant que les empreintes des mots de passe maîtres sont très difficiles à casser. Néanmoins, un mot de passe faible ou trivial pourra être découvert par les attaquants.

La société a averti tous ses utilisateurs par email en leur recommandant de changer leur mot de passe maître ainsi que d’activer une authentification multifactorielle.

Le CERT-XMCO recommande d’utiliser un gestionnaire de mot de passe local tel que le logiciel KeePass.

Référence http://www.zdnet.fr/actualites/mots-de-passe-lastpass-victime-d-une-attaque-39820860.htm
https://blog.lastpass.com/fr/2015/06/lastpass-security-notice.html/

Adrien Guinault

Découvrir d'autres articles

  • conflit israélo-palestinien
    Cyber Threat Intelligence

    Retour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien

    Lire l'article
  • Veille / Vulnérabilités

    Exploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing

    Lire l'article
  • Veille / Vulnérabilités

    10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA

    Lire l'article