Les clients LastPass ont récemment été victimes d’une vague de phishing assez bien conçue pour tromper la vigilance des personnes aguerries. Cette action s’inscrit dans une campagne plus vaste ayant visé d’autres services. Elles ont pour point commun l’utilisation d’une suite d’outils malveillants spécialisés dans l’ingénierie sociale.
En août 2022, LastPass révélait avoir été victime d’une série d’attaques. Bien que l’entreprise ait dans un premier temps caché l’ampleur de l’affaire, la réalité était sombre. Un très grand nombre d’informations avaient été volées, y compris des coffres-forts d’utilisateurs. Des données normalement chiffrées, mais les normes appliquées par LastPass n’étaient alors pas celles recommandées pour des informations aussi sensibles que les mots de passe. Un comportement largement critiqué par les chercheurs en sécurité.
En début d’année dernière, LastPass informait qu’une autre attaque avait eu lieu. Ciblant cette fois l’un des membres du personnel, elle avait permis l’infiltration de sa machine et le vol d’un coffre-fort d’entreprise. L’attaque était basée sur l’ingénierie sociale. Plus récemment, en février, une fausse application LastPass a été supprimée par Apple sur l’App Store. La semaine dernière, l’un des employés de LastPass a été victime d’un appel audio utilisant un deepfake de la voix du PDG de l’entreprise, Karim Toobba.
LastPass reste une cible de choix. Et pas seulement la société : ses clients aussi.
Nouvelle campagne visant les utilisateurs
Les 15 et 16 avril, une partie des clients a été ciblée par une campagne tablant largement sur l’ingénierie sociale.
Abonnez-vous pour tout dévorer et ne rien manquer.
Déjà abonné ? Se connecter
Commentaires (40)
#1
-> si je comprends bien, avoir la double authentification suffit à rendre ce genre d'attaque inopérante ? Ça devrait limiter la casse, tout de même ?
#1.1
une fois le mot de passe entrée, la victime est mise en attente, le temps de tester l'info en question, et si besoin de demander à la victime des infos supplémentaire, comme un numéro OTP à fournir, etc.
Historique des modifications :
Posté le 19/04/2024 à 18h19
Lire plus loin dans l'article:
une fois le mot de passe entrée, la victime est mise en attente, le temps de tester l'info en question, et si besoin de faire afficher à la victimes des infos supplémentaire, comme un numéro OTP à fournir, etc.
#1.2
Historique des modifications :
Posté le 19/04/2024 à 18h48
c’est qui le plus inquiétant en fait
#1.3
#1.4
"Notez que le kit ne semble pas être prévu pour gérer des moyens d’authentification plus sophistiqués comme la biométrie ou les clés d’accès (passkeys). Ces dernières ont justement été conçues pour éviter ce genre de problème."
#1.5
#1.6
Et la clé privée ne sort jamais dans un formulaire web.
Historique des modifications :
Posté le 20/04/2024 à 08h24
De ma compréhension du sujet, il y a un échange de clé publique et de clés privée entre le dispositif physique et le site web. Donc pour que cette attaque d'homme fonctionne, il faudrait qu'elle se fasse dès l'inscription du dispositif physique, donc lors de la première inscription.
Et la clé privée ne sort jamais dans un formulaire web.
#1.7
#2
#2.1
Historique des modifications :
Posté le 19/04/2024 à 22h32
Encore un peu plus loin dans l'article :
"Notez que le kit ne semble pas être prévu pour gérer des moyens d’authentification plus sophistiqués comme la biométrie ou les clés d’accès (passkeys). Ces dernières ont justement été conçues pour éviter ce genre de problème."
Posté le 19/04/2024 à 22h32
#2.2
On se méfiance d'un tel lien lorsqu'il est "inattendu", beaucoup moins lorsqu'il est attendu, et dans ce cas, très compliqué de faire autre chose que cliquer dessus. Et encore, je ne parle pas des " protections" style safelinks qui embrouillent encore plus la lecture des liens
#2.3
#2.4
#3
Historique des modifications :
Posté le 19/04/2024 à 21h20
Il y a une chose que je ne saisie pas. Avec un gestionnaire de mot de passe (même LastPass...) un "simili site" devrait être repéré immédiatement puisqu'il ne sera pas reconnu par le gestionnaire. Si l'utilisateur passe outre et va chercher manuellement les informations de connexion du site dans son coffre fort, difficile alors de le classer dans les personnes aguerries non ?
#4
Petit pense-bête : Aucune entreprise ne vous appellera jamais en cas d'anomalie. Pareil aucun intérêt pour une boite de vous aider alors que vous n'avez rien demandé.
Ces gestionnaires de mots de passe cloudés, c'est une aberration totale : Un gestionnaire de mot de passe doit être local, c'est une évidence !
#4.1
#4.2
La différence avec LastPass ou autre est que l'authentification (par ex mdp / certificat / biométrie) est systématiquement faite en local, ce qui sort de ton PC est uniquement le coffre chiffré (a priori) sécurisé.
#4.3
Ctrl v
Assez facile, on apprend ça en cours de techno en 6ème.
#4.5
Le format de ta base de donnée n'étant pas forcément un fichier texte éditable, il faut que tu passes par l'interface de ton outil sur chacun des appareils. C'est tout sauf évident comme problème. Ta réponse est inutilement méprisante.
En plus, quand j'étais en sixième, l'informatique n'était pas enseignée et le copier-coller était à peine inventé (vers 4'20 : vidéo de démonstration de souris et de copie de texte par Douglas Engelbart le 9 décembre 1968 à l'institut de recherche Stanford)
#4.7
Le format de ta base n'est jamais un fichier texte éditable, je prend en exemple la référence du coffre local : keepass. Tu as un fichier, c'est tout.
Donc désolé de te contredire, c'est assez évident, il y a peu de cas où tu ne peux vraiment pas faire de copier d'un appareil à l'autre. Par exemple sur iPhone, mais là si tu voulais du local t'as fais le mauvais choix de smartphone dans ce cas. Ma réponse n'est pas méprisante mais sarcastique. C'est un problème assez simple.
D'autant que, pour répondre à ton autre commentaire https://next.ink/134916/les-clients-lastpass-victimes-dune-attaque-par-phishing-orchestree-grace-a-un-kit-cle-en-main/#comment-archor-2132170 tu peux toujours créer des nouveaux comptes sur un autre appareils, c'est juste que la base y sera la plus récente et donc tu devras la copier sur ton autre appareil ensuite. Et est-ce que les gens créer vraiment beaucoup de nouveaux comptes ? J'ai vérifié chez moi, ils n'ont pas modifié leur base depuis 6 mois le plus récente, un an le plus vieux.
Il y a plus de gens aujourd'hui qui connaissent le Copier / coller que de gens qui l'ignorent.
#4.8
- tu fais comment quand tu ne t'y connais pas assez en informatique pour penser à mettre ton coffre Keepass sur un service cloud ?
=> si tu passes par uniquement un copier-coller, tu perds un temps de dingue si tu n'as pas de PC, et il faut trouver un moyen sécurisé pour partager ton coffre fort de tel à tel ou de tel à tablette
=> si tu passes par un cloud maison... tu passes par le cloud
- tu fais comment pour partager des mdp avec un proche ?
#4.15
« un temps de dingue » ?!? Entre téléphone et tablette tu partages en bluetooth, ça m'a pris 20 secondes là.
Non.
Tu ne partages pas ou alors tu partages le mot de passes par un canal sécurisé.
#4.17
Parce que je me suis trompé, désolé. ^^
Le Bluetooth, c'est pas sécurisé... En plus, c'est probablement plus que 20 secondes si tu comptes tout de la navigation vers le fichier à partager, le partage Bluetooth, la validation côté autre appareil, le déplacement au bon endroit, etc...
Comment ça, non ? Ou alors, pour toi, passer par un auto-hébergement est synonyme de ne pas passer par le cloud ?
Comment fais-tu pour partager les MDP des abonnements à Internet, les courses, Netflix etc avec ton/ta compagne sans galèrer stp ? Parce qu'avant que j'utilise un gestionnaire de mdp en cloud, on faisait juste pas, ce qui mettait l'autre en situation délicate en cas de problème.
#4.18
La portée est très faible, assez pour être considéré comme sécurisé pour du lambda. Et ça m'a pris 20 sec à faire tout ce que tu dis. Le transfert n'a duré que 3 secondes. Ensuite sur l'appareil de réception, lancer l'appli, cliquer sur ouvrir et naviguer vers le fichier c'est très rapide aussi, je ne vois pas dans quel monde tu prend dix minutes à faire ça. Sachant qu'une fois le chemin défini, pas besoin de le refaire même si tu re-copie la base depuis ailleurs (en tout cas j'ai pas eu besoin).
Un cloud maison n'est pas un cloud. Définissons un cloud ? Le cloud c'est l'ordinateur de quelqu'un d'autre, par extension un ordinateur dont tu n'as pas la maîtrise. Donc un cloud maison n'est pas un cloud dans ce sens car tu en as la maîtrise.
Tu partages ton mdp d'abonnement Internet avec quelqu'un ? C'est très bizarre comme besoin.
Les courses ? Genre un compte Carrefour ? Pourquoi ne pas avoir chacun le sien ?
Netflix t'es pas supposé partager ton compte puisque tout le monde doit vivre dans le même foyer, sinon tu utilises l'abonné supplémentaire qui a son propre compte et donc mot de passe. Si c'est ton/ta compagne alors où est le problème ? Tu mets toi-même le mot de passe dans l'application.
#4.19
Excuses-moi, tu as raison : l'auto-hebergement n'est pas du cloud. Par contre, c'est clairement pas à la portée de tout le monde.
Justement, c'est avec ma compagne que je partages certains de mes mdps, comme celui du Drive des courses, par exemple. Avoir un compte chacun pour ça est inutile et improductif.
Le compte Netflix, on le partage puisqu'on a un compte pour le foyer.
Tout ça pour dire que les solutions de gestion de mots de passe en cloud, c'est pas si idiot que ça. 😉
Historique des modifications :
Posté le 24/04/2024 à 15h58
Excuses-moi, par "cloud maison", tu as raison : l'auto-hebergement n'est pas du cloud. Par contre, c'est clairement pas à la portée de tout le monde.
Les courses ? Genre un compte Carrefour ? Pourquoi ne pas avoir chacun le sien ?
Netflix t'es pas supposé partager ton compte puisque tout le monde doit vivre dans le même foyer, sinon tu utilises l'abonné supplémentaire qui a son propre compte et donc mot de passe. Si c'est ton/ta compagne alors où est le problème ? Tu mets toi-même le mot de passe dans l'application.
Justement, c'est avec ma compagne que je partages certains de mes mdps, comme celui du Drive des courses, par exemple. Avoir un compte chacun pour ça est inutile et improductif.
Le compte Netflix, on le partage puisqu'on a un compte pour le foyer.
Tout ça pour dire que les solutions de gestion de mots de passe en cloud, c'est pas si idiot que ça. 😉
#4.20
Je suis on ne peut plus d'accord En revanche, ce que je suggère parfois par rapport à ça, c'est de se rapprocher d'une association ou d'un CHATON pour utiliser des services en lignes, par exemple NextCloud, et du coup la synchronisation peut être faite par ce moyen, plus pratique. Mais là on est sur du cloud effectivement, cela dit j'ai plus confiance en eux qu'à un Amazon ou autre.
Donc pas besoin de partager le mot de passe, tu peux le renseigner, c'est ce que je disais. Idem pour les autres mot de passes finalement puisque visiblement vous êtes dans le même foyer.
Je n'ai pas dit le contraire, ce n'est pas moi qui ait dit que c'était une aberration
En revanche, qu'il n'y ait que trois grosses boîtes que tout le monde utilise c'est forcément une mauvaise idée. Donc là on est sur du : l'idée est bonne, la mise en place est mauvaise. D'où l'importance de ne pas choisir le gros service que tout le monde utilise, voire d'avoir son propre service d'une façon ou d'une autre (auto-hébergement, cloud associatif, ...)
Historique des modifications :
Posté le 25/04/2024 à 10h41
Je suis on ne peut plus d'accord En revanche, ce que je suggère parfois par rapport à ça, c'est de se rapprocher d'une association ou d'un CHATON pour utiliser des services en lignes, par exemple NextCloud, et du coup la synchronisation peut être faite par de moyen, plus pratique. Mais là on est sur du cloud effectivement, cela dit j'ai plus confiance en eux qu'à un Amazon ou autre.
Donc pas besoin de partager le mot de passe, tu peux le renseigner, c'est ce que je disais. Idem pour les autres mot de passes finalement puisque visiblement vous êtes dans le même foyer.
Je n'ai pas dit le contraire, ce n'est pas moi qui ait dit que c'était une aberration
En revanche, qu'il n'y ait que trois grosses boîtes que tout le monde utilise c'est forcément une mauvaise idée. Donc là on est sur du : l'idée est bonne, la mise en place est mauvaise. D'où l'importance de ne pas choisir le gros service que tout le monde utilise, voire d'avoir son propre service d'une façon ou d'une autre (auto-hébergement, cloud associatif, ...)
#4.21
#4.13
-mettre en place un nextcloud sur un serveur local (un raspberry pi peut suffire)
- installer un client nextcloud sur tous les appareils qui vont utiliser Keepass
- créer un coffre fort Keepass sur un pc dans un dossier
- paramétrer nextcloud pour inclure le dossier qui contient Keepass dans les partages = synchro mise en place.
Bonus :
- possibilité de partager avec un autre compte nextcloud (sur le même serveur)
- instant un serveur wireguard sur le raspberry pi pour pouvoir synchroniser le coffre Keepass lorsque à distance
#4.14
Un nextcloud reste un cloud et je ne suis pas sûr que la plupart des gens sait gérer la sécurité d'un nextcloud mieux que des professionnels ce qui est un problème.
#4.4
Historique des modifications :
Posté le 20/04/2024 à 13h22
Je ne crée des comptes que depuis mon pc principal, et avec kdeconnect je selectionne le fichier des mots de passe et je fais "partager -> envoyer vers un périphérique" et ça arrive sur mon portable et/ou mon smartphone
#4.6
#4.9
Mais dans mon cas ça n'arrive jamais
#4.10
Désolé mais on est selon moi, là dans un cas d’utilisation qui me paraît des plus limités et la méthode des plus artisanales. Et qui dit méthode artisanale en systèmes d’information, signifie généralement risque d’erreur amplifié.
Cas d’utilisation des plus limités car une base de secrets/informations sensibles, ça vit. Parce que des éléments s’ajoutent, parce que des éléments existants sont modifiés. Dans un domaine pro particulier ultra sécurisé et restrein en termes d’évolutions, j’imagine que cela peut se concevoir, mais de toute manière dans ce cas on adopte des outils plus adaptés de type cyberark (sans leur faire de pub).
Pour une utilisation plus banale, et vivante, je trouve ton système des plus approximatifs.
Tu indiques que les changements de coffre les plus récents datent de 6 mois sur ta base installée? Je trouve ça curieux.
N’est ce pas parce que le coffre/système n’est en réalité tout simplement pas utilisé ?
#4.11
Je ne suis pas @Pinailleur
Perso le contenu de mon coffre change régulièrement, juste que 99% du temps j'ai pas besoin d'avoir une version hyper récente sur mon smartphone
#4.12
Oups toutes mes confuses
Historique des modifications :
Posté le 21/04/2024 à 14h03
Oups toutes mes confuses
Posté le 21/04/2024 à 14h04
Oups toutes mes confuses
#4.16
Ça c'est pour moi. Si, le système est utilisé puisque des synchronisations ont lieu plusieurs fois par semaines, donc l'application est bien ouverte et la base déverouillée régulièrement.
C'est juste que visiblement, dans ma famille les utilisateurs lambdas ne créent ni ne modifient pas de données pendant de longues périodes. Ce qui pose la question « pourquoi ? »
Ma réponse : parce qu'ils n'en n'ont pas besoin. Ils ont leur mots de passe de spotify-like et netflix-like et youtube-like etc. ainsi que leurs accès administratifs (impôts, ameli, ...) leur email et voilà.
Conclusion, leur cas fonctionne très bien avec la méthode "artisanale" où l'on copie / colle son coffre si on l'a modifié. C'est un peu le meilleur cas que je peux imaginer qui convient avec le no-cloud. Parce que oui on peut mettre un nextcloud chez soi (ET NON, nextcloud chez soi n'est pas un cloud), mais aucun utilisateur lambda ne le fera et ne peut probablement pas le faire.
Historique des modifications :
Posté le 22/04/2024 à 11h35
Ça c'est pour moi. Si, le système est utilisé puisque des synchronisations ont lieu plusieurs fois par semaines, donc l'application est bien ouverte et la base déverouillée régulièrement.
C'est juste que visiblement, dans ma famille les utilisateurs lambdas ne créent ni ne modifient pas de données pendant de longues périodes. Ce qui pose la question « pourquoi ? »
Ma réponse : parce qu'ils n'en n'ont pas besoin. Ils ont leur mots de passe de et etc. leurs codes administratifs pour les impôts, ameli, leur email et voilà.
Conclusion, leur cas fonctionne très bien avec la méthode "artisanale" où l'on copie / colle son coffre si on l'a modifié. C'est un peu le meilleur cas que je peux imaginer qui convient avec le no-cloud. Parce que oui on peut mettre un nextcloud chez soi (ET NON, nextcloud chez soi n'est pas un cloud), mais aucun utilisateur lambda ne le fera et ne peut probablement pas le faire.
#5
Me voilà rassuré.
Mais faut qu´ils donnent des nouvelles plus souvent, sinon on pourrait finir par croire qu´ils ont mis la clé sous la porte après la logique fuite ventre à terre de leur dernier client.
#5.1
#5.2
#5.3
Les pirates, c'est les autres (pour paraphraser Jean-Paul Sartre).