Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

LastPass s’est fait dérober du code source et des informations techniques

LastPass s’est fait dérober du code source et des informations techniques

Le 26 août 2022 à 06h54

La société explique avoir identifié il y a deux semaines « une activité inhabituelle dans certaines parties de son environnement de développement ».

Via un compte développeur compromis, l’attaquant a été en mesure de récupérer des morceaux de code et des informations techniques. « Nos produits et services fonctionnent normalement », précise le CEO de l’entreprise. 

Ce dernier affirme n’avoir « aucune preuve » que cet incident aurait permis un accès aux données des clients. D’ailleurs, la société ne recommande aucune action de la part de ses clients pour le moment. 

Le 26 août 2022 à 06h54

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Aie… Décidément LastPass est régulièrement dans la presse pour un problème X ou Y… C’est un poil inquiétant pour un service qui centralise tous les mots de passe. Même si normalement tout est chiffré et que ça ne doit rien compromettre, c’est moche pour eux (et les utilisateurs).

votre avatar

Point 1 : un gestionnaire de mot de passe en ligne, c’est une cible de choix pour un méchant pirate.
Point 2 : effectivement LastPass (tout comme DashLane) a eu des soucis assez sérieux avec la qualité de son code, pointée par Tavis Ormandy.
[taquin]
J’espère que les pirates en auront profité pour améliorer le code existant…
[/taquin]

votre avatar

KeePassX :francais:

votre avatar

KeePassXC ici 👌

votre avatar

Bitwarden en self hosted :ouioui:

votre avatar

Il faut faire gaffe avec le self-hosted. Oui on garde les données chez soit, mais à moins d’un admin sys compétent qui y passe du temps, l’infra sera très probablement moins sécurisée que la version cloud offerte par BitWarden ;)



Il faut bien étudier son modèle de risques !

votre avatar

Un TXT sur le disque dur ! :mdr:

votre avatar

La même mais avec une couche de chiffrement symétrique.

votre avatar

.txt IRL avec des étoiles régulièrement sur les gros MDP. Où ça me demande réflexion. Même si tu me piques mes post-its en me cambriolant, bonne chance pour me les briser. :8

votre avatar

eglyn a dit:


Bitwarden en self hosted :ouioui:


Ou vaultwarden, c’est plus léger et gère beaucoup de systèmes de base de données (dont sqlite) :
github.com GitHub

votre avatar

ah… Plex… lastpass…



Vous savez ce qu’il y a de bien avec la centralisation des données persos ?
Non ?
Vraiment pas ?
Alors, pourquoi vous le faites quand même ?

votre avatar

Confier ses mots de passe à un logiciel quelconque et surtout externe, c’est totalement débile !



La sécurité en informatique c’est une chimère.



Faille que j’aime

votre avatar

KeePassXC avec base de données dupliqué sur : nas, mobile, cloud

votre avatar

Du coup, ils vont s’appeler First Pass ? :pastaper:

votre avatar

KeePass pour moi.

votre avatar

choukky a dit:


KeePassX :francais:


KeepassXC for the win (j’imagine qu’on parle du même :p).



En plus il gère super bien la synchro de la DB entre différentes machines via un storage Claude.



Sinon il n’y a en principe aucun problème à se faire dérober du code source, sinon l’open source n’existerait pas et ne serait pas une énorme base pour toute l’IT moderne. Un vendeur de solution de sécu qui croit à la sécu par l’obfuscation, perso c’est :non: :non:

votre avatar

Rien ne vaut le bon vieux post-it sur l’écran :D

votre avatar

choukky a dit:


KeePassX :francais:


KeePassX ? C’est pour les sites adultes, j’utilise seulement Keepass ? :transpi:

votre avatar

SebGF a dit:


KeepassXC for the win (j’imagine qu’on parle du même :p).



En plus il gère super bien la synchro de la DB entre différentes machines via un storage Claude.



Sinon il n’y a en principe aucun problème à se faire dérober du code source, sinon l’open source n’existerait pas et ne serait pas une énorme base pour toute l’IT moderne. Un vendeur de solution de sécu qui croit à la sécu par l’obfuscation, perso c’est :non: :non:


Quand on a accès au cloud, ca peut être pratique. Mais pour moi c’est inutile : toutes les offres de cloud sont proxytafées par défaut…

votre avatar

Freeben666 a dit:


Il faut faire gaffe avec le self-hosted. Oui on garde les données chez soit, mais à moins d’un admin sys compétent qui y passe du temps, l’infra sera très probablement moins sécurisée que la version cloud offerte par BitWarden ;)



Il faut bien étudier son modèle de risques !


Il y’a besoin d’aucune sécurité avec un gestionnaire de mot de passe, au contraire il vaut mieux garder 0 copie nulle part.
En cas de perte, tu recrées une base vierge, et utilise la fonction, j’ai oublié mon mot de passe des sites web. La seule chose à conserver c’est un accès à ses mails.

votre avatar

.








Euh… C’était faisable en 2002, pas en 2022 :transpi:

votre avatar

Je viens de faire la même chose avec mon Bitwarden du boulot et j’en suis à 132…
Pas possible non plus :non:



Sur le gestionnaire à la maison, je dois pas être loin de toi.

votre avatar

La synchro cloud ce n’est pas un backup… Perso j’aime bien avoir accès à l’ensemble de mes comptes de n’importe où, quel que soit le device utilisé. Pour ça j’ai juste à avoir mon login/password et ma Yubikey, et je peux me connecter à mon 1Password.

LastPass s’est fait dérober du code source et des informations techniques

Fermer