La société explique avoir identifié il y a deux semaines « une activité inhabituelle dans certaines parties de son environnement de développement ».
Via un compte développeur compromis, l’attaquant a été en mesure de récupérer des morceaux de code et des informations techniques. « Nos produits et services fonctionnent normalement », précise le CEO de l’entreprise.
Ce dernier affirme n’avoir « aucune preuve » que cet incident aurait permis un accès aux données des clients. D’ailleurs, la société ne recommande aucune action de la part de ses clients pour le moment.
Commentaires (23)
#1
Aie… Décidément LastPass est régulièrement dans la presse pour un problème X ou Y… C’est un poil inquiétant pour un service qui centralise tous les mots de passe. Même si normalement tout est chiffré et que ça ne doit rien compromettre, c’est moche pour eux (et les utilisateurs).
#2
Point 1 : un gestionnaire de mot de passe en ligne, c’est une cible de choix pour un méchant pirate.
Point 2 : effectivement LastPass (tout comme DashLane) a eu des soucis assez sérieux avec la qualité de son code, pointée par Tavis Ormandy.
[taquin]
J’espère que les pirates en auront profité pour améliorer le code existant…
[/taquin]
#3
KeePassX
#3.1
KeePassXC ici 👌
#4
Bitwarden en self hosted
#4.1
Il faut faire gaffe avec le self-hosted. Oui on garde les données chez soit, mais à moins d’un admin sys compétent qui y passe du temps, l’infra sera très probablement moins sécurisée que la version cloud offerte par BitWarden ;)
Il faut bien étudier son modèle de risques !
#5
Un TXT sur le disque dur !
#5.1
La même mais avec une couche de chiffrement symétrique.
#5.2
.txt IRL avec des étoiles régulièrement sur les gros MDP. Où ça me demande réflexion. Même si tu me piques mes post-its en me cambriolant, bonne chance pour me les briser.
#6
Ou vaultwarden, c’est plus léger et gère beaucoup de systèmes de base de données (dont sqlite) :
https://github.com/dani-garcia/vaultwarden
#7
ah… Plex… lastpass…
Vous savez ce qu’il y a de bien avec la centralisation des données persos ?
Non ?
Vraiment pas ?
Alors, pourquoi vous le faites quand même ?
#8
Confier ses mots de passe à un logiciel quelconque et surtout externe, c’est totalement débile !
La sécurité en informatique c’est une chimère.
Faille que j’aime
#9
KeePassXC avec base de données dupliqué sur : nas, mobile, cloud
#10
Du coup, ils vont s’appeler First Pass ?
#11
KeePass pour moi.
#12
KeepassXC for the win (j’imagine qu’on parle du même :p).
En plus il gère super bien la synchro de la DB entre différentes machines via un storage Claude.
Sinon il n’y a en principe aucun problème à se faire dérober du code source, sinon l’open source n’existerait pas et ne serait pas une énorme base pour toute l’IT moderne. Un vendeur de solution de sécu qui croit à la sécu par l’obfuscation, perso c’est
#13
Rien ne vaut le bon vieux post-it sur l’écran
#14
KeePassX ? C’est pour les sites adultes, j’utilise seulement Keepass ?
#15
Quand on a accès au cloud, ca peut être pratique. Mais pour moi c’est inutile : toutes les offres de cloud sont proxytafées par défaut…
#16
Il y’a besoin d’aucune sécurité avec un gestionnaire de mot de passe, au contraire il vaut mieux garder 0 copie nulle part.
En cas de perte, tu recrées une base vierge, et utilise la fonction, j’ai oublié mon mot de passe des sites web. La seule chose à conserver c’est un accès à ses mails.
#16.1
.
…
Euh… C’était faisable en 2002, pas en 2022
#16.2
Je viens de faire la même chose avec mon Bitwarden du boulot et j’en suis à 132…
Pas possible non plus
Sur le gestionnaire à la maison, je dois pas être loin de toi.
#16.3
La synchro cloud ce n’est pas un backup… Perso j’aime bien avoir accès à l’ensemble de mes comptes de n’importe où, quel que soit le device utilisé. Pour ça j’ai juste à avoir mon login/password et ma Yubikey, et je peux me connecter à mon 1Password.