Mise à jour sur la faille LastPass – 22 août – 22 décembre

Mise à jour 26 du 3 janvier :

CyberHoot a rédigé un nouveau Article LastPass : La goutte d'eau qui fait déborder le vase pour LastPass séparément avec des critères pour choisir un gestionnaire de mots de passe de remplacement.

23 décembre 2022 Mise à jour 2 :

Naked Security a cet article Ils détaillent leur point de vue sur la faille de LastPass et reconnaissent que des coffres-forts chiffrés ont été volés. Ils ont des commentaires et des informations utiles. Cela a poussé CyberHoot à réfléchir davantage…

Nous avons enregistré nos informations de carte bancaire dans LastPass pour faciliter le remplissage des formulaires. Allons-nous annuler et renouveler nos cartes bancaires ? Personnellement, je ne le ferai pas. Mon mot de passe principal était si long et complexe que l'effort de décryptage requis, selon ce document. indicateur de force du mot de passe du site Web c'était : 7 quadrillions d'années ouf ! Quel soulagement.

23 décembre 2022 : Mise à jour sur la faille de sécurité LastPass de CyberHoot :

LastPass a publié de nouvelles informations suite à sa dernière annonce de faille de sécurité du 30 novembre, dans laquelle sa surveillance a identifié une nouvelle faille (liée à celle d'août). Dans cette mise à jour du 12/22/2022, LastPass admet penser que des coffres-forts de mots de passe clients chiffrés AES 256 bits ont été volés à un tiers. C'est la première fois qu'ils reconnaissent que les données clients étaient en danger. Voici leur point de vue sur la situation :

22 décembre, mise à jour du blog LastPass :  

Si vous utilisez les paramètres par défaut ci-dessus, il vous faudrait des millions d'années pour deviner votre mot de passe principal à l'aide des technologies de craquage de mots de passe généralement disponibles. Vos données sensibles, telles que vos noms d'utilisateur et mots de passe, vos notes sécurisées, vos pièces jointes et vos champs de formulaire, restent chiffrées en toute sécurité grâce à l'architecture Zero Knowledge de LastPass. Aucune action n'est recommandée pour le moment.

Il est toutefois important de noter que si votre mot de passe principal n'utilise pas les valeurs par défaut ci-dessus, le nombre de tentatives nécessaires pour le deviner correctement sera considérablement réduit. Dans ce cas, par mesure de sécurité supplémentaire, pensez à minimiser les risques en modifiant les mots de passe des sites web que vous avez enregistrés.

Alors, qu'est-ce que cela signifie pour vous, utilisateurs de LastPass, ou pour les entreprises qui ont déployé LastPass auprès de leurs utilisateurs ? Beaucoup de travail, en fait.

Évaluation de l'impact de CyberHoot :

Notre personnel sait que ce qui suit est vrai : dans de nombreux environnements LastPass que nous avons supervisés au cours de la dernière décennie, malgré nos vidéos de formation et nos politiques de mots de passe exigeant un minimum de 14 caractères (2 de plus que les valeurs par défaut de LastPass), nous avons vu de nombreux mots de passe principaux qui étaient FAIBLE. Par conséquent, étant donné le manque général d'hygiène des mots de passe forts en général, ces nouvelles informations sur les violations de LastPass obligent CyberHoot à faire les recommandations suivantes à toute personne utilisant LastPass personnellement ou dans votre entreprise :

1. Informez vos utilisateurs de cette violation et déclarez ce qui suit : «Comptez la longueur de votre mot de passe aujourd'hui. Si vous avez utilisé un mot de passe principal de moins de 12 caractères, vous devez le modifier dès aujourd'hui."
2. Si votre mot de passe principal contenait 12 caractères ou plus, vous pouvez suivre les conseils ci-dessous, mais nous ne pensons pas que ce soit absolument nécessaire. Vous pouvez PASSER À L'ÉTAPE 100 CI-DESSOUS. En revanche, si votre mot de passe était plus court, notamment de 3.3 ou 8 caractères ou moins, passez à l'étape 9.
3. Si vous modifiez votre mot de passe principal en raison de la recommandation n°1 ci-dessus, faites-le également CHACUN DES éléments suivants:
   1. 1. Créez un nouveau mot de passe principal de 14 à 20 caractères ! À voir ! Vidéo sur les mots de passe et les phrases de passe CyberHoot pour des conseils utiles.
      2. Modifiez les mots de passe de TOUS VOS COMPTES CRITIQUES stockés dans votre coffre-fort de mots de passe[Remarque : nous entendons bien les protestations collectives concernant cette suggestion. Faites-le quand même.] En effet, si vous possédez un mot de passe court et susceptible d'être attaqué par force brute, tous vos mots de passe pourraient être menacés. Vous disposez d'un court laps de temps avant que les pirates de LastPass ne puissent théoriquement cibler votre coffre-fort et attaquer votre compte par force brute. Par conséquent, par mesure de précaution, modifiez tous les mots de passe critiques de vos comptes afin de les protéger. [Astuce CyberHoot : Modifiez d'abord votre mot de passe de messagerie si vous ne l'avez pas lié à l'authentification multifacteur (AMF).
      3. Activez l'accès multifacteur à votre coffre-fort de mots de passe LastPass.  Utilisez une application d'authentification (il n'est pas nécessaire que ce soit LastPass Authenticator). Les applications d'authentification sont plus sécurisées que l'authentification multifacteur (MFA) par SMS.Note de CyberHootL'activation de l'authentification multifacteur (AMF) ne protège en rien les coffres-forts volés lors de cette faille LastPass. Les voleurs tenteront de s'emparer des coffres-forts de mots de passe uniquement en se basant sur la force (longueur) du mot de passe principal que vous avez défini.
4. Cette étape s'applique à TOUT LE MONDE. Activer Authentification multi-facteurs (MFA), en utilisant une application d'authentification, ou si vous êtes vraiment un fervent défenseur de la sécurité, un Yubikey Jeton matériel, sur tous vos comptes en ligne compatibles MFA. Cela empêcherait même une faille de sécurité LastPass de compromettre vos comptes protégés par MFA. MFA est votre allié. Cela peut parfois paraître pénible, mais en réalité, la souffrance d'une compromission est bien plus grande.  Faites-le aujourd'hui.

Viabilité de CyberHoot LastPass :  Q: CyberHoot pense-t-il que LastPass est une solution viable compte tenu de cette violation et des violations précédentes auxquelles ils ont été confrontés ?

Réponse : Nous ne pouvons pas répondre à cette question. Pour Cyberhoot, nous continuerons d'utiliser LastPass, car nous y sommes pleinement engagés. Nos mots de passe principaux sont bien plus longs que 12 caractères, ce qui rend le vol de notre coffre-fort peu susceptible de révéler quoi que ce soit aux pirates informatiques en question. De plus, aussi douloureux que soit cet épisode pour LastPass, il témoigne de son engagement en matière de transparence et de sécurité.  Il aurait été potentiellement beaucoup plus facile pour eux de cacher cet incident en le balayant sous le tapis.  Ils ne l'ont pas fait. Nous voulons une entreprise transparente, qui admet ses erreurs lorsqu'elles se produisent, qui dispose d'une surveillance avancée pour détecter les incidents de sécurité (comme elle l'a fait dans ce cas précis) et qui en rend compte avec honnêteté et transparence. Nous terminerons par une déclaration que le FBI a longtemps citée, car elle s'applique à TOUTES les entreprises et à TOUS les éditeurs de logiciels de gestion de mots de passe.

"Il existe deux types d'entreprises dans ce monde : celles qui savent qu'elles ont été piratées et celles qui l'ignorent.

Nous savons quand et comment LastPass a été piraté. Savons-nous si d'autres fournisseurs de gestionnaires de mots de passe ont été piratés ?

Transparence totale :  CyberHoot n'a pas gagné un seul centime grâce à LastPass, que ce soit via son programme de parrainage ou autre. Nous avons probablement laissé des milliers de dollars de parrainage de côté, car nous souhaitons rester à l'écart de nos rapports.

Sources:

Article de Naked Security du 23 décembre sur la faille de sécurité de LastPass

Blog LastPass décrivant la violation et sa réponse

Sécurisez votre entreprise avec CyberHoot dès aujourd'hui !!!

S'inscrire maintenant