Tutorial LastPass aka l'Emmenthal Suisse

Poster ici les programmes utiles que vous avez découverts
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Tutorial LastPass aka l'Emmenthal Suisse

par Malekal_morte »

LastPass est un programme/service sous forme d'extension sur les navigateurs qui permet de gérer ses identifiants.

Les avantages :
  • La gestion des mots de passe est centralisée, ce qui facilite la gestion.
  • Vous pouvez changer les mots de passe de tous les sites assez rapidement depuis le programme, ce qui est très pratique suite à une attaque virale.
  • Un compte unique qui peux être utilisés sur plusieurs ordinateurs.
  • Le programme permet la saisie de formulaire de manière automatique.
Les désavantages :
  • Les mots de passe sont enregistrés sur un site tiers (de manière sécurisé), il faut donc avoir confiance, si ce dernier se fait pirater, les mots de passe peuvent être récupérés par un tiers. Comme les mots de passe sont centralisés, ils seront tous volés.
Le programme désactive la gestion des mots de passe du navigateur WEB dont les mots de passe peuvent être facilement volés, s'il n'y a pas de mot de passe principal.
Lire : Les liens de téléchargements : Choisissez la langue :
Image

Vous devez ensuite créer un compte avec un mot de passe principal, ce mot de passe sera utilisé pour chiffrer vos mots de passe.
Prenez donc un mot de passe sécurisé et surtout souvenez-vous en!
Cochez les cases afin d'accepter les termes du service.

Image

Vous devez ressaisir le mot de passe principal :

Image

Vous avez ensuite la possiblité d'importer les mots de passe déjà enregistrés dans votre navigateur WEB par défaut.
Image


Le programme ajoute une icone avec un menu déroulant en haut à droite de la barre d'adresse.
Image

Identifiation et gestion de compte

Voici la page de gestion du compte :
Image

Lorsque vous vous identifiez sur un site, on vous propose de retenri le mot de passe.

Image

Saisir le nom du site et éventuellement le groupe auquel vous souhaitez rattacher le site.
Image

Depuis le menu déroulant LastPass : Mon coffre fort LastPass
On retrouve alors le site dans la liste, vous pouvez vous y connecter.
En changeant le mot de passe, cela change celui du compte du site.
Vous pouvez aussi créer des groupes.
Image

Gérer ses identités et pré-saisie des formulaires

Depuis l'onglet Profils de remplissages de formulaires permet de créer des identités qui pourront être saisie de manière automatique par LastPass lors de la création d'un compte sur un site WEB.
Notez que le service peux aussi retenir vos informations bancaires.

Image

Le bouton à gauche "Ajouter profil" permet d'ajouter des profils.
Image

A partir du menu / Formulaire / Identité / Remplir le formulaire.
Vous pouvez saisir de manière automatique le formulaire selon l'identité souhaitée.
Image

Ensuite vous pouvez générer un mot de passe aléatoire et sécurisé.
Une fois l'enregistrement effectué, LastPass va retenir les informations du compte.

Image

Divers

Depuis le menu Historique vous pouvez consulter les actions effectuées sur le compte, identification etc.
Le bouton Export permet d'exporter la liste des sites, utilisateur et mots de passe (en clair).

Image

Notez aussi que vous pouvez aussi vous connecter sur votre compte depuis le site LastPass : https://lastpass.com/
Il y a même un clavier virtuel qui est disponible.
Bien entendu, il faut se connecter depuis un ordinateur dont vous avez confiance.

Image

Depuis son lancement, LastPass a connu de sérieux coups dur. LastPass s'est fait trouer la peau en 2011. Et puis l'été 2015 a été particulièrement chaud puisque la sécurité de LastPass a été compromise ce qui a nécessité des modifications immédiates sur les mots de passe maître des coffres-fort numériques des usagers. En octobre 2015, LastPass s'est fait racheter par son concurrent LogMeIn. En décembre 2015, un kit de phishing près à l'emploi nommé LostPass est diffusé. Suite à ces déboires, il vaudrait peut-être mieux utiliser KeePass même si celui-ci a connu aussi quelques failles.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
astod

Re: Tutorial LastPass

par astod »

Bonjour,
Merci pour ce tuto bien détaillé Malekal_morte, j'utilise Lastpass depuis un bon bout de temps mais je dois dire qu'elles est sous exploitée avec moi, en tous cas merci pour les instructions.
astod
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Tutorial LastPass

par Parisien_entraide »

2022-08-26_135805.jpg


Je remonte un vieux sujet mais Lastpass apparait dans l' actualité


Dans les news :

Source pour d'autres détails : https://www.bleepingcomputer.com/news/s ... urce-code/

Des traces “d'activités non autorisées” sur les serveurs de LastPass ont alerté l'entreprise sur une récente tentative de cyberattaque il y a 2 semaines
Les identifiants et les mots de passe ne semblent pas avoir été compromis, mais cela a permis de voler le code source et les informations techniques propriétaires de l'entreprise.

https://blog.lastpass.com/2022/08/notic ... -incident/


L'intrusion aurait eu lieu début août à travers un compte développeur compromis (mais on ne sait comment)
D'après Laspass, aucune preuve n'indique que le pirate a eu accès aux données clients et au coffre-fort de mots de passe. “Cet incident s'est produit dans notre environnement de développement

LastPass stocke les mots de passe dans des "coffres chiffrés" qui ne peuvent être déchiffrés qu'à l'aide du mot de passe principal d'un client, qui, selon LastPass, n'a pas été compromis dans cette cyberattaque.

A priori donc, pas de crainte à avoir pour ses identifiants stockés, l'entreprise ayant “contenu le problème, mis en œuvre des mesures de sécurité supplémentaires”, et n'aurait “pas été témoin d'autres tentatives d'activité non autorisée”.

Lastpass conseille d'activer l'authentification multifacteur (double authentification) sur les comptes LastPass afin que les pirates ne puissent pas accéder à votre compte même si votre mot de passe est compromis.

Pour rappel le logiciel utilisé par plus de 33 millions d'internautes et 100 000 entreprises à travers le monde.



Historique des attaques contre Lastpass

En 2019
https://www.bleepingcomputer.com/news/s ... xtensions/

En 2021
https://www.bleepingcomputer.com/news/s ... mpromised/
https://www.clubic.com/lastpass/actuali ... ptes.html


A cela on y ajoute
Pourquoi LastPass pourrait risquer une amende de 20 millions dans le cadre du RGPD ?
https://www.clubic.com/gestionnaire-de- ... -rgpd.html
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Tutorial LastPass

par Parisien_entraide »

ExpressVPN viewtopic.php?p=515250#p515250

a conclu un accord avec LASTPASS

Ce qui est intéressant à savoir au delà de l'accord c'est le fait que le PDG de LASTPASS a investi quelques millions de dollars, dans une sté du nom de Wing security située en Israêl, avec d'autres investisseurs liés aux services de renseignements Israélien (Orca Security par ex)
Wing security a été fondée en 2020 par le général de brigade à la retraite Noam Shaar, ancien responsable de la sécurité de l'information des Forces de défense israéliennes (FDI) et le colonel à la retraite Galit Lubitsky, ancien chef des cyber-opérations de Tsahal. Les deux fondateurs ont occupé des postes de direction dans la prestigieuse unité 8200 IDF et ont géré avec succès des cyber-événements au niveau national tout en gérant d'énormes cyber-organisations
On peut se poser des questions...

Il est à noter que LASTPASS suite à son "piratage" dit s'être allié avec une sté de CyberSécurité (non nommée)
Wait and see.. pour savoir de qui il s'agit
.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Tutorial LastPass

par Parisien_entraide »

2022-12-30_112833.jpg


LASTPASS, considéré comme un Emmenthal Suisse dans le milieu de la sécurité, a fait l'actualité ces derniers temps et pas en bien


En Aout dernier (Au 22 aout 2022) on apprenait que le service LastPass avait été victime d'une intrusion dans son système informatique
LastPass avait averti ses clients (par obligation)

https://blog.lastpass.com/2022/12/notic ... -incident/ (lien réactualisé au 22 Décembre 2022)

Comme souligné par de nombreux experts en sécurité, cette date de divulgation n'est pas le fait du hasard, ni une coïncidence, mais plutôt intentionnelle, du fait de cette période, pour que la couverture médiatique soit faible.
Il est dit que "LastPass voulait s'assurer que les nouvelles passaient sous le radar. C'est un geste sournois."

Il est dit aussi que LastPass a tenté d'attirer l'attention sur les 2 hacks comme deux incidents distincts, pour dissimuler le fait qu'ils sont liés l'un à l'autre. En fait, LastPass n'a pas révélé quand la deuxième attaque a eu lieu, et celle ci aurait pu se produire en septembre


Dans ce lien réactualisé on apprend via Karim Toubba, PDG de LastPass, que le hacker malveillant a pu
"copier les sauvegardes des coffres-forts clients contenant à la fois des données chiffrées et des données non chiffrées".

Dans le détail cela concerne des informations de base sur le compte client et les métadonnées associées, notamment

Code : Tout sélectionner

- les noms de société,
- les noms d'utilisateur final, 
- les adresses de facturation, 
- adresses e-mail, 
- numéros de téléphone 
- adresses IP à partir desquelles les clients accédaient au service LastPass. 

Pour résumer : Le coffre-fort LastPass étant précisément l'endroit où sont stockés tous les mots de passe et autres informations de connexion

LastPass n'a pas chiffré les URL.
LastPass a sauvegardé nos coffres sur un fournisseur de stockage cloud tiers


Ce coffre fort contient donc à la fois des données non cryptées, telles que les URL de sites Web, ainsi que des champs sensibles entièrement cryptés tels que les noms d'utilisateur de sites Web. et mots de passe, notes sécurisées et données remplies par formulaire.
Seules les cartes bleues n'ont pas été volées, LastPass ne conservant pas les numéros de ces dernières

Une partie est donc "Cryptée" mais si votre mot de passe principal est faible , facilement devinable vos données sont donc.. Visibles et accessibles

LastPass précise donc que les URL de sites enregistrées dans le coffre-fort ne sont pas chiffrées.

Les adresses web ne représentent pas un danger gravissime en soi, mais elles "peuvent" fournir des informations sensibles sur les sites sur lesquels sont inscrits les utilisateurs, ce qui peut faciliter d'éventuels piratages si ces données sont croisées avec d'autres informations provenant de fuites différentes.

Du reste, le croisement d'infos, c'est la voie qui est adoptée par les pirates et ce bien avant lastPass

Les pirates ont maintenant une liste complète des sites Web pour lesquels vous avez des comptes.
Deuxièmement, les pirates pourront probablement accéder à un petit nombre de sites Web qui mettent des informations sensibles dans l'URL. Troisièmement, cela ouvre la porte aux attaques de phishing.


Comme on peut le voir ici, la communication de LasPass est trompeuse, pleine d'omissions (et/ou mensonges par omission), :
https://palant.info/2022/12/26/whats-in ... explained/

Ensuite comme on peut le lire dans le lien, l'auteur souligne lui aussi qu'il y a des... "curiosités"..

Il est dit "LastPass admet ne pas crypter les URL des sites Web mais ne les regroupe pas sous les « champs sensibles ».
Mais les URL de sites Web "peuvent" être des données très sensibles


Il ne s'agit pas d'une incompétence, d'un oubli, même si l'auteur du lien parle de "negligence" car LastPass a été averti du problème plusieurs fois et ce depuis 2015


D'autres risques décrits dans le lien sont du même tonneau et LastPass a choisi de tout ignorer



Mais il pourrait y avoir pire

Un utilisateur indiquait que 4 de ses portefeuilles de bitcoins étaient compromis.
Son mot de passe utilisait 16 caractères, utilisant TOUS les types de caractères (donc alpha numériques, majuscules/minuscules et autres caractères comme le @ _ % etc
L'utilisateur au fait des problèmes de sécurité a bien signifié qu'il n'utilisait pas des mots transformés et/ou à répétition comme "P@ssw0rdP@ssw0rd"

Pour rappel, seuls la longueur et le caractère aléatoire comptent, pas tant la taille du jeu de caractères.

Cela pourrait signifier que LastPass a une porte dérobée - peut-être involontaire - (on va dire cela..) dans les bases de données de mots de passe auxquelles les pirates accèdent.

Les problèmes de sécurité de LastPass sont traités par Bugcrowd https://wikiless.org/wiki/Bugcrowd?lang=en qui a pour client ..ExpressVPN





MALEKAL dans son test de 2014 indiquait
Les désavantages :

Les mots de passe sont enregistrés sur un site tiers (de manière sécurisée), il faut donc avoir confiance, si ce dernier se fait pirater, les mots de passe peuvent être récupérés par un tiers. Comme les mots de passe sont centralisés, ils seront tous volés.

Déjà j'ai du mal à concevoir le fait " d'offrir", malgré le discours sécurisant, mes données de sécurité, liées à mes données personnelles, à un "Cloud" quel-qu’il soit et surtout étranger


On peut en ajouter une couche avec ce qui est dit ici sur le fait de ne pas utiliser LasPass

https://infosec.exchange/@epixoip/109585049354200263



Je répête ce qui est dit dans le précédent message et fais un copier coller de celui ci, pour bien mettre en avant le fait que


_____________

ExpressVPN viewtopic.php?p=515250&hilit=Express+VPN#p515250 (voir le lien avec KAPE) a conclu un accord avec LASTPASS

Ce qui est intéressant à savoir au delà de l'accord c'est le fait que le PDG de LASTPASS a investi quelques millions de dollars, dans une sté du nom de Wing security située en Israêl, avec d'autres investisseurs liés aux services de renseignements Israélien (Orca Security par ex)

Wing security a été fondée en 2020 par le général de brigade à la retraite Noam Shaar, ancien responsable de la sécurité de l'information des Forces de défense israéliennes (FDI) et le colonel à la retraite Galit Lubitsky, ancien chef des cyber-opérations de Tsahal.

Les deux fondateurs ont occupé des postes de direction dans la prestigieuse unité 8200 IDF et ont géré avec succès des cyber-événements au niveau national tout en gérant d'énormes cyber-organisations


On peut se poser des questions..et c'est pour cela que je ne crois pas à l'incompétence qui est mise en avant par certains sites d'actualités ou d'analyse.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Tutorial LastPass

par Parisien_entraide »

Source et autres détails à
https://www.generation-nt.com/actualite ... ge-2032865


"Anciennement LogMeIn, GoTo propose des solutions cloud de gestion informatique (IT management), de communications unifiées et collaboration. Avec des produits comme GoTo Connect, GoTo Resolve, Rescue, GoToMyPC et autres, GoTo revendique près de 800 000 clients dans le monde.

GoTo est aussi la maison mère du gestionnaire de mots de passe LastPass qui a été la victime d'une importante fuite de données.
À l'origine, une intrusion avait eu lieu sur un service tiers de stockage dans le cloud utilisé à la fois par LastPass et par GoTo.

Le PDG Paddy Srinivasan confirme que les données exfiltrées en novembre l’ont été depuis un service tiers de stockage dans le cloud, lié à plusieurs produits.

Les informations ainsi dérobées peuvent inclure

Code : Tout sélectionner

- les noms de comptes, 
- les mots de passe hachés et salés, 
- une « portion » des réglages MFA (authentification à facteurs multiples), 
- ainsi que des réglages d’applications 
- des informations sur les licences. 
Plusieurs produits sont concernés. Les sauvegardes de Rescue et GoToMyPC n’ont pas été volées, mais il faut considérer que les réglages MFA l’ont été.

Les produits concernés sont Central, Pro, join.me, Hamachi et RemotelyAnywhere.

Le plus inquiétant est que l'attaquant a de plus exfiltré une clé de chiffrement (et donc le nécessaire pour un déchiffrement) concernant une partie des sauvegardes chiffrées.


Ces informations ne sont pas directement liées à LastPass : elles en sont l’extension. L’entreprise n’avait communiqué jusqu’ici que sur le gestionnaire de mots de passe, et la situation était déjà mauvaise.

La mise à jour confirme qu’elle a empiré, puisque d’autres produits de GoTo sont concernés dans les grandes largeurs."
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Tutorial LastPass

par Parisien_entraide »

2024-06-04_125733.jpg

La base de https://haveibeenpwned.com/ s'est enrichie avec un apport massif de données


Troy Hunt a reçu plusieurs colis totalisant 122 Go d'un chercheur en sécurité.

Cela comprend 361 millions d’adresses e-mail différentes, dont 151 millions ne figuraient pas encore dans la base de données

On retrouve par ex la base du "slip Français" dont le vol est récent mais aussi tout ce qui a été volé au gestionnaire de mots de passe "LASTPASS".

viewtopic.php?p=555522#p555522
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Tutorial LastPass

par Parisien_entraide »

2024-06-08_112630.png


Allez hop encore un soucis avec LASTPASS



LASTPASS a subi une panne de 12heures


Les utilisateurs de LastPass ont été soudainement incapables d'accéder à leurs coffres de mots de passe ou de se connecter à leurs comptes, voyant à la place des erreurs « 404 Not Found », qui indiquent généralement qu'une page n'existe pas.

Il était donc impossible de récupérer les informations d'identification enregistrées et à se connecter aux sites.
Même la connexion hors ligne ne fonctionnait pas.

Vers 20 h , LastPass a déclaré avoir résolu le problème, affirmant qu'une mauvaise mise à jour de l'extension Chrome mettait trop de pression sur ses serveurs.

"Nous travaillons dur pour résoudre le problème et travaillons activement à une résolution." (Phrase type de communicant)
https://status.lastpass.com/

Tout au long de vendredi, LastPass a continué avec de nouvelles mises à jour de statut indiquant que les performances sont désormais stables et opérationnelles.

Cependant, les utilisateurs ont continué à se plaindre ce samedi, du fait que depuis qu'ils ont installé la mise à jour du 6 juin, ils n'ont pas pu se connecter à LastPass ou que certaines fonctionnalités ne fonctionnaient pas, ce qui indique que la panne a duré plus longtemps que prévu initialement.

https://chromewebstore.google.com/detai ... oahd?hl=en


On ne sait pas exactement quelles modifications ont été apportées à l'extension Chrome, mais pour que cela affecte les services en ligne de l'entreprise, cela signifiait probablement que l'extension créait trop de requêtes, essentiellement des attaques DDoS sur la plateforme.

Source : https://www.bleepingcomputer.com/news/s ... on-update/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Tutorial LastPass aka l'Emmenthal Suisse

par Parisien_entraide »

2024-12-21_132222.jpg

Cyberattaque contre LastPass : les répercussions s’enchainent, une fortune a disparu



Deux ans après le piratage massif de LastPass, les conséquences de la cyberattaque se font toujours sentir. En exploitant les données volées, des pirates ont en effet pu voler une fortune en cryptomonnaies.
Malgré l’absence de preuve directe selon LastPass, les experts recommandent de migrer vos actifs.


Il y a deux ans, LastPass a été victime d’une série de piratages
. Des cybercriminels ont réussi à dérober un grand nombre de données d’utilisateurs de LastPass, dont des clés de chiffrement des sauvegardes des coffres-forts, ce qui leur a donné accès aux mots de passe.
Plus de 25 millions d’utilisateurs ont été touchés par l’incident.

Alors que LastPass a fini par tirer des leçons des cyberattaques subies, certaines des victimes continuent d’en subir les conséquences. Selon les investigations de ZachXBT, un spécialiste de la blockchain bien connu pour ses enquêtes approfondies, des pirates ont orchestré des vols de cryptomonnaies en s’appuyant sur les données dérobées à LastPass.


5,4 millions de dollars siphonnés
Concrètement, des pirates auraient mis la main sur les clés privées des utilisateurs, qui permettent de sécuriser des portefeuilles sur la blockchain, en fouillant dans leurs coffres-forts sur LastPass. Avec les clés, ils ont pu siphonner tous les actifs numériques détenus sur le wallet. La dernière vague de vol s’est soldée par la disparition de plus de 5,4 millions de dollars en cryptomonnaies, estime ZachXBT.

Par la suite, les cybercriminels ont converti leur butin contre de l’Ether, avant de transférer les fonds sur des plateformes d’échange. Les devises ont alors été échangées contre du Bitcoin. Ces transactions permettent aux pirates de brouiller les pistes, bien qu’il soit facile de retracer les déplacements des fonds sur la blockchain.

Troisième braquage de cryptos suite au hack de LastPass

Ce serait déjà la troisième vague de vol de cryptomonnaies à reposer sur les données volées à LastPass. L’an dernier, 4,7 millions de dollars de cryptomonnaies ont été volés au cours de l’automne, faisant suite à une vague de vols totalisant 35 millions de dollars de butin. Quelques mois plus tard, en février 2024, 6,2 millions de dollars de biens numériques ont été subtilisés dans des attaques analogues. LastPass était le dénominateur commun de toutes les attaques.

De son côté, LastPass estime qu’il n’y a encore aucune preuve que toutes ces cyberattaques découlent directement de son piratage. Dans un communiqué adressé à The Block, LastPass souligne qu’un « an s’est écoulé depuis que les premières réclamations ont fait surface alléguant qu’il y a un lien entre certains vols de cryptomonnaie et les incidents de sécurité LastPass de 2022 ».

« Pendant ce temps, LastPass a mené des investigations sur ces allégations et, à ce jour, aucune preuve concluante n’a établi de lien direct entre ces vols de cryptomonnaies et LastPass. Parce que la sécurité de nos clients et de notre plateforme est une priorité, nous encourageons tous les chercheurs en sécurité disposant de preuves à contacter notre équipe de Threat Intelligence », explique Christofer Hoff, directeur de LastPass.

Par mesure de précaution, on vous recommande tout de même de migrer toutes vos cryptos sur un autre wallet, et de vous servir d’un portefeuille physique, comme un Ledger ou un Trezor, pour sécuriser vos devises. De cette manière, les pirates ne pourront pas s’emparer de vos cryptos, même s’ils ont mis la main sur les clés privées durant le hack de LastPass.

« Je ne saurais trop insister sur ce sujet, si vous pensez que vous avez peut-être déjà stocké votre phrase ou vos clés de départ dans LastPass, migrez immédiatement vos actifs », conseille ZachXBT.

Copier coller de la source
https://www.01net.com/actualites/cybera ... sparu.html
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Programmes utiles »