Les experts en sécurité affirment que certains des coffres-forts de mots de passe LastPass volés lors d’une faille de sécurité vers la fin de 2022 ont maintenant été ouverts suite à une série de vols de crypto-monnaies à six chiffres. Le blogueur en cybersécurité Brian Krebs rapporte que plusieurs chercheurs ont identifié un ensemble d’indices hautement fiables reliant apparemment plus de 150 victimes de vol de crypto-monnaie au service LastPass. Collectivement, plus de 35 millions de dollars de crypto-monnaies auraient été volés jusqu’à présent, avec entre deux et cinq vols de grande valeur survenant chaque mois depuis décembre 2022.
LastPass, un service populaire de gestion de mots de passe, a été victime de deux incidents de sécurité majeurs en 2022, exposant les données personnelles, les informations de facturation et les coffres-forts (contenant les mots de passe et autres secrets) de ses clients. Ces coffres-forts, normalement chiffrés et protégés par le mot de passe maître du client, ont été volés par des cybercriminels qui ont réussi à les déchiffrer en exploitant une vulnérabilité dans un logiciel tiers utilisé par LastPass.
Depuis décembre 2022, plus de 150 victimes de vol de crypto-monnaies ont été identifiées par des experts en sécurité, qui ont établi un lien entre ces attaques et le service LastPass. Taylor Monahan, chef de produit principal de la société de portefeuille crypto MetaMask et l’un des principaux chercheurs enquêtant sur les attaques, a conclu que le fil conducteur reliant les victimes était que presque toutes les victimes avaient utilisé LastPass pour stocker leur phrase secrète (une clé numérique privée nécessaire pour accéder aux investissements en crypto-monnaies). Ces clés sont souvent stockées sur des services chiffrés tels que les gestionnaires de mots de passe pour empêcher les acteurs malveillants d’accéder aux portefeuilles de crypto-monnaies. Le chercheur Nick Bax, directeur des analyses de la société de récupération de portefeuilles crypto Unciphered, a également examiné les données de vol et a souscrit aux conclusions de Monahan lors d’une interview avec KrebsOnSecurity : “Je suis suffisamment convaincu qu’il s’agit d’un problème réel et j’ai exhorté mes amis et ma famille qui utilisent LastPass à changer tous leurs mots de passe et à migrer toute crypto qui aurait pu être exposée, même s’ils savent très bien à quel point cela est fastidieux.” Au total, plus de 35 millions de dollars en crypto-monnaies ont été volés jusqu’à présent, avec entre deux et cinq vols de grande valeur ajoutée se produisant chaque mois depuis décembre 2022. Les fonds volés ont également été transférés vers les mêmes adresses blockchain, renforçant ainsi le lien entre les victimes.
Réaction de LastPass
Le service de gestion de mots de passe LastPass a subi deux failles de sécurité connues en août et novembre de l’année dernière, les pirates informatiques utilisant les informations obtenues lors de la première violation pour accéder au stockage cloud partagé contenant les clés de chiffrement des clients pour les sauvegardes du coffre-fort lors du dernier incident.
Dans un communiqué, Karim Toubba, PDG de LastPass, affirme que la faille de sécurité de novembre dernier fait toujours l’objet d’une enquête en cours par les forces de l’ordre et fait également l’objet d’un litige en cours. La société n’a pas précisé si les violations de LastPass en 2022 étaient liées aux vols de cryptomonnaies signalés.
Les experts en sécurité recommandent aux utilisateurs de LastPass de changer tous leurs mots de passe et de migrer toute crypto-monnaie qui pourrait avoir été exposée, malgré la difficulté que cela représente. Ils conseillent également aux utilisateurs de vérifier régulièrement l’activité de leur compte LastPass et de leur portefeuille de crypto-monnaies, et d’utiliser des mesures de protection supplémentaires telles que l’authentification à deux facteurs ou un coffre-fort hors ligne.
LastPass ou pas/plus LastPass ?
Selon Jeremi Gosney, chercheur en sécurité, il faut s’éloigner de ce gestionnaire en raison de sa longue histoire d’incompétence. Il liste plusieurs raisons pour lesquelles il a perdu toute confiance en LastPass, notamment le manque de chiffrement complet des coffres-forts et l’absence de réactivité de la part de l’entreprise face aux signalements de vulnérabilités.
Steven J. Vaughan-Nichols recommande quant à lui Bitwarden comme alternative, soulignant sa transparence en matière d’audits et de certifications ainsi que son code source ouvert. Bitwarden est un gestionnaire de mots de passe libre d’utilisation sur tous les appareils et navigateurs.
Sources : Taylor Monahan, communiqué LastPass
Et vous ? Que pensez-vous de l’utilisation des gestionnaires de mots de passe comme LastPass pour stocker vos données sensibles ? Quels sont les avantages et les inconvénients de ce type de service ? Peut-on faire confiance aux gestionnaires de mots de passe ? Avez-vous déjà été victime d’un vol de cryptomonnaies ou d’une tentative de phishing ? Si oui, comment avez-vous réagi et quelles mesures avez-vous prises pour vous protéger ? Quelle est votre opinion sur la responsabilité de LastPass dans cet incident de sécurité ? Pensez-vous que la société a fait suffisamment pour informer ses clients et les indemniser ? Quelles sont les meilleures pratiques pour sécuriser vos investissements en crypto-monnaies ? Quels sont les outils ou services que vous recommandez pour gérer vos clés privées et vos portefeuilles ? Comment voyez-vous l’avenir des crypto-monnaies face aux menaces croissantes des cybercriminels ? Pensez-vous que les…
#millions #dollars #crypto #ont #vols #victimes #depuis #dcembre #presque #toutes #les #victimes #taient #des #utilisateurs #LastPass
publish_date] pt]
