Name: Tremplin Numérique
Price range: $$$

LastPass est toujours aux prises avec la violation de données de l’année dernière, qui a révélé les informations personnelles et les mots de passe de certains clients. Mais de nouvelles informations sur cette histoire nous rappellent pourquoi chaque utilisateur d’ordinateur et chaque entreprise doit prendre la sécurité au sérieux.

Le 28 février, LastPass a finalement expliqué comment sa violation de données s’était produite. Un pirate a d’abord ciblé un « logiciel multimédia tiers vulnérable » sur l’ordinateur personnel d’un ingénieur DevOps, installant un enregistreur de frappe pour collecter le mot de passe principal de l’employé. Ce DevOp se trouve être l’un des quatre employés de LastPass qui peuvent accéder au coffre-fort de l’entreprise, il est donc prudent de supposer qu’il s’agissait d’un piratage ciblé.

Oui, l’employé visé par ce piratage possédait un ordinateur portable d’entreprise (qui a depuis été remplacé). Certains rapports indiquent que l’employé a utilisé son ordinateur personnel pour accéder aux ressources de travail, bien que cela n’ait pas été confirmé par LastPass.

Voici la chose intéressante; le « logiciel multimédia tiers vulnérable » exploité dans ce piratage était Plex. Les premières nouvelles de l’implication de Plex sont venues avec l’aimable autorisation de leakers (via Ars Technica), mais a ensuite été confirmé par Plex le 1er mars.

Quand le Ars Technica rapport est sorti, Plex a déclaré qu’il n’avait pas été contacté par LastPass. Mais les choses ont changé : LastPass indique à Plex que la vulnérabilité exploitée était CVE-2020-5741. Plex raconte Avis Geek que cet exploit a été divulgué et corrigé en mai 2020, au moins 2,5 ans avant la violation de LastPass.

De toute évidence, l’employé LastPass ciblé a négligé de mettre à jour son serveur Plex pendant au moins deux ans. Il y a eu près de 75 mises à jour Plex depuis que l’exploit CVE-2020-5741 a été corrigé. Il s’agit d’un grave échec de la sécurité personnelle et de l’entreprise ; comme le note Plex, les notifications de mise à jour sont fournies « via l’interface utilisateur d’administration » et les mises à jour automatiques sont assez courantes.

Mais d’une certaine manière, cet échec est en quelque sorte compréhensible. Certaines mises à jour de Plex doivent être effectuées manuellement et, comme tout utilisateur de Plex le sait, ces mises à jour peuvent introduire des problèmes ou vous obliger à refaire certaines des métadonnées de votre médiathèque. L’employé de LastPass ciblé dans ce hack n’a peut-être pas réalisé qu’une mise à jour devait être installée manuellement (bien qu’il y ait une chance qu’il ait intentionnellement évité la mise à jour).

Prenez cela comme une leçon; n’importe quelle partie d’un réseau peut compromettre votre sécurité, ou même la sécurité des autres. Vous devez maintenir les produits à jour et si un appareil de votre domicile souffre d’un exploit non corrigé, vous devez le mettre hors ligne. (En outre, Plex doit améliorer son processus de mise à jour. Je le sais par expérience.)

Malheureusement, les entreprises technologiques ne savent pas comment montrer l’exemple. LastPass porte la responsabilité ici, et il a les antécédents pour prouver qu’il ne peut pas prendre la sécurité au sérieux. Nous avons contacté LastPass pour un commentaire et attendons une réponse.

Source : Last Pass, Plex