La dernière faille annoncée par LastPass est une source majeure d’inquiétude pour les acteurs de la sécurité. Comme cela arrive souvent, nous sommes dans un vide sécuritaire – d’une part, comme l’a noté LastPass, les utilisateurs qui suivraient les meilleures pratiques de LastPass seraient exposés à un risque pratiquement nul à extrêmement faible. Cependant, dire que les meilleures pratiques en matière de mots de passe ne sont pas suivies est un euphémisme. La réalité est qu’il existe très peu d’organisations dans lesquelles ces pratiques sont réellement appliquées. Cela place les équipes de sécurité dans la pire position, où l’exposition à la compromission est presque certaine, mais il est presque impossible d’identifier les utilisateurs qui ont créé cette exposition.
Pour les aider tout au long de cette période difficile, la solution de sécurité des navigateurs LayerX a lancé une offre gratuite de sa plate-forme, permettant aux équipes de sécurité d’avoir une visibilité sur tous les navigateurs sur lesquels l’extension LastPass est installée et d’atténuer les impacts potentiels de la violation LastPass sur leurs environnements en informer les utilisateurs vulnérables et leur demander de mettre en œuvre l’authentification MFA sur leurs comptes et, si nécessaire, de déployer une procédure de réinitialisation du mot de passe principal dédiée pour éliminer la capacité des adversaires à exploiter un mot de passe principal compromis pour un accès malveillant (Pour demander l’accès à l’outil gratuit, remplissez ce formulaire)
Récapitulatif de l’annonce de LastPass : de quelles données disposent les adversaires et quel est le risque ?
Par LastPass site Internet« L’auteur de la menace a également pu copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage crypté qui est stocké dans un format binaire propriétaire contenant à la fois des données non cryptées, telles que des URL de sites Web, ainsi que des champs sensibles entièrement cryptés tels que noms d’utilisateur et mots de passe de site Web, notes sécurisées et données remplies par formulaire.
Le risque dérivé est que « l’acteur de la menace peut tenter d’utiliser la force brute pour deviner votre mot de passe principal et déchiffrer les copies des données du coffre-fort qu’il a prises ». En raison des méthodes de hachage et de cryptage que nous utilisons pour protéger nos clients, il serait extrêmement difficile de tenter de deviner par force brute des mots de passe principaux pour les clients qui suivent nos meilleures pratiques en matière de mot de passe.
La non-implémentation des meilleures pratiques de mot de passe LastPass expose le mot de passe principal au coffre-fort
La dernière section sur les « meilleures pratiques » est la plus alarmante. Meilleures pratiques de mot de passe ? Combien de personnes maintiennent les meilleures pratiques en matière de mot de passe ? La réponse réaliste – mais malheureuse – est : pas beaucoup. Cela est vrai même dans le contexte d’applications gérées par l’entreprise. En ce qui concerne les applications personnelles, il n’est pas exagéré de supposer que la réutilisation des mots de passe est la norme plutôt que la valeur aberrante. Le risque introduit par la violation de LastPass s’applique aux deux cas d’utilisation. Comprenons pourquoi.
Le risque réel : accès malveillant aux ressources de l’entreprise
Divisons les organisations en deux types :
Type A: Organisations où LastPass est utilisé dans le cadre de la politique de l’entreprise pour la sauvegarde des mots de passe pour accéder aux applications gérées par l’entreprise, que ce soit pour tous les utilisateurs ou dans des services spécifiques. Dans ce cas, le problème est simple : un adversaire qui parvient à déchiffrer ou à obtenir le mot de passe principal LastPass d’un employé pourrait facilement accéder aux ressources sensibles de l’entreprise.
Type B : Organisations où LastPass est utilisé indépendamment par les employés (que ce soit pour un usage personnel ou professionnel) ou par des groupes spécifiques de l’organisation, sans connaissances informatiques, pour les applications de leur choix. Dans ce cas, le problème est qu’un adversaire qui parvient à déchiffrer ou à obtenir le mot de passe principal LastPass d’un employé profite de la tendance des utilisateurs à réutiliser les mots de passe et, après avoir compromis les mots de passe dans le coffre-fort, en trouve un qui est également utilisé pour accéder applications d’entreprise.
L’impasse du RSSI : certaines menaces mais des capacités d’atténuation extrêmement faibles
Qu’une organisation appartienne au type A ou B, le risque est clair. Ce qui intensifie le défi pour le RSSI dans cette situation est que s’il existe une forte probabilité – pour ne pas dire une certitude – qu’il y ait des employés dans son environnement dont les comptes d’utilisateurs sont susceptibles d’être compromis, le RSSI a une capacité très limitée à savoir qui ces employés sont, et encore moins prennent les mesures nécessaires pour atténuer le risque qu’ils imposent.
Offre gratuite LayerX : visibilité à 100 % sur la surface d’attaque LastPass ainsi que des mesures de protection proactives
LayerX a publié un outil gratuit qui aide les équipes de sécurité à comprendre l’exposition de leur organisation à la violation LastPass, cartographie tous les utilisateurs et applications vulnérables et applique des mesures de sécurité.
L’outil de LayerX est fourni en tant qu’extension d’entreprise au navigateur que vos employés utilisent et offre donc une visibilité immédiate sur toutes les extensions de navigateur et les activités de navigation de chaque utilisateur. Cela permet aux RSSI d’obtenir les avantages suivants :
- Cartographie de l’utilisation de LastPass: Visibilité de bout en bout sur tous les navigateurs sur lesquels l’extension LastPass est installée, qu’elle fasse partie de la politique de l’entreprise (type A) ou qu’elle soit utilisée personnellement (type B). L’outil mappe toutes les applications et destinations Web dont les informations d’identification sont stockées dans LastPass. Il convient de noter que les défis de visibilité pour les organisations de type B sont beaucoup plus sévères que pour le type A et ne peuvent être résolus par aucune solution à l’exception de l’outil de LayerX.
 |
| Rapport LastPass de LayerX |
 |
| La notification LayerX envoyée aux utilisateurs vulnérables |
- Identification des utilisateurs à risque : En s’appuyant sur ces connaissances, les équipes de sécurité peuvent informer les utilisateurs vulnérables et leur demander de mettre en œuvre l’authentification MFA sur leurs comptes. Ils peuvent également déployer une procédure dédiée de réinitialisation du mot de passe principal pour éliminer la capacité des adversaires à exploiter un mot de passe principal compromis pour un accès malveillant.
