Le piratage qui provoqua une fuite de données chez le coffre-fort de mots de passe LastPass, a été causé par un employé qui n’avait à la maison plus mis à jour un logiciel externe depuis deux ans déjà.
LastPass avait révélé en août 2022 qu’elle avait la cible de hackers. Initialement, l’entreprise avait assuré qu’aucune donnée ou mot de passe de clients n’avait été dérobé. Mais en décembre, l’entreprise apporta un démenti. Selon elle, les données sont certes sécurisées sur base d’un cryptage AES 256 bits, à moins que quelqu’un ne puisse deviner le mot de passe principal.
A présent, on sait parfaitement comment le piratage a pu avoir lieu. LastPass avait elle-même précédemment déjà expliqué que la cause était à chercher du côté d’un logiciel externe sur le PC d’un employé. En y installant un malware, les frappes au clavier avaient pu être enregistrées. Au départ, rien n’avait cependant filtré sur le logiciel concerné.
75 nouvelles versions
PCMag sait à présent qu’il s’agit d’un bug dans Plex Media Server, un logiciel permettant notamment de transférer vos propres fichiers multimédias vers différents appareils. Mais ce n’est pas là un problème récent. PCMag a appris en effet qu’il est question de CVE-2020-5741, un problème que Plex même avait corrigé en mai 2020 déjà au moyen d’une mise à jour.
L’employé concerné n’avait donc plus actualisé le logiciel depuis plus de deux ans, alors qu’entre-temps, pas moins de 75 nouvelles versions étaient sorties. LastPass a aussi confirmé à PCMag qu’il s’agit de Plex sans donner davantage de détails sur la faille exacte ou sur la raison pour laquelle l’employé n’avait pas effectué les mises à jour.
Si le pirate a accès en tant qu’administrateur, le bug en question peut utiliser la fonction d’upload de la caméra, afin de télécharger du code malveillant. On ignore toutefois comment un accès de type administrateur a été rendu possible.
PCMag souligne combien il est important d’actualiser les logiciels dans un environnement domestique, afin d’éviter ce genre d’incidents. Mais PCMag pointe également du doigt LastPass elle-même pour avoir permis à des employés d’accéder à des données très sensibles au départ de leur ordinateur personnel.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici