Les gestionnaires de mots de passe sont des logiciels globalement sûrs pour sécuriser ses codes secrets. En tout cas, la balance des risques / bénéfices est à l’avantage de ces coffres-forts quand on les compare aux options restantes (compter sur sa mémoire ou les écrire dans un calepin). Cependant, le risque zéro n’existe jamais totalement.
En la matière, les éditeurs de ces outils ont une responsabilité maximale pour fournir le plus haut degré de protection et de fiabilité. Cela étant, la qualité de cette sécurité dépend aussi pour partie de l’internaute : or, il n’est pas rare que le maillon le plus faible dans la chaîne de sécurité soit l’usager faisant preuve d’imprudence.
L’entreprise LastPass, qui édite justement un gestionnaire de mots de passe, ne l’ignore pas. Si un particulier livre par mégarde son identifiant et son mot de passe maître (qui sert à déverrouiller le coffre-fort) par inadvertance, cela revient à faire entrer le loup dans la bergerie. L’intrus pourra accéder aux codes secrets et tenter de se connecter aux comptes associés.
Campagne d’hameçonnage contre LastPass
C’est dans ce cadre que LastPass a lancé une communication sur son blog et les réseaux sociaux pour indiquer à sa communauté l’existence d’une campagne hostile qui a démarré il y a peu. Selon ses observations, un kit de phishing (hameçonnage) ciblant spécifiquement LastPass a été découvert, avec un domaine imitant le site légitime.
L’alerte émise par LastPass ne signifie pas que son gestionnaire de mots de passe est actuellement affecté par une faiblesse logicielle ; l’outil n’est pas la victime d’un piratage informatique. Cependant, les internautes courent le risque de se faire berner et de livrer les clés à un tiers malveillant. C’est ici que se situe le danger.
L’avertissement donné par LastPass n’est pas à prendre à la légère, compte tenu de la popularité importante de l’outil — il existe une version gratuite. D’où le message martelé par société : il ne faut communiquer en aucune circonstance son mot de passe maître, y compris au personnel de LastPass. Il est aussi capital que ce code soit unique.
Le mode opératoire de ce phishing a impliqué plusieurs approches. Par SMS, par mail ou même par appel téléphonique (vishing) — cette dernière tactique impliquait de toute évidence une forte capacité d’ingénierie sociale pour berner les victimes, en se présentant comme des employés de LastPass, et ainsi abaisser les barrières de la vigilance.
Les messages factices visaient à orienter les utilisateurs de LastPass sur un domaine bien particulier : help-lastpass.com. Il a été neutralisé, mais d’autres pourraient surgir prochainement, dans la mesure où la campagne est toujours active. Elle mobilise un kit de phishing, CryptoChameleon, qui a été associé au vol de cryptomonnaies.
Les meilleurs Gestionnaires de mots de passe
NordPass
- Nouveau venu sur le secteur
- Même groupe que NordVPN
1Password
- Le plus connu et l’un des plus vieux
- Interface modernisée
Dashlane
- Un gestionnaire français
- Surveille le dark web
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !