Les gestionnaires de mots de passe sont des logiciels globalement sûrs pour sécuriser ses codes secrets. En tout cas, la balance des risques / bénéfices est à l’avantage de ces coffres-forts quand on les compare aux options restantes (compter sur sa mémoire ou les écrire dans un calepin). Cependant, le risque zéro n’existe jamais totalement.
En la matière, les éditeurs de ces outils ont une responsabilité maximale pour fournir le plus haut degré de protection et de fiabilité. Cela étant, la qualité de cette sécurité dépend aussi pour partie de l’internaute : or, il n’est pas rare que le maillon le plus faible dans la chaîne de sécurité soit l’usager faisant preuve d’imprudence.
L’entreprise LastPass, qui édite justement un gestionnaire de mots de passe, ne l’ignore pas. Si un particulier livre par mégarde son identifiant et son mot de passe maître (qui sert à déverrouiller le coffre-fort) par inadvertance, cela revient à faire entrer le loup dans la bergerie. L’intrus pourra accéder aux codes secrets et tenter de se connecter aux comptes associés.
Campagne d’hameçonnage contre LastPass
C’est dans ce cadre que LastPass a lancé une communication sur son blog et les réseaux sociaux pour indiquer à sa communauté l’existence d’une campagne hostile qui a démarré il y a peu. Selon ses observations, un kit de phishing (hameçonnage) ciblant spécifiquement LastPass a été découvert, avec un domaine imitant le site légitime.
L’alerte émise par LastPass ne signifie pas que son gestionnaire de mots de passe est actuellement affecté par une faiblesse logicielle ; l’outil n’est pas la victime d’un piratage informatique. Cependant, les internautes courent le risque de se faire berner et de livrer les clés à un tiers malveillant. C’est ici que se situe le danger.
L’avertissement donné par LastPass n’est pas à prendre à la légère, compte tenu de la popularité importante de l’outil — il existe une version gratuite. D’où le message martelé par société : il ne faut communiquer en aucune circonstance son mot de passe maître, y compris au personnel de LastPass. Il est aussi capital que ce code soit unique.
Le mode opératoire de ce phishing a impliqué plusieurs approches. Par SMS, par mail ou même par appel téléphonique (vishing) — cette dernière tactique impliquait de toute évidence une forte capacité d’ingénierie sociale pour berner les victimes, en se présentant comme des employés de LastPass, et ainsi abaisser les barrières de la vigilance.
Les messages factices visaient à orienter les utilisateurs de LastPass sur un domaine bien particulier : help-lastpass.com. Il a été neutralisé, mais d’autres pourraient surgir prochainement, dans la mesure où la campagne est toujours active. Elle mobilise un kit de phishing, CryptoChameleon, qui a été associé au vol de cryptomonnaies.
Les meilleurs Gestionnaires de mots de passe
NordPass
- Nouveau venu sur le secteur
- Même groupe que NordVPN
1Password
- Le plus connu et l’un des plus vieux
- Interface modernisée
Dashlane
- Un gestionnaire français
- Surveille le dark web
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !