La dernière faille annoncée par LastPass inquiète fortement les acteurs de la sécurité. Comme cela arrive souvent, nous sommes dans un flou de sécurité : d’une part, comme LastPass l’a noté, les utilisateurs qui suivraient les meilleures pratiques de LastPass seraient pratiquement exposés à un risque nul, voire extrêmement faible. Cependant, affirmer que les meilleures pratiques en matière de mots de passe ne sont pas suivies est un euphémisme, et la réalité est que très peu d’organisations dans lesquelles ces pratiques sont véritablement appliquées. Cela place les RSSI dans la pire situation, où l’exposition à des compromissions est presque certaine, mais il est presque impossible d’identifier les utilisateurs qui créent cette exposition. Pour accompagner les RSSI dans cette période difficile, chez LayerX, nous avons décidé de lancer un outil gratuit basé sur notre plateforme de sécurité du navigateur, leur permettant de gagner en visibilité et d'atténuer les impacts potentiels de la violation LastPass sur leurs environnements.

Récapitulatif de l'annonce de LastPass : de quelles données disposent les adversaires et quel est le risque ?

Comme cela a été publié dans LastPass site » " L'acteur malveillant a également pu copier une sauvegarde des données du coffre-fort du client à partir du conteneur de stockage crypté, stocké dans un format binaire propriétaire contenant à la fois des données non cryptées, telles que les URL de sites Web, ainsi que des champs sensibles entièrement cryptés tels que le site Web. noms d'utilisateur et mots de passe, notes sécurisées et données remplies de formulaires.

Le risque dérivé est que « l'acteur malveillant peut tenter d'utiliser la force brute pour deviner votre mot de passe principal et décrypter les copies des données du coffre-fort qu'il a prises. » En raison des méthodes de hachage et de cryptage que nous utilisons pour protéger nos clients, il serait extrêmement difficile de tenter de deviner par force brute les mots de passe principaux pour les clients qui suivent notre mot de passe les meilleures pratiques.

Ne pas implémenter les meilleures pratiques de mot de passe LastPass expose le mot de passe principal au coffre-fort

Et cette section sur les « meilleures pratiques » est la plus alarmante. Bonnes pratiques en matière de mot de passe ? Combien de personnes appliquent les meilleures pratiques en matière de mots de passe ? La réponse réaliste – mais malheureuse – est qu’il n’y en a pas beaucoup. Et cela reste vrai même dans le contexte d’applications gérées par l’entreprise. Et lorsqu’il s’agit d’applications personnelles, il n’est pas exagéré de supposer que la réutilisation des mots de passe est la norme plutôt que la valeur aberrante. Le risque introduit par la violation de LastPass s’applique aux deux cas d’utilisation. Comprenons pourquoi.

Le risque réel : accès malveillant aux ressources de l’entreprise 

Divisons les organisations en deux types :

Type A: les organisations dans lesquelles LastPass est utilisé comme politique d'entreprise pour stocker les mots de passe afin d'accéder aux applications gérées par l'entreprise, soit pour tous les utilisateurs, soit dans des services spécifiques. Dans ce cas, le problème est simple : un adversaire qui parvient à déchiffrer ou à obtenir le mot de passe principal LastPass d'un employé pourrait facilement accéder aux ressources sensibles de l'entreprise.

Type B: les organisations où LastPass est utilisé de manière indépendante par les employés (que ce soit pour un usage personnel ou professionnel) ou par des groupes spécifiques de l'organisation, sans connaissances informatiques pour les applications de votre choix. Dans ce cas, le problème est qu'un adversaire qui parvient à déchiffrer ou à obtenir le mot de passe principal LastPass d'un employé profiterait de la tendance des utilisateurs à réutiliser les mots de passe et, après avoir compromis les mots de passe dans le coffre-fort, en trouverait un qui est également utilisé pour accéder aux applications d'entreprise.

L’impasse du RSSI : une menace certaine mais des capacités d’atténuation extrêmement faibles 

Ainsi, quelle que soit la catégorie A ou B d’une organisation, le risque est clair. Ce qui intensifie le défi pour le RSSI dans cette situation, c'est que même s'il existe une forte probabilité – pour ne pas dire une certitude – qu'il y ait des employés dans son environnement dont les comptes d'utilisateurs sont susceptibles d'être compromis, il a une capacité très limitée à savoir qui sont ces employés. sont, et encore moins prendre les mesures nécessaires pour atténuer le risque qu’ils courent.

Offre gratuite LayerX : visibilité à 100 % sur la surface d'attaque LastPass ainsi que des mesures de protection proactives

Nous avons publié un outil gratuit pour aider les RSSI à comprendre l'exposition de leur organisation à la violation LastPass, cartographier tous les utilisateurs et applications vulnérables et appliquer des mesures d'atténuation de sécurité.

Cet outil est fourni comme une extension du navigateur que vos employés utilisent et offre ainsi une visibilité immédiate sur toutes les extensions de navigateur et les activités de navigation de chaque utilisateur. Cela permet aux RSSI d’obtenir les avantages suivants :

  • Cartographie de l'utilisation de LastPass: visibilité de bout en bout sur tous les navigateurs sur lesquels l'extension LastPass est installée, qu'il s'agisse d'une politique d'entreprise (type A) ou utilisée personnellement (type B), et mapper toutes les applications et destinations Web dont les informations d'identification sont stockées dans LastPass. Il convient de noter que les problèmes de visibilité pour les organisations de type B sont beaucoup plus graves que pour les organisations de type A et ne peuvent pratiquement être résolus par aucune solution à l'exception de l'outil de LayerX.
  • Identifier les utilisateurs à risque: en tirant parti de ces connaissances, le RSSI peut informer les utilisateurs vulnérables de mettre en œuvre l'authentification multifacteur sur leurs comptes, ainsi que déployer une procédure dédiée de réinitialisation du mot de passe principal pour garantir l'élimination de la capacité des adversaires à exploiter un mot de passe principal compromis pour un accès malveillant.
  • Protection contre le phishing : Alors que LastPass mettait en garde contre un scénario de Brute Force, la voie la plus probable et la plus rentable pour les attaquants serait de lancer des attaques de phishing pour inciter les employés à le divulguer directement. L'outil de LayerX peut appliquer des politiques permettant de détecter et d'empêcher complètement de telles attaques de phishing, ainsi que de détecter les employés qui réutilisent leur mot de passe principal LastPass pour d'autres applications..

 

Souhaitez-vous en savoir plus sur l'outil gratuit de LayerX ? Remplissez ce formulaire demandez le lien de téléchargement et nous vous l'enverrons