Ce hack LastPass Phishing peut pirater tous vos mots de passe.

Si vous voulez sécuriser votre monde en ligne, le mieux est d’avoir un mot de passe différent pour chaque site et service que vous utilisez et de vous assurer que chaque mot de passe est composé de caractères aléatoires au lieu de mots ou de chiffres familiers. Mais cela crée évidemment un problème : comment exactement sommes-nous censés nous souvenir de tous ces mots de passe compliqués ?

C’est là que les services de gestion de mot de passe comme LastPass entrent en jeu. Vous souvenez simplement d’un mot de passe sécurisé et le service se souvient du reste. Entrez le vrai mot de passe à la première fois, puis le service remplira automatiquement le mot de passe du site que vous visitez.

Cela semble sûr, non ?

LastPass a des mesures de sécurité solides qui empêchent quelqu’un d’être en mesure d’attaquer par la force votre compte et de déverrouiller votre mot de passe principal. Mais maintenant, grâce à de nouveaux sites d’hameçonnage astucieux, vous pourriez involontairement vous passer le mot de passe, ce qui signifie que tous les identifiants de connexion pour chaque service stocké sur LastPass pourraient être piraté.

LostPass : le clone de phishing LastPass qui pourrait tromper tout le monde.

Le développeur Sean Cassidy a créé un outil d’hameçonnage qui clone parfaitement l’invite de connexion LastPass et il a nommé l’outil LostPass . Il détecte quand LastPass est installé sur l’utilisateur, puis affiche un message «session expirée» sur le site d’hameçonnage qui vous invite à vous reconnecter à LastPass.

C’est là que LostPass devient vraiment méchant. Lorsque vous entrez votre nom d’utilisateur et votre mot de passe sur l’écran suivant, LostPass détourne immédiatement votre compte. Le nom d’utilisateur (adresse e-mail) et le mot de passe principal sont envoyés en amont du serveur de l’attaquant, de sorte que l’essentiel des dégâts soit déjà fait.

À ce stade, si vous avez activé l’authentification à deux facteurs sur votre compte LastPass, vous serez invité à entrer votre code de vérification. Comme avec le message « session expirée » et l’invite de connexion, cette interface est pratiquement identique à l’invite officielle de LastPass.

Maintenant LostPass a tout ce qu’il faut pour prendre le contrôle total de votre compte. Il utilise les informations de connexion et le jeton d’authentification à deux facteurs qu’il a volé pour créer une porte dérobée dans votre compte via la fonctionnalité « Contact d’urgence » de LastPass, puis définit le serveur de l’attaquant comme un périphérique sécurisé pour empêcher toute notification par courrier électronique. Pour le dire simplement, tous vos mots de passe sont maintenant compromis, et vous n’avez probablement aucune idée que cela vient de se produire.

Note : Comme Sean l’a déclaré sur son blog , « LastPass nécessite maintenant une confirmation par e-mail pour toutes les connexions de nouvelles adresses IP, ce qui atténue considérablement LostPass, mais ne l’élimine pas. » Donc, c’est une petite chance que vous pourriez être piraté, mais c’est toujours une chance s’il y a un hacker intelligent et persistant derrière son écran.

Comment s’assurer que vous ne vous faites pas tromper ?

LostPass fonctionne parce que c’est presque une réplique parfaite de l’interface officielle de LastPass, mais il y a quelques éléments distinctifs subtils. Selon que vous utilisez Chrome ou Firefox comme navigateur, il existe deux façons de détecter cette attaque de phishing.

Spotting LostPass sur Chrome

Si vous utilisez Chrome comme navigateur, repérer un site d’hameçonnage LostPass a un sens aigu. La seule vraie différence est dans la barre d’URL : l’adresse de l’invite de connexion LastPass commencera par chrome-extension si elle est légitime, mais elle commencera par chrome-extension.pw ou quelque chose de similaire, s’il s’agit d’une tentative d’hameçonnage LostPass.

Spotting LostPass sur Firefox

Une tentative d’hameçonnage serait un peu plus facile à repérer sur Firefox, puisque l’invite de connexion officielle de LastPass est une fenêtre flottante, alors que l’invite d’hameçonnage LostPass est intégrée dans la page Web. L’interface aura l’air pratiquement identique, mais si vous ne pouvez pas déplacer librement la fenêtre contextuelle, vous avez affaire à une tentative d’hameçonnage.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage