Le progrès <3
Les clients LastPass ont récemment été victimes d’une vague de phishing assez bien conçue pour tromper la vigilance des personnes aguerries. Cette action s’inscrit dans une campagne plus vaste ayant visé d’autres services. Elles ont pour point commun l’utilisation d’une suite d’outils malveillants spécialisés dans l’ingénierie sociale.
En août 2022, LastPass révélait avoir été victime d’une série d’attaques. Bien que l’entreprise ait dans un premier temps caché l’ampleur de l’affaire, la réalité était sombre. Un très grand nombre d’informations avaient été volées, y compris des coffres-forts d’utilisateurs. Des données normalement chiffrées, mais les normes appliquées par LastPass n’étaient alors pas celles recommandées pour des informations aussi sensibles que les mots de passe. Un comportement largement critiqué par les chercheurs en sécurité.
En début d’année dernière, LastPass informait qu’une autre attaque avait eu lieu. Ciblant cette fois l’un des membres du personnel, elle avait permis l’infiltration de sa machine et le vol d’un coffre-fort d’entreprise. L’attaque était basée sur l’ingénierie sociale. Plus récemment, en février, une fausse application LastPass a été supprimée par Apple sur l’App Store. La semaine dernière, l’un des employés de LastPass a été victime d’un appel audio utilisant un deepfake de la voix du PDG de l’entreprise, Karim Toobba.
LastPass reste une cible de choix. Et pas seulement la société : ses clients aussi.
Nouvelle campagne visant les utilisateurs
Les 15 et 16 avril, une partie des clients a été ciblée par une campagne tablant largement sur l’ingénierie sociale.