Se souvenir de centaines de mots de passe sécurisés n’est pas vraiment possible à moins d’être un savant. Ce qu’il faut faire? Eh bien, les mots de passe sont une excellente alternative, mais ils sont loin d’être universels… donc une sorte de système de gestion des mots de passe est presque essentielle. Mais ceux-ci placent tous vos mots de passe derrière un point de défaillance unique, qui peut devenir une cible pour les pirates. Cela arrive actuellement à LastPass et Bitwarden.
Une vaste campagne de phishing cible ces deux systèmes de gestion de mots de passe multiplateformes populaires, selon un rapport de BleepingComputer. LastPass a confirmé la campagne, qui envoie des e-mails massifs affirmant que les gestionnaires de mots de passe ont été piratés et qu’ils envoient de nouveaux programmes de bureau pour une sécurité accrue. Pour mémoire, il semble que ni LastPass ni Bitwarden n’aient été piratés au moment d’écrire ces lignes (du moins pas récemment). Il s’agit de faux messages essayant de vous inciter à installer un programme d’accès à distance, probablement pour voler vos données.
Il est intéressant de noter que la campagne de phishing de masse utilise des outils d’accès à distance légitimes, Syncro, qui est une alternative à des programmes comme LogMeIn ou Windows Remote Desktop, cachés dans le téléchargement malveillant. BleepingComputer signale également une campagne de phishing apparemment distincte pour 1Password qui a débuté la semaine dernière. Cloudflare a bloqué l’accès à au moins certains des liens contenus dans ces e-mails.
N’oubliez pas que si quelqu’un accède à votre boîte de réception et prétend que vous devez télécharger quelque chose ou vous connecter pour confirmation, vérifiez l’adresse e-mail de l’expéditeur et ne cliquez jamais sur ces liens directs. Consultez la page Web publique de l’entreprise pour vérification et connectez-vous manuellement via une fenêtre, un navigateur ou même un appareil séparé.
