Incident de sécurité de LastPass
Suite à une divulgation de violation de données qui dure depuis des mois, LastPass affirme que le même attaquant a piraté l’ordinateur d’un employé et volé un coffre-fort de mots de passe déchiffré.
La société a signalé un incident de sécurité en août 2022, affirmant qu’une partie non autorisée avait gagné accès à un service de stockage tiers basé sur le cloud que LastPass utilise pour stocker les sauvegardes archivées. Certaines données client ont été consultées, mais LastPass a déclaré que les mots de passe restaient sûrs grâce à son architecture cryptée.
Maintenant, dans un rapport mardi , la société a déclaré que le même attaquant avait piraté l’ordinateur personnel d’un employé et volé un coffre-fort déchiffré accessible uniquement à une poignée de développeurs de l’entreprise. Le coffre-fort donnait accès à un environnement de stockage cloud partagé contenant des clés de chiffrement pour les sauvegardes de coffre-fort client stockées dans des compartiments Amazon S3.
“Cela a été accompli en ciblant l’ordinateur personnel de l’ingénieur DevOps et en exploitant un progiciel multimédia tiers vulnérable, qui a permis la capacité d’exécution de code à distance et a permis à l’acteur de la menace d’implanter un logiciel malveillant d’enregistreur de frappe”, a écrit LastPass.”L’acteur de la menace a pu capturer le mot de passe principal de l’employé tel qu’il a été saisi, après que l’employé s’est authentifié avec MFA, et accéder au coffre-fort d’entreprise LastPass de l’ingénieur DevOps.”
Selon le rapport de lundi, les tactiques, techniques et processus du premier événement étaient distincts de ceux utilisés lors du deuxième incident. En conséquence, il n’était pas évident pour les enquêteurs que les deux étaient liés.
Le pirate a exploité les données du premier événement pour exfiltrer les données conservées dans les compartiments S3 lors du deuxième incident. Amazon avait remarqué un”comportement anormal”lorsque l’attaquant a tenté d’utiliser les rôles Cloud Identity and Access Management (IAM) pour effectuer l’activité non autorisée et a notifié LastPass.
En décembre, le PDG de LastPass, Karim Toubba, a déclaré que le pirate avait copié des données à partir de sauvegardes contenant des informations sur les comptes clients et des métadonnées associées, notamment des noms d’entreprise, des noms d’utilisateurs finaux, des adresses de facturation, des adresses e-mail, des numéros de téléphone et des adresses IP..
Le pirate a également créé une copie des données du coffre-fort client, bien que LastPass ait déclaré qu’elles étaient”stockées dans un format binaire propriétaire”. La société affirme qu’il serait très peu probable que les pirates puissent déchiffrer les données, mais a averti les utilisateurs qu’ils pourraient être la cible d’attaques de phishing ou d’ingénierie sociale.
Les utilisateurs doivent mettre à jour leur mot de passe principal, qui les connecte à leur coffre-fort, ainsi que leurs mots de passe pour les sites Web et autres connexions, par précaution, même si LastPass a affirmé que les informations d’identification des clients étaient cryptées et sécurisées. De plus, les utilisateurs peuvent passer à un autre gestionnaire de mots de passe, tel que iCloud Keychain, Bitwarden ou 1Password.
Sécurité LastPass
LastPass a affirmé qu’il faudrait des millions d’années pour déchiffrer le mot de passe principal d’un utilisateur, mais un concurrent pense que cela ne prendra qu’une fraction de ce temps et peut être complété pour seulement 100 $. Dans un article de blog, le principal architecte de la sécurité de 1Password, Jeffrey Goldberg, a écrit que LastPass n’en faisait pas assez pour sécuriser les données des clients.
“Si vous considérez tous les mots de passe à 12 caractères possibles, il y a environ 2^72 possibilités. Il faudrait plusieurs millions d’années pour tous les essayer. En fait, cela prendrait beaucoup plus de temps”, écrit-il..”Mais les gens qui déchiffrent les mots de passe créés par l’homme ne le font pas de cette façon. Ils configurent leurs systèmes pour essayer d’abord les mots de passe les plus probables.”
LastPass a déjà fait l’objet de critiques pour des procédures de sécurité douteuses. En décembre 2021, les membres de LastPass ont signalé plusieurs tentatives de connexion en utilisant des mots de passe principaux corrects à partir de divers endroits.
La société a assuré à ses clients que les attaques résultaient de fuites de mots de passe lors de violations par des tiers. Et en février 2021, un chercheur en sécurité a trouvé sept trackers dans l’application Android LastPass pour l’analyse des applications.