Juste au moment où nous pensions que le piratage de LastPass était derrière nous, la société a sorti un nouvelle mise à jour sur son enquête sur la faille de sécurité. La mise à jour révèle que les acteurs de la menace responsables du piratage ont non seulement volé les données des utilisateurs, y compris les mots de passe, mais ont également eu accès aux serveurs cloud d’Amazon AWS où LastPass a stocké leurs sauvegardes et les données de coffre-fort chiffrées.
Selon LastPass, les acteurs de la menace ont ciblé l’ordinateur personnel d’un ingénieur DevOps et ont exploité une vulnérabilité de sécurité dans un progiciel multimédia tiers. Cela a permis aux acteurs de la menace d’exécuter du code à distance et d’installer des logiciels malveillants d’enregistreur de frappe sur l’ordinateur de l’ingénieur. Grâce à cet accès, ils ont capturé le mot de passe principal de l’ingénieur, qui a été saisi après que l’ingénieur s’est authentifié avec l’authentification multifacteur (MFA).
Avec le mot de passe principal, les acteurs de la menace ont eu accès au coffre-fort d’entreprise LastPass de l’ingénieur. Ils ont ensuite exporté le contenu du coffre-fort de l’entreprise, obtenu des notes sécurisées chiffrées, les clés d’accès et de déchiffrement nécessaires pour accéder à diverses ressources de stockage basées sur le cloud, y compris les sauvegardes de production AWS S3 LastPass et certaines sauvegardes de bases de données critiques.
Réponse de LastPass à l’attaque
En réponse à l’attaque , LastPass a pris plusieurs mesures pour prévenir de futures violations, notamment en aidant l’ingénieur à renforcer la sécurité de son réseau, en ajoutant l’authentification multifacteur à accès conditionnel par code PIN de Microsoft, en faisant tourner les certificats SAML critiques utilisés pour le service interne et externe et en révoquant les certificats obtenus par les pirates. En outre, la société a également conseillé à ses utilisateurs de modifier leurs mots de passe stockés sur la plate-forme ainsi que leur mot de passe principal pour le coffre-fort LastPass.
Cependant, cet incident rappelle que même les systèmes les plus sécurisés ne sont pas totalement insensible aux cyberattaques. Il est essentiel de suivre les meilleures pratiques en matière de sécurité en ligne, telles que l’utilisation de mots de passe forts et uniques, l’activation de l’authentification à deux facteurs et la mise à jour des logiciels et des systèmes d’exploitation. Et, pour ceux qui ont du mal à se souvenir de leurs mots de passe, un gestionnaire de mots de passe comme 1Password peut être utile.
