L’année dernière a été particulièrement mauvaise pour le gestionnaire de mots de passe LastPass, car une série d’incidents de piratage a révélé de sérieuses faiblesses dans sa sécurité supposée solide comme le roc. Aujourd’hui, nous savons exactement comment ces attaques de LastPass se sont déroulées — et les faits sont assez époustouflants.
Tout a commencé en août 2022, lorsque LastPass a révélé qu’un acteur menaçant avait volé le code source de l’application. Dans une deuxième attaque, le pirate a combiné ces données avec des informations trouvées dans une autre violation de données, puis a exploité une faiblesse dans une application d’accès à distance utilisée par les employés de LastPass. Cela leur a permis d’installer un enregistreur de frappe sur l’ordinateur d’un ingénieur principal de l’entreprise.
Une fois le keylogger en place, les pirates ont pu récupérer le mot de passe maître LastPass de l’ingénieur au fur et à mesure de sa saisie, ce qui leur a permis d’accéder au coffre-fort de l’employé — et à tous les secrets qu’il contenait.
Ils ont utilisé cet accès pour exporter le contenu du coffre-fort. Parmi les données se trouvaient les clés de déchiffrement nécessaires pour déchiffrer les sauvegardes des clients stockées dans le système de stockage sur le cloud de LastPass.
C’est important, car LastPass conservait des sauvegardes de production et des sauvegardes de bases de données critiques dans le cloud. Une grande quantité de données clients sensibles a également été volée, bien qu’il semble que les pirates n’aient pas été en mesure de les déchiffrer. Une page d’assistance de LastPass détaille exactement ce qui a été volé.
Une transparence douteuse
Heureusement pour les utilisateurs de LastPass, il semble que les données les plus sensibles des clients — telles que (la plupart) les adresses électroniques et les mots de passe — étaient chiffrées à l’aide d’une méthode à connaissance zéro. Cela signifie qu’elles étaient chiffrées avec une clé dérivée du mot de passe principal de chaque utilisateur et inconnue de LastPass. Lorsque les pirates ont volé les données de LastPass, ils n’ont pas pu obtenir ces clés de déchiffrement, car elles n’étaient stockées nulle part par LastPass.
Cela dit, de nombreuses données importantes ont été prises par les acteurs de la menace. Il s’agit notamment de sauvegardes de la base de données d’authentification multifactorielle de LastPass, de secrets API, de métadonnées clients, de données de configuration, etc. En outre, il semble que de nombreux produits autres que LastPass aient également été violés.
Dans une page d’assistance, LastPass a déclaré que la manière dont la deuxième attaque a été menée — en utilisant les détails de connexion d’un véritable employé — l’a rendue difficile à détecter. En fin de compte, l’entreprise a réalisé que quelque chose n’allait pas lorsque son système d’alerte AWS GuardDuty l’a avertie que quelqu’un essayait d’utiliser ses rôles de gestion des identités et des accès dans le cloud pour effectuer des activités non autorisées.
Ces derniers mois, LastPass a fait l’objet de nombreuses critiques concernant sa gestion des attaques, et cette désapprobation n’est pas prête de s’éteindre à la lumière des dernières révélations. En fait, une société de sécurité est allée jusqu’à dire que LastPass n’était pas une application digne de confiance et que les utilisateurs devaient se tourner vers d’autres gestionnaires de mots de passe.
Elle tente de masquer la fuite…
À l’heure actuelle, LastPass tente apparemment de dissimuler ses pages d’assistance aux attaques aux moteurs de recherche en ajoutant le code <meta name="robots" content="noindex"> aux pages. Cela ne fera que rendre plus difficile pour les utilisateurs (et le monde entier) de découvrir ce qui s’est passé, et ne semble guère être fait dans un esprit de transparence et de responsabilité. Rien n’a été publié sur le blog de l’entreprise non plus.
Si vous êtes client de LastPass, il serait peut-être préférable de trouver une autre application.
