Discussion :

[diabolos29]

La solution de stockage des mots de passe, ça dépend avant tout du cas d'usage. Chaque solution présente des avantages et des inconvénients. Une solution en ligne, ça préserve aussi des aléas qui peuvent subvenir sur les terminaux utilisateur. Pour ça, en théorie du moins, LastPass et les autres répondent à la problématique. Le problème ici, c'est le niveau de confiance que l'on peut accorder à ce tiers pour gérer nos secrets.

Mon cas d'usage à moi fait que j'ai opté pour un stockage local au travers d'un trousseau Keepass (clé unique complexe) synchronisé avec une instance perso de Nextcloud (c'est un peu plus complexe que ça en fait mais c'est l'idée). Cette solution convient aussi parce que je suis l'unique utilisateur de ce trousseau...

[smarties]

Ma solution est VaultWarden + BitWarden.

Le serveur VaultWarden est disponible sur mon NAS uniquement depuis mon réseau local (accès à l'API via HTTPS). Mes appareils (PC, smartphone, portable) se synchronisent donc lorsque je suis chez moi.

[highway2009]

Ma solution c'est keepass avec une synchronization peer-to-peer grâce à Syncthing, donc pas de cloud. Aucun service, pas de compte, pas de single point of failure.
Sur Mac et Linux j'utilise KeePassXC, et sur iOS KeePassium (open source, bonne intégration avec iOS) + Möbius Sync comme client Syncthing.

[Bill Fassinou]

LastPass affirme que le piratage de l'ordinateur d'un ingénieur DevOps a conduit à la brèche dans la sécurité en 2022
et aurait rendu difficile la détection de l'activité de l'acteur de la menace

LastPass a déclaré lundi que la cyberattaque de l'année dernière, qui a conduit à l'exfiltration des données sensibles des clients, avait été causée par des informations d'identification volées à un ingénieur DevOps sénior. L'acteur de la menace aurait mené cette cyberattaque en utilisant les informations volées lors d'une violation en août, des informations provenant d'une autre violation de données et une vulnérabilité d'exécution de code à distance pour installer un keylogger sur le PC de l'ingénieur. LastPass est sous le feu des critiques depuis cet incident et certains conseillent même d'abandonner le gestionnaire de mots de passe.

LastPass a été confronté l'an dernier à une série d'attaques qui a compromis les données sensibles de ses utilisateurs. Certaines déclarations de la société en décembre dernier ont fait l'effet d'une bombe et attisé l'ire des clients et d'autres acteurs de la communauté. En effet, LastPass avait déjà été victime d'une violation de données jugée "mineure" en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusives. Les pirates avaient pu copier des parties du code source et certaines informations techniques propriétaires de LastPass.

L'entreprise a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés. Cependant, en décembre, LastPass a publié une mise à jour sur la brèche de sécurité et a déclaré que les pirates avaient réussi à accéder aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses email, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux différents services du gestionnaire de mots de passe.

Les pirates auraient également copié une sauvegarde des données du coffre-fort client qui comprenait des informations non chiffrées telles que des URL de sites Web et des champs de données chiffrées (comme des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données de formulaires). « Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a déclaré le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme.

La société a révélé lundi comment l'acteur de la menace a mené cette attaque, déclarant qu'ils ont utilisé les informations volées lors d'une violation en août, des informations provenant d'une autre violation de données et une vulnérabilité d'exécution de code à distance pour installer un keylogger sur l'ordinateur d'un ingénieur DevOps sénior. Selon LastPass, cette deuxième attaque coordonnée a utilisé les données volées lors de la première violation pour accéder aux coffres chiffrés Amazon S3 de l'entreprise. Comme seuls quatre ingénieurs DevOps de LastPass avaient accès à ces clés de déchiffrement, l'acteur de la menace a ciblé l'un des ingénieurs.

Finalement, l'acteur de la menace a réussi à installer un keylogger (enregistreur de frappes) sur l'appareil de l'employé en exploitant une vulnérabilité d'exécution de code à distance dans un logiciel multimédia tiers. « L'acteur de la menace a pu capturer le mot de passe principal de l'employé au moment de la saisie, après que l'employé se soit authentifié avec MFA, et accéder au coffre-fort d'entreprise LastPass de l'ingénieur DevOps. Les acteurs de la menace ont ensuite exporté les entrées natives du coffre-fort d'entreprise et le contenu des dossiers partagés », indique un nouvel avis de sécurité publié lundi par LastPass sur son site Web.

Selon l'avis, ces derniers contenaient des notes sécurisées chiffrées avec les clés d'accès et de déchiffrement nécessaires pour accéder aux sauvegardes de production AWS S3 LastPass, à d'autres ressources de stockage dans le cloud et à certaines sauvegardes de base de données critiques connexes. L'utilisation d'identifiants valides a rendu difficile la détection de l'activité de l'acteur de la menace par les enquêteurs de l'entreprise, ce qui a permis au pirate d'accéder aux serveurs de stockage dans le cloud de LastPass et d'y voler des données - personnelles et d'entreprises - sur une période de plus de deux mois, entre le 12 août 2022 et le 26 octobre 2022.

LastPass a finalement détecté le comportement anormal par le biais des alertes AWS GuardDuty lorsque l'acteur de la menace a tenté d'utiliser les rôles IAM (Identity and Access Management) du cloud pour effectuer une activité non autorisée. La société note également qu'elle a depuis mis à jour sa posture de sécurité, notamment en faisant tourner les informations d'identification sensible et les clés/jetons d'authentification, en révoquant les certificats, en ajoutant une journalisation et des alertes supplémentaires et en appliquant des politiques de sécurité plus strictes. L'avis donne également plus d'informations sur le nombre de données consultées.

Selon le client, ces données sont nombreuses et variées, allant d'informations relatives à l'authentification multifactorielle (MFA) aux secrets d'intégration de l'API MFA, en passant par la clé du composant de connaissance ("K2") pour les clients de Federated Business. Une liste complète des données volées est présentée ci-dessous :

Résumé des données consultées lors de l'incident 1 :

• référentiels de développement et de code source à la demande, basés sur le cloud : il s'agissait de 14 référentiels de logiciels sur 200 ;
• scripts internes des référentiels : ils contenaient des secrets et des certificats LastPass ;
• documentation interne : informations techniques décrivant le fonctionnement de l'environnement de développement.

Résumé des données consultées lors de l'incident 2 :

• secrets DevOps : secrets restreints qui ont été utilisés pour accéder au stockage de sauvegarde basé sur le cloud de LastPass ;
• stockage de sauvegarde dans le cloud : il contenait des données de configuration, des secrets d'API, des secrets d'intégration de tiers, des métadonnées de clients et des sauvegardes de toutes les données du coffre-fort des clients. Toutes les données sensibles du coffre-fort du client - autres que les URL, les chemins d'accès aux logiciels LastPass Windows ou macOS installés, et certains cas d'utilisation impliquant des adresses email - seraient chiffrées à l'aide du modèle de connaissance zéro de LastPass et ne pourraient être déchiffrées qu'avec une clé de chiffrement unique dérivée du mot de passe principal de chaque utilisateur ;
• sauvegarde de la base de données MFA/Fédération de LastPass : elle contenait des copies des informations de LastPass Authenticator, des numéros de téléphone utilisés pour l'option de sauvegarde MFA (si elle est activée), ainsi qu'un composant de connaissance partagée (la "clé" K2) utilisé pour la fédération LastPass (si elle est activée). Cette base de données était chiffrée, mais la clé de déchiffrement stockée séparément a été incluse dans les secrets volés par l'acteur de la menace lors du deuxième incident.

La mise à jour publié lundi indique que les tactiques, techniques et procédures utilisées lors du premier incident étaient différentes de celles utilisées lors du second et que, par conséquent, il n'était pas clair au départ pour les enquêteurs que les deux étaient directement liés. Lors du second incident, l'acteur de la menace a utilisé les informations obtenues lors du premier pour énumérer et exfiltrer les données stockées dans les coffres S3. « L'alerte et la journalisation étaient activées pendant ces événements, mais n'ont pas immédiatement indiqué le comportement anormal qui est devenu plus clair rétrospectivement pendant l'enquête », indique l'avis.

Tous les bulletins d'assistance publiés lundi ne sont pas faciles à trouver, aucun d'entre eux n'étant répertorié dans les moteurs de recherche, car LastPass a ajouté des balises HTML <meta name="robots" content="noindex"> au document afin d'empêcher leur indexation par les moteurs de recherche. LastPass a publié un PDF intitulé "Security Incident Update and Recommended Actions", qui contient des informations supplémentaires sur la violation et les données volées. La société a également créé des documents d'assistance contenant des actions recommandées à prendre pour les clients et les administrateurs de LastPass Business.

Selon une personne au fait d'un rapport privé de LastPass, le logiciel multimédia qui a été exploité sur l'ordinateur personnel de l'ingénieur DevOps était Plex. Plex est un important fournisseur de services de streaming multimédia qui permet aux utilisateurs de diffuser des films et des fichiers audio, de jouer à des jeux et d'accéder à leurs propres contenus hébergés sur des serveurs multimédias domestiques ou sur site. Plex a signalé une intrusion dans son réseau le 24 août. Cela a permis à l'auteur de la menace d'accéder à une base de données et de s'emparer de mots de passe, de noms d'utilisateur et d'emails de certains de ses 30 millions de clients.

Il n'est pas clair si la violation de Plex a un lien quelconque avec les intrusions de LastPass. Les représentants de LastPass et de Plex n'ont pas répondu aux courriels de demande de commentaires pour cette histoire. Selon les analystes, l'acteur de la menace à l'origine de la violation de LastPass s'est montré particulièrement ingénieux, et la révélation qu'il a réussi à exploiter une vulnérabilité logicielle sur l'ordinateur personnel d'un employé ne fait que renforcer ce point de vue.

Source : LastPass

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la description de LastPass concernant la violation qu'elle a subie ?
Selon vous, les gestionnaires de mots de passe sont-ils des logiciels indispensables ?

Voir aussi

LastPass : vos infos et vos données de coffre-fort de MdP sont désormais entre les mains de pirates, le gestionnaire de MdP révèle que la violation qu'il a reconnu en août est pire que prévu

Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui, selon des experts qui évoquent « sa longue histoire d'incompétence et de négligence »

La dernière violation de données de LastPass a exposé certaines informations sur les clients, le PDG Karim révèle que cette violation a eu lieu à partir d'informations recueillies en août

[Anthony]

La dernière violation de LastPass aurait pu être stoppée par une mise à jour de Plex vieille de trois ans. La société a publié Plex Media Server 1.19.3 pour corriger cette faille

LastPass, qui était l'un des meilleurs gestionnaires de mots de passe du marché, a perdu sa réputation après avoir subi non pas une, mais deux violations massives de données l'année dernière. Nous avons appris plus de détails sur le deuxième incident la semaine dernière : une partie malveillante a installé un enregistreur de frappe sur l'ordinateur personnel d'un ingénieur senior grâce à un exploit dans Plex, le service de cloud personnel pour le stockage et la diffusion de films, et a pu ainsi pénétrer dans les caches de l'entreprise. Mais il s'avère que l'ingénieur avait également un rôle important à jouer dans cet échec majeur.

Plex a révélé que l'exploit en question a profité d'une vulnérabilité qui a été divulguée le 7 mai 2020. L'entreprise raconte que, pour une raison quelconque, l'employé de LastPass n'a jamais mis à jour son client pour appliquer le correctif.

La faille permettait à ceux qui avaient accès au compte Plex d'un administrateur de serveur de télécharger un fichier malveillant via la fonction Camera Upload et, en superposant les emplacements du répertoire de données du serveur avec une bibliothèque qui autorisait les Camera Uploads, de faire en sorte que le serveur multimédia l'exécute.

Le jour même, la société a publié la version 1.19.3 de Plex Media Server pour combler cette faille.

"Pour référence, la version qui corrigeait cet exploit datait d'environ 75 versions", a déclaré un porte-parole de LastPass.

Ce qui est flagrant pour nous, c'est que la chaîne d'événements qui a conduit à cette violation a commencé dès le sommet : LastPass a permis à cet employé senior d'accéder à des surfaces de travail privilégiées par le biais de son ordinateur personnel, ouvrant ainsi la possibilité à quelqu'un d'accéder au compte Plex de cet employé, d'exécuter un exploit corrigé depuis longtemps qui a fonctionné grâce à la négligence de l'employé susmentionné, et d'obtenir un accès illimité à ces surfaces de travail à partir de là.

Chaque étape de cette séquence a été mise en place par une décision qui a pu être justifiée pour une raison ou une autre à l'époque. Mais au vu de l'évolution des choses, LastPass aura besoin d'une plus grande pelle si elle veut se sortir de ce trou.

Source : Plex

Et vous ?

Quel est votre avis sur le sujet ?
Selon vous, est-il possible de se passer des gestionnaires de mots de passe tels que LastPass ?
Que pensez-vous des performances de LastPass par rapport aux autres outils de gestion de mots de passe (BitWarden, KeePass, etc.) ?

Voir aussi :

Les spécialistes de la cybersécurité s'attaquent au communiqué de LastPass suite à une violation de sécurité, « leur déclaration est pleine d'omissions, de demi-vérités et de mensonges éhontés »

LastPass affirme que le piratage de l'ordinateur d'un ingénieur DevOps a conduit à la brèche dans la sécurité en 2022, et aurait rendu difficile la détection de l'activité de l'acteur de la menace

Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui, selon des experts qui évoquent « sa longue histoire d'incompétence et de négligence »

[marsupial]

Les boules...