Discussion :

[Invité]

La solution de stockage des mots de passe, ça dépend avant tout du cas d'usage. Chaque solution présente des avantages et des inconvénients. Une solution en ligne, ça préserve aussi des aléas qui peuvent subvenir sur les terminaux utilisateur. Pour ça, en théorie du moins, LastPass et les autres répondent à la problématique. Le problème ici, c'est le niveau de confiance que l'on peut accorder à ce tiers pour gérer nos secrets.

Mon cas d'usage à moi fait que j'ai opté pour un stockage local au travers d'un trousseau Keepass (clé unique complexe) synchronisé avec une instance perso de Nextcloud (c'est un peu plus complexe que ça en fait mais c'est l'idée). Cette solution convient aussi parce que je suis l'unique utilisateur de ce trousseau...

[smarties]

Ma solution est VaultWarden + BitWarden.

Le serveur VaultWarden est disponible sur mon NAS uniquement depuis mon réseau local (accès à l'API via HTTPS). Mes appareils (PC, smartphone, portable) se synchronisent donc lorsque je suis chez moi.

[highway2009]

Ma solution c'est keepass avec une synchronization peer-to-peer grâce à Syncthing, donc pas de cloud. Aucun service, pas de compte, pas de single point of failure.
Sur Mac et Linux j'utilise KeePassXC, et sur iOS KeePassium (open source, bonne intégration avec iOS) + Möbius Sync comme client Syncthing.

[Bill Fassinou]

LastPass affirme que le piratage de l'ordinateur d'un ingénieur DevOps a conduit à la brèche dans la sécurité en 2022
et aurait rendu difficile la détection de l'activité de l'acteur de la menace

LastPass a déclaré lundi que la cyberattaque de l'année dernière, qui a conduit à l'exfiltration des données sensibles des clients, avait été causée par des informations d'identification volées à un ingénieur DevOps sénior. L'acteur de la menace aurait mené cette cyberattaque en utilisant les informations volées lors d'une violation en août, des informations provenant d'une autre violation de données et une vulnérabilité d'exécution de code à distance pour installer un keylogger sur le PC de l'ingénieur. LastPass est sous le feu des critiques depuis cet incident et certains conseillent même d'abandonner le gestionnaire de mots de passe.

LastPass a été confronté l'an dernier à une série d'attaques qui a compromis les données sensibles de ses utilisateurs. Certaines déclarations de la société en décembre dernier ont fait l'effet d'une bombe et attisé l'ire des clients et d'autres acteurs de la communauté. En effet, LastPass avait déjà été victime d'une violation de données jugée "mineure" en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusives. Les pirates avaient pu copier des parties du code source et certaines informations techniques propriétaires de LastPass.

L'entreprise a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés. Cependant, en décembre, LastPass a publié une mise à jour sur la brèche de sécurité et a déclaré que les pirates avaient réussi à accéder aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses email, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux différents services du gestionnaire de mots de passe.

Les pirates auraient également copié une sauvegarde des données du coffre-fort client qui comprenait des informations non chiffrées telles que des URL de sites Web et des champs de données chiffrées (comme des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données de formulaires). « Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a déclaré le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme.

La société a révélé lundi comment l'acteur de la menace a mené cette attaque, déclarant qu'ils ont utilisé les informations volées lors d'une violation en août, des informations provenant d'une autre violation de données et une vulnérabilité d'exécution de code à distance pour installer un keylogger sur l'ordinateur d'un ingénieur DevOps sénior. Selon LastPass, cette deuxième attaque coordonnée a utilisé les données volées lors de la première violation pour accéder aux coffres chiffrés Amazon S3 de l'entreprise. Comme seuls quatre ingénieurs DevOps de LastPass avaient accès à ces clés de déchiffrement, l'acteur de la menace a ciblé l'un des ingénieurs.

Finalement, l'acteur de la menace a réussi à installer un keylogger (enregistreur de frappes) sur l'appareil de l'employé en exploitant une vulnérabilité d'exécution de code à distance dans un logiciel multimédia tiers. « L'acteur de la menace a pu capturer le mot de passe principal de l'employé au moment de la saisie, après que l'employé se soit authentifié avec MFA, et accéder au coffre-fort d'entreprise LastPass de l'ingénieur DevOps. Les acteurs de la menace ont ensuite exporté les entrées natives du coffre-fort d'entreprise et le contenu des dossiers partagés », indique un nouvel avis de sécurité publié lundi par LastPass sur son site Web.

Selon l'avis, ces derniers contenaient des notes sécurisées chiffrées avec les clés d'accès et de déchiffrement nécessaires pour accéder aux sauvegardes de production AWS S3 LastPass, à d'autres ressources de stockage dans le cloud et à certaines sauvegardes de base de données critiques connexes. L'utilisation d'identifiants valides a rendu difficile la détection de l'activité de l'acteur de la menace par les enquêteurs de l'entreprise, ce qui a permis au pirate d'accéder aux serveurs de stockage dans le cloud de LastPass et d'y voler des données - personnelles et d'entreprises - sur une période de plus de deux mois, entre le 12 août 2022 et le 26 octobre 2022.

LastPass a finalement détecté le comportement anormal par le biais des alertes AWS GuardDuty lorsque l'acteur de la menace a tenté d'utiliser les rôles IAM (Identity and Access Management) du cloud pour effectuer une activité non autorisée. La société note également qu'elle a depuis mis à jour sa posture de sécurité, notamment en faisant tourner les informations d'identification sensible et les clés/jetons d'authentification, en révoquant les certificats, en ajoutant une journalisation et des alertes supplémentaires et en appliquant des politiques de sécurité plus strictes. L'avis donne également plus d'informations sur le nombre de données consultées.

Selon le client, ces données sont nombreuses et variées, allant d'informations relatives à l'authentification multifactorielle (MFA) aux secrets d'intégration de l'API MFA, en passant par la clé du composant de connaissance ("K2") pour les clients de Federated Business. Une liste complète des données volées est présentée ci-dessous :

Résumé des données consultées lors de l'incident 1 :

• référentiels de développement et de code source à la demande, basés sur le cloud : il s'agissait de 14 référentiels de logiciels sur 200 ;
• scripts internes des référentiels : ils contenaient des secrets et des certificats LastPass ;
• documentation interne : informations techniques décrivant le fonctionnement de l'environnement de développement.

Résumé des données consultées lors de l'incident 2 :

• secrets DevOps : secrets restreints qui ont été utilisés pour accéder au stockage de sauvegarde basé sur le cloud de LastPass ;
• stockage de sauvegarde dans le cloud : il contenait des données de configuration, des secrets d'API, des secrets d'intégration de tiers, des métadonnées de clients et des sauvegardes de toutes les données du coffre-fort des clients. Toutes les données sensibles du coffre-fort du client - autres que les URL, les chemins d'accès aux logiciels LastPass Windows ou macOS installés, et certains cas d'utilisation impliquant des adresses email - seraient chiffrées à l'aide du modèle de connaissance zéro de LastPass et ne pourraient être déchiffrées qu'avec une clé de chiffrement unique dérivée du mot de passe principal de chaque utilisateur ;
• sauvegarde de la base de données MFA/Fédération de LastPass : elle contenait des copies des informations de LastPass Authenticator, des numéros de téléphone utilisés pour l'option de sauvegarde MFA (si elle est activée), ainsi qu'un composant de connaissance partagée (la "clé" K2) utilisé pour la fédération LastPass (si elle est activée). Cette base de données était chiffrée, mais la clé de déchiffrement stockée séparément a été incluse dans les secrets volés par l'acteur de la menace lors du deuxième incident.

La mise à jour publié lundi indique que les tactiques, techniques et procédures utilisées lors du premier incident étaient différentes de celles utilisées lors du second et que, par conséquent, il n'était pas clair au départ pour les enquêteurs que les deux étaient directement liés. Lors du second incident, l'acteur de la menace a utilisé les informations obtenues lors du premier pour énumérer et exfiltrer les données stockées dans les coffres S3. « L'alerte et la journalisation étaient activées pendant ces événements, mais n'ont pas immédiatement indiqué le comportement anormal qui est devenu plus clair rétrospectivement pendant l'enquête », indique l'avis.

Tous les bulletins d'assistance publiés lundi ne sont pas faciles à trouver, aucun d'entre eux n'étant répertorié dans les moteurs de recherche, car LastPass a ajouté des balises HTML <meta name="robots" content="noindex"> au document afin d'empêcher leur indexation par les moteurs de recherche. LastPass a publié un PDF intitulé "Security Incident Update and Recommended Actions", qui contient des informations supplémentaires sur la violation et les données volées. La société a également créé des documents d'assistance contenant des actions recommandées à prendre pour les clients et les administrateurs de LastPass Business.

Selon une personne au fait d'un rapport privé de LastPass, le logiciel multimédia qui a été exploité sur l'ordinateur personnel de l'ingénieur DevOps était Plex. Plex est un important fournisseur de services de streaming multimédia qui permet aux utilisateurs de diffuser des films et des fichiers audio, de jouer à des jeux et d'accéder à leurs propres contenus hébergés sur des serveurs multimédias domestiques ou sur site. Plex a signalé une intrusion dans son réseau le 24 août. Cela a permis à l'auteur de la menace d'accéder à une base de données et de s'emparer de mots de passe, de noms d'utilisateur et d'emails de certains de ses 30 millions de clients.

Il n'est pas clair si la violation de Plex a un lien quelconque avec les intrusions de LastPass. Les représentants de LastPass et de Plex n'ont pas répondu aux courriels de demande de commentaires pour cette histoire. Selon les analystes, l'acteur de la menace à l'origine de la violation de LastPass s'est montré particulièrement ingénieux, et la révélation qu'il a réussi à exploiter une vulnérabilité logicielle sur l'ordinateur personnel d'un employé ne fait que renforcer ce point de vue.

Source : LastPass

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la description de LastPass concernant la violation qu'elle a subie ?
Selon vous, les gestionnaires de mots de passe sont-ils des logiciels indispensables ?

Voir aussi

LastPass : vos infos et vos données de coffre-fort de MdP sont désormais entre les mains de pirates, le gestionnaire de MdP révèle que la violation qu'il a reconnu en août est pire que prévu

Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui, selon des experts qui évoquent « sa longue histoire d'incompétence et de négligence »

La dernière violation de données de LastPass a exposé certaines informations sur les clients, le PDG Karim révèle que cette violation a eu lieu à partir d'informations recueillies en août

[Anthony]

La dernière violation de LastPass aurait pu être stoppée par une mise à jour de Plex vieille de trois ans. La société a publié Plex Media Server 1.19.3 pour corriger cette faille

LastPass, qui était l'un des meilleurs gestionnaires de mots de passe du marché, a perdu sa réputation après avoir subi non pas une, mais deux violations massives de données l'année dernière. Nous avons appris plus de détails sur le deuxième incident la semaine dernière : une partie malveillante a installé un enregistreur de frappe sur l'ordinateur personnel d'un ingénieur senior grâce à un exploit dans Plex, le service de cloud personnel pour le stockage et la diffusion de films, et a pu ainsi pénétrer dans les caches de l'entreprise. Mais il s'avère que l'ingénieur avait également un rôle important à jouer dans cet échec majeur.

Plex a révélé que l'exploit en question a profité d'une vulnérabilité qui a été divulguée le 7 mai 2020. L'entreprise raconte que, pour une raison quelconque, l'employé de LastPass n'a jamais mis à jour son client pour appliquer le correctif.

La faille permettait à ceux qui avaient accès au compte Plex d'un administrateur de serveur de télécharger un fichier malveillant via la fonction Camera Upload et, en superposant les emplacements du répertoire de données du serveur avec une bibliothèque qui autorisait les Camera Uploads, de faire en sorte que le serveur multimédia l'exécute.

Le jour même, la société a publié la version 1.19.3 de Plex Media Server pour combler cette faille.

"Pour référence, la version qui corrigeait cet exploit datait d'environ 75 versions", a déclaré un porte-parole de LastPass.

Ce qui est flagrant pour nous, c'est que la chaîne d'événements qui a conduit à cette violation a commencé dès le sommet : LastPass a permis à cet employé senior d'accéder à des surfaces de travail privilégiées par le biais de son ordinateur personnel, ouvrant ainsi la possibilité à quelqu'un d'accéder au compte Plex de cet employé, d'exécuter un exploit corrigé depuis longtemps qui a fonctionné grâce à la négligence de l'employé susmentionné, et d'obtenir un accès illimité à ces surfaces de travail à partir de là.

Chaque étape de cette séquence a été mise en place par une décision qui a pu être justifiée pour une raison ou une autre à l'époque. Mais au vu de l'évolution des choses, LastPass aura besoin d'une plus grande pelle si elle veut se sortir de ce trou.

Source : Plex

Et vous ?

Quel est votre avis sur le sujet ?
Selon vous, est-il possible de se passer des gestionnaires de mots de passe tels que LastPass ?
Que pensez-vous des performances de LastPass par rapport aux autres outils de gestion de mots de passe (BitWarden, KeePass, etc.) ?

Voir aussi :

Les spécialistes de la cybersécurité s'attaquent au communiqué de LastPass suite à une violation de sécurité, « leur déclaration est pleine d'omissions, de demi-vérités et de mensonges éhontés »

LastPass affirme que le piratage de l'ordinateur d'un ingénieur DevOps a conduit à la brèche dans la sécurité en 2022, et aurait rendu difficile la détection de l'activité de l'acteur de la menace

Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui, selon des experts qui évoquent « sa longue histoire d'incompétence et de négligence »

[marsupial]

Les boules...

[Stéphane le calme]

De nombreux utilisateurs de LastPass furieux de ne plus avoir accès à leurs comptes
en raison de la réinitialisation de la MFA (authentification multifactorielle)

LastPass est un gestionnaire de mots de passe qui utilise l’authentification multifactorielle (AMF) pour augmenter la sécurité des mots de passe principaux des utilisateurs. Cependant, certains utilisateurs ont été bloqués de leurs comptes après avoir été invités à réinitialiser leurs applications d’authentification (par exemple, LastPass Authenticator, Microsoft Authenticator, Google Authenticator) en raison de mises à niveau de sécurité planifiées. Ces problèmes durent depuis début mai.

Selon plusieurs rapports, les utilisateurs affectés ont reçu un message les informant qu’ils devaient réenregistrer leurs applications d’AMF, telles que Google Authenticator ou Microsoft Authenticator, en raison d’un changement dans la façon dont LastPass dérive la clé de chiffrement à partir du mot de passe principal. Cependant, après avoir suivi les instructions et réenregistré leurs applications d’AMF, les utilisateurs se sont retrouvés dans une boucle infinie où ils étaient constamment invités à réinitialiser leurs applications d’AMF à chaque tentative de connexion.

De plus, les utilisateurs concernés ne peuvent pas demander de l’aide au support de LastPass, car cela nécessite de se connecter à leur compte, ce qu’ils ne peuvent pas faire car ils sont bloqués par la demande de réinitialisation de l’AMF. Certains utilisateurs ont déclaré avoir attendu des semaines sans recevoir de réponse du support de LastPass.

« La resynchronisation forcée de MFA m'empêche maintenant de me connecter car LastPass ne reconnaîtra pas le nouveau code MFA. J'ai essayé la messagerie privée mais le message n'est pas envoyé. Que se passe-t-il? Il est clair que cela impacte beaucoup d'utilisateurs », a déclaré un utilisateur.

« Après avoir réinitialisé mon MFA, j'ai complètement perdu l'accès à mon coffre-fort. MasterPW ne fonctionne pas et ne se réinitialise pas, et l'e-mail de réinitialisation ne m'est jamais livré. Impossible de contacter mon support 'Premium' car une connexion est requise », a ajouté un autre.

« J'ai été invité à ressaisir le mot de passe principal, puis obligé de mettre à jour MFA, ce que j'ai fait avec succès, et maintenant je ne peux plus du tout me connecter. Je ne peux même pas ouvrir de ticket d'assistance car vous devez vous connecter pour faire alors », a déclaré un utilisateur, demandant de l'aide sur le site Web de la communauté LastPass.

LastPass indique que les réinitialisations MFA ont été annoncées via des messages intégrés à l'application pendant « plusieurs semaines » avant l'annonce initiale : « Salut Fabio. Un message intégré à l'application a été affiché pendant plusieurs semaines et un e-mail a été envoyé il y a plus d'un mois. Si vous n'utilisez pas l'application et que vous êtes désabonnés de la liste de diffusion par e-mails, je suis désolé que le changement n'ait pas été suffisamment clair ».

Hey, Fabio. There was an in-app message populated for several weeks, and an email sent out 1+ months ago. If you don't use the app, and have unsubscribed emails then I'm sorry the change wasn't made clear enough.
^AC

— LastPass Support (@LastPassHelp) May 10, 2023

Cela a poussé LastPass à publier plusieurs avis sur les mises à niveau de sécurité expliquant que cela est fait pour augmenter les itérations de mot de passe à la nouvelle valeur par défaut de 600 000 tours. Dans un bulletin d'assistance LastPass envoyé aux utilisateurs concernés, LastPass a déclaré :

Pour augmenter la sécurité de votre mot de passe principal, LastPass utilise une version plus puissante que la normale de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2). Dans sa forme la plus basique, PBKDF2 est un "algorithme de renforcement de mot de passe" qui rend difficile pour un ordinateur de vérifier que n'importe quel mot de passe est le mot de passe principal correct lors d'une attaque compromettante.

LastPass utilise la fonction PBKDF2 implémentée avec SHA-256 pour transformer votre mot de passe principal en clé de cryptage. LastPass effectue un nombre personnalisable de tours de la fonction pour créer la clé de chiffrement, avant qu'un seul tour supplémentaire de PBKDF2 ne soit effectué pour créer votre hachage de connexion.

L'ensemble du processus est mené côté client. Le hachage de connexion résultant est celui qui est communiqué avec LastPass. LastPass utilise le hachage pour vérifier que vous saisissez le bon mot de passe principal lorsque vous vous connectez à votre compte.

LastPass effectue également un grand nombre de tours de PBKDF2 côté serveur. Cette implémentation de PBKDF2 côté client et côté serveur garantit que les deux parties de vos données - la partie stockée hors ligne localement et la partie stockée en ligne sur les serveurs LastPass - sont parfaitement protégées.

Le nombre minimum par défaut d'itérations de mot de passe est de 600 000 tours (pour les nouveaux comptes et ceux qui mettent à jour leur nombre d'itérations existantes).

Sur Twitter, LastPass a déclaré à un utilisateur :

Salut Sam. Il y a eu un processus de mise à niveau de sécurité en cours lancé par le système LastPass, qui augmente les itérations de mot de passe et force une resynchronisation de tous les MFA de l'utilisateur. Si vous rencontrez toujours des problèmes de connexion, veuillez m'envoyer l'adresse e-mail concernée par DM pour une vérification de l'état.

Hi, Sam. There has been an ongoing security upgrade process initiated by the LastPass system, which increases the password iterations and forces a re-sync of all user's MFA. If you're still experiencing login trouble, please DM me the affected email address for a status check.

— LastPass (@LastPass) June 21, 2023

Dans un autre avis, la société indique que les utilisateurs sont invités à se réinscrire à l'authentification multifacteur pour leur sécurité lorsqu'ils se connectent à LastPass :

Pour votre sécurité, vous devrez peut-être réinitialiser votre application d'authentification (LastPass Authenticator, Microsoft Authenticator, Google Authenticator) lors de la connexion à LastPass.

LasPass communique la procédure dans un document d'assistance et dans une vidéo

La procédure détaillée requise pour réinitialiser le couplage entre LastPass et l'application d'authentification (LastPass Authenticator, Microsoft Authenticator ou Google Authenticator) est décrite en détail dans un document d'assistance.

La prochaine fois que vous vous connecterez à un site Web ou à une application à l'aide de LastPass, vous serez invité à vérifier votre position. Lorsque vous vous connectez à un site Web ou à une application où vous avez utilisé LastPass pour vous connecter, vous devez saisir à nouveau vos informations d'identification et vous authentifier à l'aide de votre application d'authentification.

Les utilisateurs seront également invités à vérifier leur emplacement la prochaine fois qu'ils se connecteront à un site Web ou à une application en utilisant LastPass comme mesure de sécurité supplémentaire.

Dans le cadre du même processus, les utilisateurs devront ressaisir leurs identifiants de connexion et s'authentifier à nouveau à l'aide de leur application d'authentification.

« Suite aux incidents de 2022, nous avons envoyé des e-mails et des communications intégrées au produit à notre clientèle en leur recommandant de réinitialiser leurs secrets MFA avec leur application d'authentification préférée par mesure de précaution. Cette recommandation a également été incluse dans les bulletins de sécurité que nous avons envoyés à notre B2C et les clients B2B début mars et une deuxième communication par e-mail début avril », a déclaré un porte-parole de LastPass.

« Cependant, un sous-ensemble de nos clients n'a toujours pas pris cette mesure, nous les avons donc incités à agir lors de leur prochaine connexion à LastPass. Nous avons lancé cette invite dans le produit début juin dans l'espoir qu'elle serait obtenir une meilleure réponse que nos e-mails ».

Un outil ciblé par des cybercriminels

Ces problèmes surviennent après que LastPass a révélé une faille de sécurité. LastPass a été confronté l'an dernier à une série d'attaques qui a compromis les données sensibles de ses utilisateurs. Certaines déclarations de la société en décembre dernier ont fait l'effet d'une bombe et attisé l'ire des clients et d'autres acteurs de la communauté. En effet, LastPass avait déjà été victime d'une violation de données jugée "mineure" en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusives. Les pirates avaient pu copier des parties du code source et certaines informations techniques propriétaires de LastPass.

L'entreprise a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés. Cependant, en décembre, LastPass a publié une mise à jour sur la brèche de sécurité et a déclaré que les pirates avaient réussi à accéder aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses email, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux différents services du gestionnaire de mots de passe.

Conclusion

Les utilisateurs mécontents ont exprimé leur frustration sur les réseaux sociaux et les forums, affirmant qu’ils allaient abandonner LastPass et passer à d’autres gestionnaires de mots de passe. Certains ont également déclaré qu’ils craignaient pour la sécurité de leurs données stockées dans le coffre-fort de LastPass. Pour Jeremi Gosney, chercheur en sécurité, il faut s'éloigner du gestionnaire « en raison de sa longue histoire d'incompétence ».

LastPass n’a pas encore fait de déclaration officielle sur le problème ni indiqué quand il serait résolu.

Sources : LastPass (1, 2, 3), commentaires utilisateurs (1, 2)

Et vous ?

Utilisez-vous LastPass comme gestionnaire de mots de passe? Si oui, avez-vous été touché par le problème d’AMF?
Quelle est votre opinion sur la façon dont LastPass a géré la situation?
Quelles sont les mesures que vous prenez pour protéger vos mots de passe et vos données en ligne?
Quels sont les avantages et les inconvénients de l’authentification multifactorielle?
Quel autre gestionnaire de mots de passe utilisez-vous ou envisagez-vous d’utiliser?

[Stéphane le calme]

LasPass piraté : plus de 35 millions de dollars en crypto ont été volés à plus de 150 victimes depuis décembre,
« presque toutes les victimes » étaient des utilisateurs de LastPass

Les experts en sécurité affirment que certains des coffres-forts de mots de passe LastPass volés lors d’une faille de sécurité vers la fin de 2022 ont maintenant été ouverts à la suite d’une série de braquages ​​de crypto-monnaie à six chiffres. Le blogueur en cybersécurité Brian Krebs rapporte que plusieurs chercheurs ont identifié un « ensemble d'indices hautement fiables » qui relient apparemment plus de 150 victimes de vol de cryptographie au service LastPass. Collectivement, plus de 35 millions de dollars de crypto-monnaies auraient été volés jusqu’à présent, avec entre deux et cinq braquages ​​de grande valeur survenant chaque mois depuis décembre 2022.

LastPass, un service populaire de gestion de mots de passe, a été victime de deux incidents de sécurité majeurs en 2022, qui ont exposé les données personnelles, les informations de facturation et les coffres-forts (contenant les mots de passe et d’autres secrets) de ses clients. Ces coffres-forts, qui sont normalement chiffrés et protégés par le mot de passe maître du client, ont été dérobés par des cybercriminels qui ont réussi à les déchiffrer en exploitant une vulnérabilité dans un logiciel tiers utilisé par LastPass.

Depuis décembre 2022, plus de 150 victimes de vols de crypto-monnaies ont été identifiées par des experts en sécurité, qui ont établi un lien entre ces attaques et le service LastPass.

Taylor Monahan, chef de produit principal de la société de portefeuille crypto MetaMask et l'un des principaux chercheurs enquêtant sur les attaques, a conclu que le fil conducteur reliant les victimes était que « presque toutes les victimes » avaient utilisé LastPass pour stocker leur « phrase secrète » (une clé numérique privée qui est nécessaire pour accéder aux investissements en crypto-monnaies). Ces clés sont souvent stockées sur des services chiffrés comme les gestionnaires de mots de passe pour empêcher aux acteurs malveillants d’accéder aux portefeuilles de crypto-monnaies.

Le chercheur Nick Bax, directeur des analyses de la société de récupération de portefeuilles crypto Unciphered, a également examiné les données de vol et a souscrit aux conclusions de Monahan dans une interview avec KrebsOnSecurity : « Je suis suffisamment convaincu qu'il s'agit d'un problème réel et j'ai exhorté mes amis et ma famille qui utilisent LastPass à changer tous leurs mots de passe et à migrer toute crypto qui aurait pu être exposé, même s'ils savent très bien à quel point cela est fastidieux. »

Au total, plus de 35 millions de dollars en crypto-monnaies ont été volés jusqu’à présent, avec entre deux et cinq vols à forte valeur ajoutée qui se produisent chaque mois depuis décembre 20222. Les fonds volés ont également été transférés vers les mêmes adresses blockchain, ce qui renforce le lien entre les victimes.

La réaction de LastPass

Le service de gestion de mots de passe LastPass a subi deux failles de sécurité connues en août et novembre de l'année dernière, des pirates informatiques utilisant les informations obtenues lors de la première violation pour accéder au stockage cloud partagé contenant les clés de chiffrement des clients pour les sauvegardes du coffre-fort lors du dernier incident.

Dans un communiqué, Karim Toubba, PDG de LastPass, affirme que la faille de sécurité de novembre dernier reste « l'objet d'une enquête en cours par les forces de l'ordre et fait également l'objet d'un litige en cours ». La société n’a pas précisé si les violations de LastPass de 2022 avaient quelque chose à voir avec les vols de cryptographie signalés.

Les experts en sécurité recommandent aux utilisateurs de LastPass de changer tous leurs mots de passe et de migrer toute crypto-monnaie qui pourrait avoir été exposée, malgré la difficulté que cela représente. Ils conseillent également aux utilisateurs de vérifier régulièrement l’activité de leur compte LastPass et de leur portefeuille de crypto-monnaies, et d’utiliser des mesures supplémentaires de protection comme l’authentification à deux facteurs ou un coffre-fort hors ligne.

LastPass ou pas/plus LastPass ?

Pour Jeremi Gosney, chercheur en sécurité, il faut s'éloigner du gestionnaire « en raison de sa longue histoire d'incompétence »

Vous trouverez ci-dessous une liste non ordonnée des raisons pour lesquelles j'ai perdu toute foi dans Last Pass :

• L'affirmation de LastPass de "zéro connaissance" est un mensonge éhonté. Ils ont à peu près autant de connaissances qu'un gestionnaire de mots de passe pourrait avoir. Chaque fois que vous vous connectez à un site, un événement est généré et envoyé à LastPass dans le seul but de suivre les sites auxquels vous vous connectez. Vous pouvez désactiver la télémétrie, sauf que la désactiver ne fait rien - l'application enverra toujours des données à LastPass chaque fois que vous vous authentifiez quelque part. De plus, presque tout dans votre coffre-fort LastPass n'est pas chiffré. Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de données chiffrée où l'intégralité du fichier est protégé, mais non - avec LastPass, votre coffre-fort est un fichier en texte brut et seuls quelques champs sélectionnés sont chiffrés.
• LastPass a l'habitude d'ignorer les chercheurs en sécurité et les rapports de vulnérabilités, et ne participe pas à la communauté infosec ni à la communauté de hacking de mots de passe. Les signalements de vulnérabilité restent non reconnus et non résolus pendant des mois, voire des années, voire jamais. Pendant un certain temps, ils avaient même un mauvais contact répertorié pour leur équipe de sécurité. Bugcrowd signale les vulnérabilités pour eux maintenant, et la plupart sinon tous les rapports de vulnérabilités sont gérés directement par Bugcrowd et non par LastPass. Si vous essayez de signaler une vulnérabilité au support LastPass, ils prétendront qu'ils ne comprennent pas et ne transmettront pas votre ticket à l'équipe de sécurité. Maintenant, Tavis Ormandy a félicité LastPass pour sa réponse rapide aux rapports de vulnérabilité, mais j'ai l'impression que c'est simplement parce que c'est Tavis / Project Zero qui les signale car ce n'est pas l'expérience que la plupart des chercheurs ont eue.

Vous savez, je ne recommande pas simplement aux utilisateurs de rejeter LastPass à cause de cette dernière violation. Je vous recommande de courir aussi loin que possible de LastPass en raison de sa longue histoire d'incompétence, d'apathie et de négligence. Il est tout à fait clair qu'ils ne se soucient pas de leur propre sécurité, et encore moins de votre sécurité.

L'analyste Steven J. Vaughan-Nichols vote pour Bitwarden

Je trouve un peu étrange que LastPass ne donne à personne plus de détails sur ce qui s'est passé avec le vol. Bitwarden, en revanche, est transparent avec ses audits et ses certifications en plus de sa base de code ouverte. La différence est claire. LastPass vous recommande de changer votre mot de passe principal et tous vos autres mots de passe. Je vous recommande de dire au revoir à LastPass et de passer à un autre gestionnaire de mots de passe.

Il existe de nombreux bons gestionnaires de mots de passe. Ils incluent 1Password, DashLane et NordPass. Mais côté offre payante ou gratuite, vous ne verrez pas mieux que Bitwarden.

Bitwarden est une sorte de programme open source. Plus précisément, il utilise une licence disponible à la source. La société admet que la licence Bitwarden n'est pas considérée comme open source selon la définition de l'Open Source Initiative (OSI), mais elle « pense que la licence équilibre avec succès les principes d'ouverture et de communauté avec nos objectifs commerciaux ».

Laissant de côté le problème de licence, le côté pratique de Bitwarden est qu'il est libre d'être utilisé à la fois sur un serveur ou un client. Par exemple, en tant que client, vous pouvez l'exécuter sur Linux, Windows, macOS, Android, iPhone et iPad. Avec ses extensions de navigateur, vous pouvez également l'utiliser sur Brave, Chrome, Edge, Firefox, Safari, Opera, Vivaldi et Tor. Le coût? Vous pouvez l'exécuter gratuitement sur tous les appareils et navigateurs dont vous disposez.

Sources : Taylor Monahan, communiqué LastPass

Et vous ?

Que pensez-vous de l’utilisation des gestionnaires de mots de passe comme LastPass pour stocker vos données sensibles ? Quels sont les avantages et les inconvénients de ce type de service ? Peut-on faire confiance aux gestionnaires de mots de passes ?
Avez-vous déjà été victime d’un vol de crypto-monnaies ou d’une tentative de phishing ? Si oui, comment avez-vous réagi et quelles mesures avez-vous prises pour vous protéger ?
Quelle est votre opinion sur la responsabilité de LastPass dans cet incident de sécurité ? Pensez-vous que la société a fait assez pour informer ses clients et les indemniser ?
Quelles sont les meilleures pratiques pour sécuriser vos investissements en crypto-monnaies ? Quels sont les outils ou les services que vous recommandez pour gérer vos clés privées et vos portefeuilles ?
Comment voyez-vous l’avenir des crypto-monnaies face aux menaces croissantes des cybercriminels ? Pensez-vous que les régulations ou les innovations technologiques peuvent aider à prévenir ce genre d’attaques ?

[QBasic]

C'est une hérésie d'utiliser un gestionnaire de mots de passe qui stocke des données quelque part dans un cloud inconnu !
C'est tellement plus sûr d'utiliser des solutions matérielles et sans connexion (par exemple Hoplite Key Manager).

[Aiekick]

mdr. lastpass qui stocke les clefs des utilisateurs dans un cloud.. haha.

mon gestionnaire de mot de passe a encore de beau jour devant lui.

je sais pas ce qui est le pire ? lastpass qui stocke dans le cloud ou les utilisateurs qui lui font confiance.

forcemment pour des pirates, c'est une cible de choix..