Discussion :

[Invité]

La solution de stockage des mots de passe, ça dépend avant tout du cas d'usage. Chaque solution présente des avantages et des inconvénients. Une solution en ligne, ça préserve aussi des aléas qui peuvent subvenir sur les terminaux utilisateur. Pour ça, en théorie du moins, LastPass et les autres répondent à la problématique. Le problème ici, c'est le niveau de confiance que l'on peut accorder à ce tiers pour gérer nos secrets.

Mon cas d'usage à moi fait que j'ai opté pour un stockage local au travers d'un trousseau Keepass (clé unique complexe) synchronisé avec une instance perso de Nextcloud (c'est un peu plus complexe que ça en fait mais c'est l'idée). Cette solution convient aussi parce que je suis l'unique utilisateur de ce trousseau...

[smarties]

Ma solution est VaultWarden + BitWarden.

Le serveur VaultWarden est disponible sur mon NAS uniquement depuis mon réseau local (accès à l'API via HTTPS). Mes appareils (PC, smartphone, portable) se synchronisent donc lorsque je suis chez moi.

[highway2009]

Ma solution c'est keepass avec une synchronization peer-to-peer grâce à Syncthing, donc pas de cloud. Aucun service, pas de compte, pas de single point of failure.
Sur Mac et Linux j'utilise KeePassXC, et sur iOS KeePassium (open source, bonne intégration avec iOS) + Möbius Sync comme client Syncthing.

[Bill Fassinou]

LastPass affirme que le piratage de l'ordinateur d'un ingénieur DevOps a conduit à la brèche dans la sécurité en 2022
et aurait rendu difficile la détection de l'activité de l'acteur de la menace

LastPass a déclaré lundi que la cyberattaque de l'année dernière, qui a conduit à l'exfiltration des données sensibles des clients, avait été causée par des informations d'identification volées à un ingénieur DevOps sénior. L'acteur de la menace aurait mené cette cyberattaque en utilisant les informations volées lors d'une violation en août, des informations provenant d'une autre violation de données et une vulnérabilité d'exécution de code à distance pour installer un keylogger sur le PC de l'ingénieur. LastPass est sous le feu des critiques depuis cet incident et certains conseillent même d'abandonner le gestionnaire de mots de passe.

LastPass a été confronté l'an dernier à une série d'attaques qui a compromis les données sensibles de ses utilisateurs. Certaines déclarations de la société en décembre dernier ont fait l'effet d'une bombe et attisé l'ire des clients et d'autres acteurs de la communauté. En effet, LastPass avait déjà été victime d'une violation de données jugée "mineure" en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusives. Les pirates avaient pu copier des parties du code source et certaines informations techniques propriétaires de LastPass.

L'entreprise a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés. Cependant, en décembre, LastPass a publié une mise à jour sur la brèche de sécurité et a déclaré que les pirates avaient réussi à accéder aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses email, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux différents services du gestionnaire de mots de passe.

Les pirates auraient également copié une sauvegarde des données du coffre-fort client qui comprenait des informations non chiffrées telles que des URL de sites Web et des champs de données chiffrées (comme des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données de formulaires). « Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a déclaré le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme.

La société a révélé lundi comment l'acteur de la menace a mené cette attaque, déclarant qu'ils ont utilisé les informations volées lors d'une violation en août, des informations provenant d'une autre violation de données et une vulnérabilité d'exécution de code à distance pour installer un keylogger sur l'ordinateur d'un ingénieur DevOps sénior. Selon LastPass, cette deuxième attaque coordonnée a utilisé les données volées lors de la première violation pour accéder aux coffres chiffrés Amazon S3 de l'entreprise. Comme seuls quatre ingénieurs DevOps de LastPass avaient accès à ces clés de déchiffrement, l'acteur de la menace a ciblé l'un des ingénieurs.

Finalement, l'acteur de la menace a réussi à installer un keylogger (enregistreur de frappes) sur l'appareil de l'employé en exploitant une vulnérabilité d'exécution de code à distance dans un logiciel multimédia tiers. « L'acteur de la menace a pu capturer le mot de passe principal de l'employé au moment de la saisie, après que l'employé se soit authentifié avec MFA, et accéder au coffre-fort d'entreprise LastPass de l'ingénieur DevOps. Les acteurs de la menace ont ensuite exporté les entrées natives du coffre-fort d'entreprise et le contenu des dossiers partagés », indique un nouvel avis de sécurité publié lundi par LastPass sur son site Web.

Selon l'avis, ces derniers contenaient des notes sécurisées chiffrées avec les clés d'accès et de déchiffrement nécessaires pour accéder aux sauvegardes de production AWS S3 LastPass, à d'autres ressources de stockage dans le cloud et à certaines sauvegardes de base de données critiques connexes. L'utilisation d'identifiants valides a rendu difficile la détection de l'activité de l'acteur de la menace par les enquêteurs de l'entreprise, ce qui a permis au pirate d'accéder aux serveurs de stockage dans le cloud de LastPass et d'y voler des données - personnelles et d'entreprises - sur une période de plus de deux mois, entre le 12 août 2022 et le 26 octobre 2022.

LastPass a finalement détecté le comportement anormal par le biais des alertes AWS GuardDuty lorsque l'acteur de la menace a tenté d'utiliser les rôles IAM (Identity and Access Management) du cloud pour effectuer une activité non autorisée. La société note également qu'elle a depuis mis à jour sa posture de sécurité, notamment en faisant tourner les informations d'identification sensible et les clés/jetons d'authentification, en révoquant les certificats, en ajoutant une journalisation et des alertes supplémentaires et en appliquant des politiques de sécurité plus strictes. L'avis donne également plus d'informations sur le nombre de données consultées.

Selon le client, ces données sont nombreuses et variées, allant d'informations relatives à l'authentification multifactorielle (MFA) aux secrets d'intégration de l'API MFA, en passant par la clé du composant de connaissance ("K2") pour les clients de Federated Business. Une liste complète des données volées est présentée ci-dessous :

Résumé des données consultées lors de l'incident 1 :

• référentiels de développement et de code source à la demande, basés sur le cloud : il s'agissait de 14 référentiels de logiciels sur 200 ;
• scripts internes des référentiels : ils contenaient des secrets et des certificats LastPass ;
• documentation interne : informations techniques décrivant le fonctionnement de l'environnement de développement.

Résumé des données consultées lors de l'incident 2 :

• secrets DevOps : secrets restreints qui ont été utilisés pour accéder au stockage de sauvegarde basé sur le cloud de LastPass ;
• stockage de sauvegarde dans le cloud : il contenait des données de configuration, des secrets d'API, des secrets d'intégration de tiers, des métadonnées de clients et des sauvegardes de toutes les données du coffre-fort des clients. Toutes les données sensibles du coffre-fort du client - autres que les URL, les chemins d'accès aux logiciels LastPass Windows ou macOS installés, et certains cas d'utilisation impliquant des adresses email - seraient chiffrées à l'aide du modèle de connaissance zéro de LastPass et ne pourraient être déchiffrées qu'avec une clé de chiffrement unique dérivée du mot de passe principal de chaque utilisateur ;
• sauvegarde de la base de données MFA/Fédération de LastPass : elle contenait des copies des informations de LastPass Authenticator, des numéros de téléphone utilisés pour l'option de sauvegarde MFA (si elle est activée), ainsi qu'un composant de connaissance partagée (la "clé" K2) utilisé pour la fédération LastPass (si elle est activée). Cette base de données était chiffrée, mais la clé de déchiffrement stockée séparément a été incluse dans les secrets volés par l'acteur de la menace lors du deuxième incident.

La mise à jour publié lundi indique que les tactiques, techniques et procédures utilisées lors du premier incident étaient différentes de celles utilisées lors du second et que, par conséquent, il n'était pas clair au départ pour les enquêteurs que les deux étaient directement liés. Lors du second incident, l'acteur de la menace a utilisé les informations obtenues lors du premier pour énumérer et exfiltrer les données stockées dans les coffres S3. « L'alerte et la journalisation étaient activées pendant ces événements, mais n'ont pas immédiatement indiqué le comportement anormal qui est devenu plus clair rétrospectivement pendant l'enquête », indique l'avis.

Tous les bulletins d'assistance publiés lundi ne sont pas faciles à trouver, aucun d'entre eux n'étant répertorié dans les moteurs de recherche, car LastPass a ajouté des balises HTML <meta name="robots" content="noindex"> au document afin d'empêcher leur indexation par les moteurs de recherche. LastPass a publié un PDF intitulé "Security Incident Update and Recommended Actions", qui contient des informations supplémentaires sur la violation et les données volées. La société a également créé des documents d'assistance contenant des actions recommandées à prendre pour les clients et les administrateurs de LastPass Business.

Selon une personne au fait d'un rapport privé de LastPass, le logiciel multimédia qui a été exploité sur l'ordinateur personnel de l'ingénieur DevOps était Plex. Plex est un important fournisseur de services de streaming multimédia qui permet aux utilisateurs de diffuser des films et des fichiers audio, de jouer à des jeux et d'accéder à leurs propres contenus hébergés sur des serveurs multimédias domestiques ou sur site. Plex a signalé une intrusion dans son réseau le 24 août. Cela a permis à l'auteur de la menace d'accéder à une base de données et de s'emparer de mots de passe, de noms d'utilisateur et d'emails de certains de ses 30 millions de clients.

Il n'est pas clair si la violation de Plex a un lien quelconque avec les intrusions de LastPass. Les représentants de LastPass et de Plex n'ont pas répondu aux courriels de demande de commentaires pour cette histoire. Selon les analystes, l'acteur de la menace à l'origine de la violation de LastPass s'est montré particulièrement ingénieux, et la révélation qu'il a réussi à exploiter une vulnérabilité logicielle sur l'ordinateur personnel d'un employé ne fait que renforcer ce point de vue.

Source : LastPass

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la description de LastPass concernant la violation qu'elle a subie ?
Selon vous, les gestionnaires de mots de passe sont-ils des logiciels indispensables ?

Voir aussi

LastPass : vos infos et vos données de coffre-fort de MdP sont désormais entre les mains de pirates, le gestionnaire de MdP révèle que la violation qu'il a reconnu en août est pire que prévu

Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source et relancent le débat sur la comparaison entre les gestionnaires de mots de passe

Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui, selon des experts qui évoquent « sa longue histoire d'incompétence et de négligence »

La dernière violation de données de LastPass a exposé certaines informations sur les clients, le PDG Karim révèle que cette violation a eu lieu à partir d'informations recueillies en août

[Anthony]

La dernière violation de LastPass aurait pu être stoppée par une mise à jour de Plex vieille de trois ans. La société a publié Plex Media Server 1.19.3 pour corriger cette faille

LastPass, qui était l'un des meilleurs gestionnaires de mots de passe du marché, a perdu sa réputation après avoir subi non pas une, mais deux violations massives de données l'année dernière. Nous avons appris plus de détails sur le deuxième incident la semaine dernière : une partie malveillante a installé un enregistreur de frappe sur l'ordinateur personnel d'un ingénieur senior grâce à un exploit dans Plex, le service de cloud personnel pour le stockage et la diffusion de films, et a pu ainsi pénétrer dans les caches de l'entreprise. Mais il s'avère que l'ingénieur avait également un rôle important à jouer dans cet échec majeur.

Plex a révélé que l'exploit en question a profité d'une vulnérabilité qui a été divulguée le 7 mai 2020. L'entreprise raconte que, pour une raison quelconque, l'employé de LastPass n'a jamais mis à jour son client pour appliquer le correctif.

La faille permettait à ceux qui avaient accès au compte Plex d'un administrateur de serveur de télécharger un fichier malveillant via la fonction Camera Upload et, en superposant les emplacements du répertoire de données du serveur avec une bibliothèque qui autorisait les Camera Uploads, de faire en sorte que le serveur multimédia l'exécute.

Le jour même, la société a publié la version 1.19.3 de Plex Media Server pour combler cette faille.

"Pour référence, la version qui corrigeait cet exploit datait d'environ 75 versions", a déclaré un porte-parole de LastPass.

Ce qui est flagrant pour nous, c'est que la chaîne d'événements qui a conduit à cette violation a commencé dès le sommet : LastPass a permis à cet employé senior d'accéder à des surfaces de travail privilégiées par le biais de son ordinateur personnel, ouvrant ainsi la possibilité à quelqu'un d'accéder au compte Plex de cet employé, d'exécuter un exploit corrigé depuis longtemps qui a fonctionné grâce à la négligence de l'employé susmentionné, et d'obtenir un accès illimité à ces surfaces de travail à partir de là.

Chaque étape de cette séquence a été mise en place par une décision qui a pu être justifiée pour une raison ou une autre à l'époque. Mais au vu de l'évolution des choses, LastPass aura besoin d'une plus grande pelle si elle veut se sortir de ce trou.

Source : Plex

Et vous ?

Quel est votre avis sur le sujet ?
Selon vous, est-il possible de se passer des gestionnaires de mots de passe tels que LastPass ?
Que pensez-vous des performances de LastPass par rapport aux autres outils de gestion de mots de passe (BitWarden, KeePass, etc.) ?

Voir aussi :

Les spécialistes de la cybersécurité s'attaquent au communiqué de LastPass suite à une violation de sécurité, « leur déclaration est pleine d'omissions, de demi-vérités et de mensonges éhontés »

LastPass affirme que le piratage de l'ordinateur d'un ingénieur DevOps a conduit à la brèche dans la sécurité en 2022, et aurait rendu difficile la détection de l'activité de l'acteur de la menace

Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui, selon des experts qui évoquent « sa longue histoire d'incompétence et de négligence »

[Invité]

Les boules...

[Stéphane le calme]

De nombreux utilisateurs de LastPass furieux de ne plus avoir accès à leurs comptes
en raison de la réinitialisation de la MFA (authentification multifactorielle)

LastPass est un gestionnaire de mots de passe qui utilise l’authentification multifactorielle (AMF) pour augmenter la sécurité des mots de passe principaux des utilisateurs. Cependant, certains utilisateurs ont été bloqués de leurs comptes après avoir été invités à réinitialiser leurs applications d’authentification (par exemple, LastPass Authenticator, Microsoft Authenticator, Google Authenticator) en raison de mises à niveau de sécurité planifiées. Ces problèmes durent depuis début mai.

Selon plusieurs rapports, les utilisateurs affectés ont reçu un message les informant qu’ils devaient réenregistrer leurs applications d’AMF, telles que Google Authenticator ou Microsoft Authenticator, en raison d’un changement dans la façon dont LastPass dérive la clé de chiffrement à partir du mot de passe principal. Cependant, après avoir suivi les instructions et réenregistré leurs applications d’AMF, les utilisateurs se sont retrouvés dans une boucle infinie où ils étaient constamment invités à réinitialiser leurs applications d’AMF à chaque tentative de connexion.

De plus, les utilisateurs concernés ne peuvent pas demander de l’aide au support de LastPass, car cela nécessite de se connecter à leur compte, ce qu’ils ne peuvent pas faire car ils sont bloqués par la demande de réinitialisation de l’AMF. Certains utilisateurs ont déclaré avoir attendu des semaines sans recevoir de réponse du support de LastPass.

« La resynchronisation forcée de MFA m'empêche maintenant de me connecter car LastPass ne reconnaîtra pas le nouveau code MFA. J'ai essayé la messagerie privée mais le message n'est pas envoyé. Que se passe-t-il? Il est clair que cela impacte beaucoup d'utilisateurs », a déclaré un utilisateur.

« Après avoir réinitialisé mon MFA, j'ai complètement perdu l'accès à mon coffre-fort. MasterPW ne fonctionne pas et ne se réinitialise pas, et l'e-mail de réinitialisation ne m'est jamais livré. Impossible de contacter mon support 'Premium' car une connexion est requise », a ajouté un autre.

« J'ai été invité à ressaisir le mot de passe principal, puis obligé de mettre à jour MFA, ce que j'ai fait avec succès, et maintenant je ne peux plus du tout me connecter. Je ne peux même pas ouvrir de ticket d'assistance car vous devez vous connecter pour faire alors », a déclaré un utilisateur, demandant de l'aide sur le site Web de la communauté LastPass.

LastPass indique que les réinitialisations MFA ont été annoncées via des messages intégrés à l'application pendant « plusieurs semaines » avant l'annonce initiale : « Salut Fabio. Un message intégré à l'application a été affiché pendant plusieurs semaines et un e-mail a été envoyé il y a plus d'un mois. Si vous n'utilisez pas l'application et que vous êtes désabonnés de la liste de diffusion par e-mails, je suis désolé que le changement n'ait pas été suffisamment clair ».

Hey, Fabio. There was an in-app message populated for several weeks, and an email sent out 1+ months ago. If you don't use the app, and have unsubscribed emails then I'm sorry the change wasn't made clear enough.
^AC

— LastPass Support (@LastPassHelp) May 10, 2023

Cela a poussé LastPass à publier plusieurs avis sur les mises à niveau de sécurité expliquant que cela est fait pour augmenter les itérations de mot de passe à la nouvelle valeur par défaut de 600 000 tours. Dans un bulletin d'assistance LastPass envoyé aux utilisateurs concernés, LastPass a déclaré :

Pour augmenter la sécurité de votre mot de passe principal, LastPass utilise une version plus puissante que la normale de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2). Dans sa forme la plus basique, PBKDF2 est un "algorithme de renforcement de mot de passe" qui rend difficile pour un ordinateur de vérifier que n'importe quel mot de passe est le mot de passe principal correct lors d'une attaque compromettante.

LastPass utilise la fonction PBKDF2 implémentée avec SHA-256 pour transformer votre mot de passe principal en clé de cryptage. LastPass effectue un nombre personnalisable de tours de la fonction pour créer la clé de chiffrement, avant qu'un seul tour supplémentaire de PBKDF2 ne soit effectué pour créer votre hachage de connexion.

L'ensemble du processus est mené côté client. Le hachage de connexion résultant est celui qui est communiqué avec LastPass. LastPass utilise le hachage pour vérifier que vous saisissez le bon mot de passe principal lorsque vous vous connectez à votre compte.

LastPass effectue également un grand nombre de tours de PBKDF2 côté serveur. Cette implémentation de PBKDF2 côté client et côté serveur garantit que les deux parties de vos données - la partie stockée hors ligne localement et la partie stockée en ligne sur les serveurs LastPass - sont parfaitement protégées.

Le nombre minimum par défaut d'itérations de mot de passe est de 600 000 tours (pour les nouveaux comptes et ceux qui mettent à jour leur nombre d'itérations existantes).

Sur Twitter, LastPass a déclaré à un utilisateur :

Salut Sam. Il y a eu un processus de mise à niveau de sécurité en cours lancé par le système LastPass, qui augmente les itérations de mot de passe et force une resynchronisation de tous les MFA de l'utilisateur. Si vous rencontrez toujours des problèmes de connexion, veuillez m'envoyer l'adresse e-mail concernée par DM pour une vérification de l'état.

Hi, Sam. There has been an ongoing security upgrade process initiated by the LastPass system, which increases the password iterations and forces a re-sync of all user's MFA. If you're still experiencing login trouble, please DM me the affected email address for a status check.

— LastPass (@LastPass) June 21, 2023

Dans un autre avis, la société indique que les utilisateurs sont invités à se réinscrire à l'authentification multifacteur pour leur sécurité lorsqu'ils se connectent à LastPass :

Pour votre sécurité, vous devrez peut-être réinitialiser votre application d'authentification (LastPass Authenticator, Microsoft Authenticator, Google Authenticator) lors de la connexion à LastPass.

LasPass communique la procédure dans un document d'assistance et dans une vidéo

La procédure détaillée requise pour réinitialiser le couplage entre LastPass et l'application d'authentification (LastPass Authenticator, Microsoft Authenticator ou Google Authenticator) est décrite en détail dans un document d'assistance.

La prochaine fois que vous vous connecterez à un site Web ou à une application à l'aide de LastPass, vous serez invité à vérifier votre position. Lorsque vous vous connectez à un site Web ou à une application où vous avez utilisé LastPass pour vous connecter, vous devez saisir à nouveau vos informations d'identification et vous authentifier à l'aide de votre application d'authentification.

Les utilisateurs seront également invités à vérifier leur emplacement la prochaine fois qu'ils se connecteront à un site Web ou à une application en utilisant LastPass comme mesure de sécurité supplémentaire.

Dans le cadre du même processus, les utilisateurs devront ressaisir leurs identifiants de connexion et s'authentifier à nouveau à l'aide de leur application d'authentification.

« Suite aux incidents de 2022, nous avons envoyé des e-mails et des communications intégrées au produit à notre clientèle en leur recommandant de réinitialiser leurs secrets MFA avec leur application d'authentification préférée par mesure de précaution. Cette recommandation a également été incluse dans les bulletins de sécurité que nous avons envoyés à notre B2C et les clients B2B début mars et une deuxième communication par e-mail début avril », a déclaré un porte-parole de LastPass.

« Cependant, un sous-ensemble de nos clients n'a toujours pas pris cette mesure, nous les avons donc incités à agir lors de leur prochaine connexion à LastPass. Nous avons lancé cette invite dans le produit début juin dans l'espoir qu'elle serait obtenir une meilleure réponse que nos e-mails ».

Un outil ciblé par des cybercriminels

Ces problèmes surviennent après que LastPass a révélé une faille de sécurité. LastPass a été confronté l'an dernier à une série d'attaques qui a compromis les données sensibles de ses utilisateurs. Certaines déclarations de la société en décembre dernier ont fait l'effet d'une bombe et attisé l'ire des clients et d'autres acteurs de la communauté. En effet, LastPass avait déjà été victime d'une violation de données jugée "mineure" en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusives. Les pirates avaient pu copier des parties du code source et certaines informations techniques propriétaires de LastPass.

L'entreprise a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés. Cependant, en décembre, LastPass a publié une mise à jour sur la brèche de sécurité et a déclaré que les pirates avaient réussi à accéder aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses email, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux différents services du gestionnaire de mots de passe.

Conclusion

Les utilisateurs mécontents ont exprimé leur frustration sur les réseaux sociaux et les forums, affirmant qu’ils allaient abandonner LastPass et passer à d’autres gestionnaires de mots de passe. Certains ont également déclaré qu’ils craignaient pour la sécurité de leurs données stockées dans le coffre-fort de LastPass. Pour Jeremi Gosney, chercheur en sécurité, il faut s'éloigner du gestionnaire « en raison de sa longue histoire d'incompétence ».

LastPass n’a pas encore fait de déclaration officielle sur le problème ni indiqué quand il serait résolu.

Sources : LastPass (1, 2, 3), commentaires utilisateurs (1, 2)

Et vous ?

Utilisez-vous LastPass comme gestionnaire de mots de passe? Si oui, avez-vous été touché par le problème d’AMF?
Quelle est votre opinion sur la façon dont LastPass a géré la situation?
Quelles sont les mesures que vous prenez pour protéger vos mots de passe et vos données en ligne?
Quels sont les avantages et les inconvénients de l’authentification multifactorielle?
Quel autre gestionnaire de mots de passe utilisez-vous ou envisagez-vous d’utiliser?

[Stéphane le calme]

LasPass piraté : plus de 35 millions de dollars en crypto ont été volés à plus de 150 victimes depuis décembre,
« presque toutes les victimes » étaient des utilisateurs de LastPass

Les experts en sécurité affirment que certains des coffres-forts de mots de passe LastPass volés lors d’une faille de sécurité vers la fin de 2022 ont maintenant été ouverts à la suite d’une série de braquages ​​de crypto-monnaie à six chiffres. Le blogueur en cybersécurité Brian Krebs rapporte que plusieurs chercheurs ont identifié un « ensemble d'indices hautement fiables » qui relient apparemment plus de 150 victimes de vol de cryptographie au service LastPass. Collectivement, plus de 35 millions de dollars de crypto-monnaies auraient été volés jusqu’à présent, avec entre deux et cinq braquages ​​de grande valeur survenant chaque mois depuis décembre 2022.

LastPass, un service populaire de gestion de mots de passe, a été victime de deux incidents de sécurité majeurs en 2022, qui ont exposé les données personnelles, les informations de facturation et les coffres-forts (contenant les mots de passe et d’autres secrets) de ses clients. Ces coffres-forts, qui sont normalement chiffrés et protégés par le mot de passe maître du client, ont été dérobés par des cybercriminels qui ont réussi à les déchiffrer en exploitant une vulnérabilité dans un logiciel tiers utilisé par LastPass.

Depuis décembre 2022, plus de 150 victimes de vols de crypto-monnaies ont été identifiées par des experts en sécurité, qui ont établi un lien entre ces attaques et le service LastPass.

Taylor Monahan, chef de produit principal de la société de portefeuille crypto MetaMask et l'un des principaux chercheurs enquêtant sur les attaques, a conclu que le fil conducteur reliant les victimes était que « presque toutes les victimes » avaient utilisé LastPass pour stocker leur « phrase secrète » (une clé numérique privée qui est nécessaire pour accéder aux investissements en crypto-monnaies). Ces clés sont souvent stockées sur des services chiffrés comme les gestionnaires de mots de passe pour empêcher aux acteurs malveillants d’accéder aux portefeuilles de crypto-monnaies.

Le chercheur Nick Bax, directeur des analyses de la société de récupération de portefeuilles crypto Unciphered, a également examiné les données de vol et a souscrit aux conclusions de Monahan dans une interview avec KrebsOnSecurity : « Je suis suffisamment convaincu qu'il s'agit d'un problème réel et j'ai exhorté mes amis et ma famille qui utilisent LastPass à changer tous leurs mots de passe et à migrer toute crypto qui aurait pu être exposé, même s'ils savent très bien à quel point cela est fastidieux. »

Au total, plus de 35 millions de dollars en crypto-monnaies ont été volés jusqu’à présent, avec entre deux et cinq vols à forte valeur ajoutée qui se produisent chaque mois depuis décembre 20222. Les fonds volés ont également été transférés vers les mêmes adresses blockchain, ce qui renforce le lien entre les victimes.

La réaction de LastPass

Le service de gestion de mots de passe LastPass a subi deux failles de sécurité connues en août et novembre de l'année dernière, des pirates informatiques utilisant les informations obtenues lors de la première violation pour accéder au stockage cloud partagé contenant les clés de chiffrement des clients pour les sauvegardes du coffre-fort lors du dernier incident.

Dans un communiqué, Karim Toubba, PDG de LastPass, affirme que la faille de sécurité de novembre dernier reste « l'objet d'une enquête en cours par les forces de l'ordre et fait également l'objet d'un litige en cours ». La société n’a pas précisé si les violations de LastPass de 2022 avaient quelque chose à voir avec les vols de cryptographie signalés.

Les experts en sécurité recommandent aux utilisateurs de LastPass de changer tous leurs mots de passe et de migrer toute crypto-monnaie qui pourrait avoir été exposée, malgré la difficulté que cela représente. Ils conseillent également aux utilisateurs de vérifier régulièrement l’activité de leur compte LastPass et de leur portefeuille de crypto-monnaies, et d’utiliser des mesures supplémentaires de protection comme l’authentification à deux facteurs ou un coffre-fort hors ligne.

LastPass ou pas/plus LastPass ?

Pour Jeremi Gosney, chercheur en sécurité, il faut s'éloigner du gestionnaire « en raison de sa longue histoire d'incompétence »

Vous trouverez ci-dessous une liste non ordonnée des raisons pour lesquelles j'ai perdu toute foi dans Last Pass :

• L'affirmation de LastPass de "zéro connaissance" est un mensonge éhonté. Ils ont à peu près autant de connaissances qu'un gestionnaire de mots de passe pourrait avoir. Chaque fois que vous vous connectez à un site, un événement est généré et envoyé à LastPass dans le seul but de suivre les sites auxquels vous vous connectez. Vous pouvez désactiver la télémétrie, sauf que la désactiver ne fait rien - l'application enverra toujours des données à LastPass chaque fois que vous vous authentifiez quelque part. De plus, presque tout dans votre coffre-fort LastPass n'est pas chiffré. Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de données chiffrée où l'intégralité du fichier est protégé, mais non - avec LastPass, votre coffre-fort est un fichier en texte brut et seuls quelques champs sélectionnés sont chiffrés.
• LastPass a l'habitude d'ignorer les chercheurs en sécurité et les rapports de vulnérabilités, et ne participe pas à la communauté infosec ni à la communauté de hacking de mots de passe. Les signalements de vulnérabilité restent non reconnus et non résolus pendant des mois, voire des années, voire jamais. Pendant un certain temps, ils avaient même un mauvais contact répertorié pour leur équipe de sécurité. Bugcrowd signale les vulnérabilités pour eux maintenant, et la plupart sinon tous les rapports de vulnérabilités sont gérés directement par Bugcrowd et non par LastPass. Si vous essayez de signaler une vulnérabilité au support LastPass, ils prétendront qu'ils ne comprennent pas et ne transmettront pas votre ticket à l'équipe de sécurité. Maintenant, Tavis Ormandy a félicité LastPass pour sa réponse rapide aux rapports de vulnérabilité, mais j'ai l'impression que c'est simplement parce que c'est Tavis / Project Zero qui les signale car ce n'est pas l'expérience que la plupart des chercheurs ont eue.

Vous savez, je ne recommande pas simplement aux utilisateurs de rejeter LastPass à cause de cette dernière violation. Je vous recommande de courir aussi loin que possible de LastPass en raison de sa longue histoire d'incompétence, d'apathie et de négligence. Il est tout à fait clair qu'ils ne se soucient pas de leur propre sécurité, et encore moins de votre sécurité.

L'analyste Steven J. Vaughan-Nichols vote pour Bitwarden

Je trouve un peu étrange que LastPass ne donne à personne plus de détails sur ce qui s'est passé avec le vol. Bitwarden, en revanche, est transparent avec ses audits et ses certifications en plus de sa base de code ouverte. La différence est claire. LastPass vous recommande de changer votre mot de passe principal et tous vos autres mots de passe. Je vous recommande de dire au revoir à LastPass et de passer à un autre gestionnaire de mots de passe.

Il existe de nombreux bons gestionnaires de mots de passe. Ils incluent 1Password, DashLane et NordPass. Mais côté offre payante ou gratuite, vous ne verrez pas mieux que Bitwarden.

Bitwarden est une sorte de programme open source. Plus précisément, il utilise une licence disponible à la source. La société admet que la licence Bitwarden n'est pas considérée comme open source selon la définition de l'Open Source Initiative (OSI), mais elle « pense que la licence équilibre avec succès les principes d'ouverture et de communauté avec nos objectifs commerciaux ».

Laissant de côté le problème de licence, le côté pratique de Bitwarden est qu'il est libre d'être utilisé à la fois sur un serveur ou un client. Par exemple, en tant que client, vous pouvez l'exécuter sur Linux, Windows, macOS, Android, iPhone et iPad. Avec ses extensions de navigateur, vous pouvez également l'utiliser sur Brave, Chrome, Edge, Firefox, Safari, Opera, Vivaldi et Tor. Le coût? Vous pouvez l'exécuter gratuitement sur tous les appareils et navigateurs dont vous disposez.

Sources : Taylor Monahan, communiqué LastPass

Et vous ?

Que pensez-vous de l’utilisation des gestionnaires de mots de passe comme LastPass pour stocker vos données sensibles ? Quels sont les avantages et les inconvénients de ce type de service ? Peut-on faire confiance aux gestionnaires de mots de passes ?
Avez-vous déjà été victime d’un vol de crypto-monnaies ou d’une tentative de phishing ? Si oui, comment avez-vous réagi et quelles mesures avez-vous prises pour vous protéger ?
Quelle est votre opinion sur la responsabilité de LastPass dans cet incident de sécurité ? Pensez-vous que la société a fait assez pour informer ses clients et les indemniser ?
Quelles sont les meilleures pratiques pour sécuriser vos investissements en crypto-monnaies ? Quels sont les outils ou les services que vous recommandez pour gérer vos clés privées et vos portefeuilles ?
Comment voyez-vous l’avenir des crypto-monnaies face aux menaces croissantes des cybercriminels ? Pensez-vous que les régulations ou les innovations technologiques peuvent aider à prévenir ce genre d’attaques ?

[QBasic]

C'est une hérésie d'utiliser un gestionnaire de mots de passe qui stocke des données quelque part dans un cloud inconnu !
C'est tellement plus sûr d'utiliser des solutions matérielles et sans connexion (par exemple Hoplite Key Manager).

[Aiekick]

mdr. lastpass qui stocke les clefs des utilisateurs dans un cloud.. haha.

mon gestionnaire de mot de passe a encore de beau jour devant lui.

je sais pas ce qui est le pire ? lastpass qui stocke dans le cloud ou les utilisateurs qui lui font confiance.

forcemment pour des pirates, c'est une cible de choix..

[Stéphane le calme]

Les conséquences du piratage de LastPass en 2022 continuent de frapper les utilisateurs : des pirates utilisent les données volées pour subtiliser
des millions de dollars en cryptomonnaie dans des dizaines de portefeuilles

LastPass a été victime d'une violation de données en décembre 2022, lorsque les pirates ont pu copier une sauvegarde des données du coffre-fort des clients à partir d'un stockage chiffré. Selon ZachXBT, un expert en blockchain, ce sont ces données qui ont permis aux pirates de dérober 5,36 millions de dollars dans 40 portefeuilles numériques. Ce nouveau vol s’ajoute à une longue série : en octobre 2023, 4,4 millions de dollars avaient été subtilisés, suivis de 6,2 millions de dollars en février 2024. Les fonds volés ont été échangés contre de l'Ether ETH et transférés vers « diverses bourses instantanées », a indiqué ZachXBT, dans un message envoyé le 17 décembre à ses 48 400 abonnés sur Telegram. ZachXBT a soumis des preuves sur la chaîne de blocs des dernières attaques de LastPass sur la plateforme de signalement d'escroqueries cryptographiques Chainabuse.

Le contexte

Les pirates responsables de l'intrusion dans LastPass en 2022 ont poursuivi leur action en utilisant les données volées pour s'emparer de 5,36 millions de dollars provenant de 40 portefeuilles de crypto-monnaies. Lors du piratage d'août 2022, ils ont eu accès à des informations qui leur ont permis d'ouvrir une brèche dans un environnement de stockage basé sur le cloud qui stockait des clés de clients, des jetons d'API, des semences (seed) d'authentification multifactorielle (MFA) et des coffres-forts de mots de passe chiffrés. Bien que les coffres-forts de mots de passe soient chiffrés, le mot de passe principal utilisé pour les ouvrir pouvait toujours être forcé brutalement s'il était faible, réutilisé ou avait déjà fait l'objet d'une fuite, ce qui pourrait être la raison d'une série de vols de crypto-monnaies contre les utilisateurs de LastPass depuis 2022.

L'évolution

En août 2022, LastPass, le gestionnaire de mots de passe, a révélé que son code source et des informations techniques propriétaires avaient été volés. L'entreprise a également confirmé que les pirates ont eu accès à ses systèmes internes pendant quatre jours.

Dans une mise à jour de décembre de cette même année, la société a déclaré que les pirates avaient accédé aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux services LastPass. Les pirates ont également copié une sauvegarde des données du coffre-fort client qui comprenait des données non chiffrées telles que des URL de sites Web et des champs de données chiffrés tels que des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires.

« Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a expliqué le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme. Zero Knowledge fait référence à des systèmes de stockage impossibles à déchiffrer pour le fournisseur de services.

Si LastPass a indiqué en février 2023 que c'est le piratage de l'ordinateur d'un ingénieur DevOps qui a conduit à l'une des brèches dans sa sécurité en 2022, la deuxième attaque aurait pu être stoppée par une mise à jour de Plex vieille de trois ans.

En effet, un logiciel malveillant a installé un enregistreur de frappe sur l'ordinateur personnel d'un ingénieur senior grâce à un exploit dans Plex, le service de cloud personnel pour le stockage et la diffusion de films, et a pu ainsi pénétrer dans les caches de l'entreprise. Mais il s'avère que l'ingénieur avait également un rôle important à jouer dans cet échec majeur. Plex a révélé que l'exploit en question a profité d'une vulnérabilité qui a été divulguée le 7 mai 2020. L'entreprise raconte que, pour une raison quelconque, l'employé de LastPass n'a jamais mis à jour son client pour appliquer le correctif.

Les répercussions se poursuivent

Le dernier vol en date est lié à la violation de LastPass, selon un expert en blockchain connu sous le nom de ZachXBT. ZachXBT affirme dans un message sur Telegram qu'il s'agit du dernier d'une longue série de vols de crypto-monnaies touchant les victimes de la faille de LastPass, avec 4,4 millions de dollars volés en octobre 2023, et un autre vol de 6,2 millions de dollars en février 2024.

Just on October 25, 2023 alone another ~$4.4M was drained from 25+ victims as a result of the LastPass hack.

Cannot stress this enough, if you believe you may have ever stored your seed phrase or keys in LastPass migrate your crypto assets immediately. pic.twitter.com/26HsxrlnCb

— ZachXBT (@zachxbt) October 27, 2023

« Les fonds volés ont été échangés contre de l'ETH et transférés sur divers échanges instantanés d'Ethereum à Bitcoin », a écrit ZachXBT dans son message Telegram. « On ne peut pas assez insister sur ce point, si vous pensez que vous avez déjà stocké votre phrase de démarrage ou vos clés dans LastPass, migrez vos actifs crypto immédiatement. »

Des médias spécialisés ont précédemment rapportés qu'entre août et décembre 2022, plus de 35 millions de dollars ont été volés à 150 victimes apparentes de la violation de LastPass.

Ces violations ultérieures de portefeuilles de crypto-monnaie soulignent l'importance d'utiliser des mots de passe uniques pour chaque compte et de s'assurer que chaque mot de passe respecte les normes de sécurité recommandées en utilisant l'un des meilleurs générateurs de mots de passe.

Même si vous avez changé de fournisseur de gestionnaire de mots de passe depuis la violation de LastPass, tous les mots de passe compromis qui sont encore réutilisés sont en danger, comme le prouvent ces vols de cryptomonnaies. Il est également recommandé d'utiliser une application d'authentification forte qui utilise la vérification biométrique pour sécuriser vos comptes même si un attaquant connaît votre nom d'utilisateur et votre mot de passe.

Leçons à tirer

Cet incident souligne l'importance cruciale de la sécurité dans le monde numérique. Les utilisateurs sont invités à renforcer leurs pratiques de sécurité, notamment en utilisant des mots de passe complexes et uniques, en activant l'authentification à deux facteurs, et en surveillant régulièrement leurs comptes pour détecter des activités suspectes.

Pour les entreprises, cet événement doit servir de signal d'alarme. La confiance des consommateurs repose sur une protection robuste des données sensibles. Investir dans des systèmes de sécurité avancés et adopter une transparence proactive sont des étapes essentielles pour éviter de telles catastrophes à l'avenir.

Décembre et Noël, la saison des pirates informatiques

La dernière série de piratages de LastPass intervient dans un contexte de recrudescence des escroqueries à l'approche des fêtes de fin d'année. La société de sécurité blockchain Cyvers a souligné que la « saison des pirates informatiques » est maintenant arrivée et a exhorté tout le monde à « ne pas faire confiance à tout ce qui a l'air trop festif », à ne pas révéler ses codes 2FA et même à éviter de se connecter à des réseaux WiFi gratuits.

🎁 This is the season to be jolly... and for hackers to be naughty.
🦹December isn’t just about mistletoe and honey— it’s hacker season, too; between shopping sprees, festive distractions, and late-night transactions, it’s open season for scams.

🎄 Here’s your crypto survival… pic.twitter.com/qKZY8PuGB0

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) December 16, 2024

Meta, le géant des médias sociaux derrière Facebook, Instagram et WhatsApp, a également envoyé récemment un avertissement à ses utilisateurs, identifiant plusieurs campagnes d'escroquerie ciblant les acheteurs de vacances, allant des fausses promotions de coffrets cadeaux de Noël aux ventes frauduleuses de décorations de vacances, en passant par les coupons de vente au détail contrefaits.

Alors que vous êtes à la recherche de cadeaux et de bonnes affaires en ligne, voici quelques conseils à garder à l'esprit pour rester en sécurité :

• Soyez attentif aux courriels et aux textes d'hameçonnage - Les escrocs peuvent envoyer un texte ou un courriel à partir d'une adresse imitant une marque connue ou même votre banque.
• Évitez de communiquer des informations personnelles - Les escrocs peuvent essayer de vous inciter à communiquer des informations personnelles en vous demandant de confirmer vos coordonnées bancaires par SMS ou par courrier électronique ou de participer à une enquête.
• Soyez vigilant lorsque vous payez en ligne - Les escrocs peuvent essayer de vous faire payer à l'avance ou d'utiliser des paiements de pair à pair qui ne peuvent pas être annulés.

Escroqueries à surveiller pendant les fêtes de fin d'année

En plus de nos activités de détection et de répression des escroqueries, nous avons collaboré avec les chercheurs en logiciels libres de Graphika pour repérer et perturber les escroqueries qui profitent des fêtes de fin d'année. Lorsque ces escroqueries sont apparues sur nos applications, nous avons pris des mesures contre leurs auteurs, notamment en bloquant leurs sites web et en supprimant leurs comptes. Voici trois exemples d'escroqueries courantes dont il faut se méfier à l'approche des fêtes, d'après les recherches de Graphika:

• Coupons de réduction pour les fêtes. Nous avons démantelé des escrocs qui proposaient à des personnes aux États-Unis, en Inde et au Royaume-Uni de faux coupons et de fausses cartes-cadeaux dans le but de les inciter à fournir des informations personnelles. Ils ont publié des messages sur plusieurs plateformes, notamment Telegram, Facebook et Pinterest, et ont dirigé les gens vers des sites web imitant les médias sociaux, où ils étaient invités à remplir un sondage avec leur sexe, leur âge, leur revenu, leur statut professionnel et leur niveau d'intérêt pour les crypto-monnaies afin de participer à un tirage au sort. Ces sites web affichaient de faux commentaires de personnes affirmant avoir gagné lors de tirages précédents « alors qu'elles pensaient qu'il s'agissait d'une arnaque ».
• Promesse de coffrets de Noël. Nous avons démantelé des escrocs qui ciblaient des utilisateurs francophones, hispanophones et anglophones avec de fausses promesses de cadeaux et de prix. Ils publiaient des photos de faux prix sur plusieurs applications, notamment Threads, X, Facebook et des forums de discussion en ligne comme Quora. Si quelqu'un commentait les messages, les escrocs le dirigeaient vers des applications de messagerie ou des sites web de Google Sites et lui demandaient des cadeaux ou des prix.
• Décorations de Noël à prix réduit. Nous avons démantelé des escrocs qui ciblaient des utilisateurs anglophones, francophones, italophones et germanophones en leur proposant des arbres de Noël artificiels et des décorations à des prix extrêmement bas. Les escrocs ont copié des vidéos de décorations de Noël de personnes réelles sur l'internet et, après avoir ajouté des voix off générées par l'IA décrivant les marchandises et avertissant que les stocks étaient limités, ils ont posté ces vidéos sur de multiples plateformes telles que Facebook, Pinterest et d'autres. Si quelqu'un répondait, les escrocs le dirigeaient vers des sites web, dont certains créés à l'aide des services de Shopify, pour effectuer un achat qui n'arrivait jamais.

Les crypto-escrocs pourraient chercher à rattraper le terrain perdu pendant les fêtes de fin d'année, après que les pertes dues au phishing ont chuté de 53 % d'un mois sur l'autre en novembre, pour atteindre 9,3 millions de dollars.

Conclusion

Le piratage de LastPass est un rappel brutal des risques inhérents à la dépendance croissante aux plateformes numériques. Alors que les conséquences continuent de se dérouler, il est clair que la sécurité informatique n'est pas seulement un problème technique, mais une question de confiance publique et de responsabilité collective.

Sources : ZachXBT sur Telegram et Chainabuse, Meta

Et vous ?

Les gestionnaires de mots de passe centralisés représentent-ils un modèle viable, ou devrions-nous envisager des alternatives décentralisées ?

Comment les utilisateurs peuvent-ils mieux se protéger contre le vol financier suite à un piratage de leurs données personnelles ?

Les banques et autres institutions financières devraient-elles offrir des mécanismes spécifiques de compensation pour les victimes de cyberattaques ?

LastPass aurait-il dû anticiper ce type d'attaque avec des mesures de sécurité préventives plus robustes ?

Cet incident pourrait-il entraîner une perte massive de confiance envers les gestionnaires de mots de passe ? Quelles pourraient être les conséquences à long terme pour l'industrie ?

[QBasic]

En même temps, c'est tout de même assez risqué de confier ses données confidentielles à un tiers...

[Anthony]

Le Royaume-Uni inflige une amende de 1,2 million £ à LastPass UK pour ne pas avoir mis en œuvre des mesures de sécurité adéquates, ce qui a conduit à une violation de données touchant 1,6 million de clients

L'Information Commissioner's Office (ICO) du Royaume-Uni a infligé une amende de 1,2 million de livres sterling à LastPass UK Ltd, après avoir conclu qu'une double faille de sécurité survenue en 2022 avait conduit à une violation majeure de données exposant les informations personnelles de près de 1,6 million d'utilisateurs britanniques. Bien que le chiffrement zéro connaissance de l'entreprise ait permis de sécuriser les coffres-forts de mots de passe, les enquêteurs ont découvert que des faiblesses dans les contrôles internes avaient permis à des pirates d'accéder à des données sensibles concernant les clients, telles que les noms, les adresses e-mail, les URL et les numéros de téléphone stockés. L'autorité britannique a invité toutes les entreprises du pays à « examiner leurs propres systèmes afin de s'assurer qu'elles n'exposent pas leurs clients à des risques similaires ».

LastPass est l'un des gestionnaires de mots de passe les plus utilisés au monde, comptant plus de 30 millions d'utilisateurs individuels et plus de 85 000 entreprises clientes. La version standard de LastPass est fournie avec une interface Web, mais comprend également une extension de navigateur, une application pour smartphone et la prise en charge des bookmarklets. Fondée en 2008 par quatre développeurs, LastPass a été rachetée par GoTo (anciennement LogMeIn Inc.) pour 110 millions de dollars en 2015. LastPass s'est séparée de GoTo pour devenir une entreprise indépendante en 2024.

Cette affaire s'inscrit dans le prolongement des révélations de 2022, lorsque LastPass a reconnu que des pirates informatiques ont obtenu un accès interne à son système pendant quatre jours. Initialement présentée comme un vol de codes sources et d'informations techniques, l'enquête menée par LastPass a finalement révélé des failles profondes dans les contrôles d'accès internes, mettant en lumière des insuffisances structurelles dans la gouvernance de la sécurité du gestionnaire de mots de passe.

Le 11 décembre 2025, l'Information Commissioner's Office (ICO) du Royaume-Uni a annoncé avoir infligé une amende de 1,2 million de livres sterling à LastPass UK Ltd pour ne pas avoir mis en œuvre des mesures de sécurité adéquates, ce qui a conduit à une violation majeure des données en 2022 qui a exposé les informations personnelles de près de 1,6 million de clients britanniques.

Bien que les mots de passe stockés dans les coffres-forts LastPass n'aient pas été compromis grâce à la conception du chiffrement zéro connaissance de l'entreprise, les pirates ont pu accéder à des métadonnées sensibles, notamment les noms, adresses e-mail, numéros de téléphone et URL des sites stockés.

L'enquête de l'ICO a conclu que la violation résultait de deux incidents de sécurité liés entre eux. Le premier s'est produit en août 2022, lorsqu'un pirate informatique a exploité une vulnérabilité pour accéder à l'ordinateur portable professionnel d'un développeur LastPass en Europe. Ce premier point d'ancrage a permis au pirate d'extraire des identifiants chiffrés liés à l'environnement de développement de l'entreprise.

Malgré les efforts de LastPass pour limiter les dégâts, le pirate a élargi son accès en compromettant l'appareil personnel d'un cadre supérieur aux États-Unis, qui avait accès aux clés de déchiffrement stockées dans son coffre-fort. Une vulnérabilité connue dans une application de streaming tierce a été utilisée pour installer un enregistreur de frappe sur l'appareil de la victime, contournant ainsi l'authentification multifactorielle via un cookie précédemment approuvé et capturant le mot de passe principal qui reliait les coffres-forts personnels et professionnels.

Cet accès privilégié a permis au pirate de récupérer les identifiants Amazon Web Services (AWS) et les clés de chiffrement nécessaires pour accéder au stockage de sauvegarde de LastPass. Il a ainsi pu exfiltrer de grandes quantités d'informations sur les clients, même si les coffres-forts de mots de passe chiffrés sont restés protégés.

Le service LastPass est connu pour son utilisation du chiffrement zéro connaissance, ce qui signifie que même les employés de LastPass ne peuvent pas accéder au contenu des coffres-forts des utilisateurs et que les mots de passe principaux ne sont jamais stockés sur les serveurs de l'entreprise.

Cependant, la décision de l'ICO souligne une défaillance importante dans la protection de l'accès aux systèmes hébergeant des données chiffrées. « Les gestionnaires de mots de passe sont des outils précieux, mais ils exigent le plus haut niveau de sécurité interne », a déclaré John Edwards, commissaire à l'information du Royaume-Uni, ajoutant que les entreprises traitant ce type de données doivent « revoir de toute urgence leurs systèmes et procédures ».

Au début de l'année 2023, l'entreprise a fait l'objet d'un recours collectif aux États-Unis pour négligence dans la gestion de la violation et pour avoir induit les utilisateurs en erreur quant à l'ampleur de l'incident. Le plaignant dans cette affaire a signalé le vol de clés de chiffrement privées stockées dans un coffre-fort compromis, réclamant des dommages-intérêts supérieurs à 50 000 dollars. Le recours critiquait également LastPass pour ne pas avoir immédiatement divulgué l'ampleur de la violation, retardant la communication d'informations cruciales jusqu'en décembre 2022.

« Nous collaborons avec l'ICO britannique depuis que nous lui avons signalé cet incident pour la première fois en 2022. Bien que nous soyons déçus du résultat, nous sommes heureux de constater que la décision de l'ICO reconnaît bon nombre des efforts que nous avons déjà déployés pour renforcer davantage notre plateforme et améliorer nos mesures de sécurité des données. Notre priorité reste d'offrir le meilleur service possible aux 100 000 entreprises et aux millions de consommateurs individuels qui continuent de faire confiance à LastPass », a répondu LastPass.

Annonce de l'Information Commissioner's Office

L'annonce publiée par l'Information Commissioner's Office du Royaume-Uni concernant l'amende de 1,2 million de livres sterling infligée à LastPass UK Ltd est présentée ci-dessous :

L'Information Commissioner's Office (ICO) a infligé une amende de 1,2 million de livres sterling au fournisseur de gestionnaires de mots de passe LastPass UK Ltd à la suite d'une violation de données survenue en 2022 qui a compromis les informations personnelles de près de 1,6 million de ses utilisateurs britanniques.

L'ICO a constaté que LastPass n'avait pas mis en œuvre des mesures techniques et de sécurité suffisamment robustes, ce qui a finalement permis à un pirate informatique d'accéder sans autorisation à sa base de données de sauvegarde. Rien n'indique que les pirates aient pu déchiffrer les mots de passe des clients, car ceux-ci sont stockés localement sur les appareils des clients et non par LastPass.

Les incidents se sont produits en août 2022 lorsqu'un pirate informatique a d'abord accédé à l'ordinateur portable professionnel d'un employé basé en Europe, puis à l'ordinateur portable personnel d'un employé basé aux États-Unis, sur lequel il a implanté un logiciel malveillant et a pu capturer le mot de passe principal de l'employé. Les informations combinées issues des deux incidents ont permis au pirate informatique d'accéder à la base de données de sauvegarde de LastPass et de récupérer des informations personnelles, notamment les noms, adresses e-mail, numéros de téléphone et URL de sites web enregistrés des clients.

« Les gestionnaires de mots de passe sont un outil sûr et efficace pour les entreprises et le public afin de gérer leurs nombreux identifiants de connexion, et nous continuons à encourager leur utilisation. Cependant, comme le montre clairement cet incident, les entreprises qui proposent ces services doivent s'assurer que l'accès au système et son utilisation sont restreints afin de réduire considérablement les risques d'attaque », a déclaré John Edwards, commissaire à l'information du Royaume-Uni. « Les clients de LastPass étaient en droit d'attendre que les informations personnelles qu'ils confiaient à l'entreprise soient conservées en toute sécurité. Cependant, l'entreprise n'a pas répondu à cette attente, ce qui a conduit à l'annonce aujourd'hui d'une amende proportionnée. »

« J'invite toutes les entreprises britanniques à prendre note des conclusions de cette enquête et à revoir de toute urgence leurs propres systèmes et procédures afin de s'assurer, dans la mesure du possible, qu'elles n'exposent pas leurs clients et elles-mêmes à des risques similaires », a-t-il ajouté.

Détails des deux incidents

Premier incident

• Un pirate informatique a compromis l'ordinateur portable professionnel d'un employé de LastPass et a accédé à l'environnement de développement de l'entreprise.
• Aucune information personnelle n'a été dérobée, mais les identifiants chiffrés de l'entreprise ont été volés. S'ils étaient déchiffrés, ils permettraient d'accéder à la base de données de sauvegarde de l'entreprise.
• LastPass a pris des mesures pour limiter l'impact de l'activité du pirate informatique et estime que les clés de chiffrement sont restées en sécurité, car elles étaient stockées hors de la zone accessible par le pirate informatique, dans les coffres-forts de quatre cadres supérieurs.

Deuxième incident

• Le pirate informatique a ensuite ciblé l'un des employés seniors qui avait accès aux clés de déchiffrement, en accédant à son appareil personnel via une vulnérabilité connue dans un service de streaming tiers.
• Un enregistreur de frappe a été installé pour capturer le mot de passe principal de l'employé et l'authentification multifactorielle a été contournée à l'aide d'un cookie de dispositif approuvé.
• Le pirate a ensuite accédé aux coffres-forts LastPass personnels et professionnels de l'employé, qui étaient liés à l'aide d'un seul mot de passe principal.
• Le pirate a ensuite accédé au coffre-fort professionnel de l'employé, qui contenait la clé d'accès et la clé de déchiffrement d'Amazon Web Service (AWS).
• Ces informations, combinées à celles obtenues la veille, ont permis au pirate d'extraire le contenu de la base de données de sauvegarde qui contenait les informations personnelles.

L'enquête de l'ICO n'a trouvé aucune preuve que les mots de passe chiffrés et autres identifiants aient pu être déchiffrés par le pirate informatique. Cela s'explique par le fait que LastPass utilise un système de chiffrement « zéro connaissance », dans lequel le mot de passe principal requis pour accéder au coffre-fort de mots de passe est stocké localement sur l'appareil du client et n'est jamais partagé avec LastPass.

Conseils et recommandations

L'ICO invite les organisations à veiller à ce que leurs politiques de sécurité interne prennent explicitement en compte et traitent les risques liés aux violations de données. Lorsque des risques sont identifiés, l'accès doit être limité à des groupes d'utilisateurs spécifiques.

Les entreprises qui souhaitent revoir leurs procédures peuvent consulter le site Web de l'ICO et celui du Centre national de cybersécurité, qui fournissent une mine d'informations détaillées sur les moyens d'améliorer leurs pratiques.

Alors que l'ICO sanctionne LastPass pour ne pas avoir mis en œuvre des mesures de sécurité adéquates, cette décision ravive les doutes quant à la capacité du gestionnaire de mots de passe à protéger ses utilisateurs. Fin 2022, le PDG de LastPass, Karim Toubba, a révélé que l'incident de sécurité survenu en août de la même année avait été bien pire qu'il n'avait été admis au départ. Ces révélations ont alimenté les critiques d'experts qui appellent à abandonner LastPass pour d'autres alternatives telles que Bitwarden ou 1Password, évoquant la « longue histoire d'incompétence et de négligence » de la plateforme.

Source : Annonce de l'Information Commissioner's Office

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous cette décision de l'ICO justifiée ou pertinente ?

Voir aussi :

La dernière violation de LastPass aurait pu être stoppée par une mise à jour de Plex vieille de trois ans, la société a publié Plex Media Server 1.19.3 pour corriger cette faille

Des pirates utilisent des données volées à LastPass en 2022 pour subtiliser des millions de dollars en crypto. Les conséquences du piratage de LastPass continuent de frapper les utilisateurs

LastPass affirme que le piratage de l'ordinateur d'un ingénieur DevOps a conduit à la brèche dans la sécurité en 2022, et aurait rendu difficile la détection de l'activité de l'acteur de la menace

LastPass : vos infos et vos données de coffre-fort de MdP sont désormais entre les mains de pirates. Le gestionnaire de MdP révèle que la violation qu'il a reconnu en août est pire que prévu