PIratage LastPass : des données sensibles dérobées et décryptées
La situation est pire que prévue pour LastPass. L'éditeur du célèbre gestionnaire de mot de passe reconnait que des pirates ont dérobé des données personnelles et sensibles d'utilisateurs stockées dans des coffres-forts cryptés…
La série noire sur les pirates successifs de LastPass continue ! Alors que l'enquête suit toujours son cours, l'entreprise partage ses dernières découvertes dans un post sur son site d'assistance. Il apparait que les cybercriminels ont pu infiltrer l'ordinateur personnel d'un ingénieur-développeur qui avait accès à un environnement de stockage cloud partagé par une poignée de personnes de LastPass seulement, et qui contenait bien évidemment de précieuses informations. On y trouvait notamment les clés de chiffrement permettant d'accéder aux sauvegardes des coffres-forts des clients, et les hackers ne se sont pas privés pour en effectuer des copies.
Pour accéder à cet ordinateur, les cybercriminels ont exploité une vulnérabilité trouvée sur la plateforme multimédia Plex, qui avait été victime d'une attaque quelque temps auparavant et qui avait abouti au vol de 15 millions de mots de passe. Ils ont implanté dans l'ordinateur de l'ingénieur un logiciel malveillant de type keylogger – enregistreur de frappe – qui a permis de récupérer le mot de passe du technicien au moment de sa saisie. Comme ils ont utilisé des identifiants légitimes, il a été plus difficile de repérer leur activité. Depuis, LastPass a annoncé avoir mis à jour sa stratégie de sécurité, notamment en changeant régulièrement les informations d'identification sensibles et les jetons d'authentification, et en mettant en place des alertes plus strictes.
LastPass : les contenus des coffres des clients dans la nature
Après avoir la dérobé le code source de l'application ainsi que des informations sur son fonctionnement, les pirates avaient de nouveau pris pour cible L'astPass. Si, dans un premier temps, elle s'était voulue rassurante, affirmant que les mots de passe de ses clients "restaient chiffrés de manière sécurisée", les dégâts étaient en réalité plus importants que prévu. Pour rappel, les gestionnaires de mots de passe permettent de stocker tous ses mots de passe, informations de paiement et informations de connexion essentielles dans une base de données ou un coffre-fort hautement chiffré. L'utilisateur peut accéder à tous ces éléments avec un seul mot de passe principal. Autant dire que LastPass contient des données d'une grande valeur pour les hackers, surtout avec ses 33 millions de particuliers et ses 100 000 entreprises – dont d'importants médias américains comme le New York Times, CNN et Mashable.
Fin décembre 2022, LastPass avait mis en ligne un nouveau billet de blog afin de faire part des avancées de son enquête à ses utilisateurs, comme la firme l'avait promis. Et les nouvelles étaient plutôt mauvaises, car il se trouvait que les pirates avaient bel et bien eu accès aux informations personnelles et aux métadonnées associées, dont les noms d'utilisateurs, ceux des sociétés utilisant le service, mais aussi les adresses de facturation, les e-mails, les adresses IP et les numéros de téléphone des clients. Pire encore, ils avaient également réussi à accéder aux coffres sécurisés de clients, qui contenaient des données chiffrées, dont tous les identifiants et mots de passe de site web – ainsi que leurs URL – renseignés par les clients de l'entreprise, de même que les notes de sécurités et les données de formulaires, et sauvegarder le contenu. Rien que ça ! Seule petite consolation : "rien ne prouve que des données de cartes de crédit non cryptées aient été consultées. LastPass ne stocke pas les numéros de carte de crédit complets et les informations relatives aux cartes de crédit ne sont pas archivées dans cet environnement de stockage cloud."
A priori, la majeure partie des informations ne devaient pas pouvoir être exploitée. "Ces champs chiffrés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être déchiffrés qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge," expliquait le patron de l'entreprise Karim Toubba, faisant référence à son modèle de sécurité qui s'assure que les données soient chiffrées uniquement sur l'appareil de l'utilisateur, soit avant leur synchronisation avec le service – en théorie, si LastPass ne connait pas les données, les pirates non plus. L'entreprise considérait qu'il n'y avait donc malgré tout toujours aucun risque réel pour les utilisateurs. "Il faudrait des millions d'années pour deviner votre mot de passe principal à l'aide d'une technologie courante de craquage de mots de passe", jugeait la société. Le pirate "peut tenter d'utiliser la force brute pour deviner votre mot de passe principal et déchiffrer les copies des données du coffre-fort qu'il a prises", mais là encore ce serait difficile.
LastPass : un piratage de grande ampleur
Mais le pire était encore à venir. Paddy Srinivasan, le PDG de GoTo – l'éditeur du logiciel de mots de passe –, avait annoncé le 23 janvier 2023 dans un billet de blog que le piratage de novembre dernier s'étendait en réalité bien au-delà de LastPass. En plus de ce dernier, cinq services avaient également été touchés : les outils d'accès à distance Pro et Central, le service de réunion en ligne join.me, le serveur VPN Hamachi et l'outil d'accès à distance Remotly Anywhere.
Et ce n'est pas tout ! Les pirates étaient parvenus à récupérer une clé de chiffrement pour une partie des sauvegardes stockées chez un fournisseur de cloud. Ils ont ainsi eu accès à plusieurs informations, comme les noms d'utilisateur, des mots de passe chiffrés – ils sont donc illisibles –, des détails sur les licences des produits, des informations sur leur paramétrage et sur l'identification à plusieurs facteurs. La maison mère continuait pourtant de tenir un discours "rassurant" en affirmant qu'aucune information bancaires n'avait été dérobée et qu'un nombre de personnes ayant vu leurs données compromises était très limité. Les clients concernés ont été contactés et les mots de passe de leur compte réinitialisés, tandis que ces derniers ont été déplacés sur une nouvelle plateforme plus sécurisée, avec une gestion des identités améliorée et une authentification plus robuste.
Piratage LastPass : quels risques pour les utilisateurs ?
Après cette fuite massive de données, LastPass avait décidé de renforcer sa sécurité en mettant hors service les développements en cours auxquels les pirates ont eu accès, pour tout recommencer à zéro. L'entreprise avait également remplacé et renforcé les machines, les processus et les mécanismes d'authentification des développeurs. Elle menait également une analyse de tous les comptes présentant des signes d'activité suspecte. D'autres mesures de protections avaient également été prises.
Afin d'éviter tout risque de credentiel stuffing – une technique qui consiste à réaliser, à l'aide de logiciels ou de façon manuelle, des tentatives d'authentification massives sur des sites et services web à partir de couples identifiants/mots de passe –, LastPass avait recommandé aux utilisateurs de changer leur mot de passe principal et ceux utilisés pour chaque compte associé. Ils devaient bien évidemment être forts et longs, avec des chiffres, des lettres et des caractères spéciaux. Il valait également mieux – qu'il y ait eu cyberattaque ou non – renforcer la sécurité de son compte en activant la double authentification – également appelée authentification à plusieurs facteurs. Pour ce faire, il suffit de suivre le tutoriel de la firme.
Mais si les mots de passe ne craignaient rien a priori, c'était plus embêtant en ce qui concernait le vol des données personnelles en revanche. En effet, les pirates pouvaient s'en servir afin de mener des opérations de phishing (hameçonnage), notamment en se faisant passer pour LastPass afin que leurs victimes leur donnent volontairement leur mot de passe principal. C'est pourquoi l'entreprise a rappelé qu'elle n'appellera jamais ses clients, et ne leur enverra jamais d'e-mails ou de SMS pour leur demander de cliquer sur un lien afin de vérifier leurs informations personnelles. En dehors de la connexion à leur coffre à partir d'un client LastPass, elle ne leur demandera jamais leur mot de passe principal.
LastPass : deux cyberattaques successives
En temps normal, l'utilisation d'un gestionnaire de mots de passe est un bon moyen de protéger ses comptes personnels et ses informations – et de s'en souvenir. Mais de par les données sensibles qu'ils contiennent, ces outils sont souvent visés par des tentatives de piratage. Début août, l'éditeur du gestionnaire de mots de passe LastPass avait détecté des traces "d'activités non autorisées," comme il l'avait annoncé dans un communiqué. L'intrusion s'était produite suite à la compromission d'un compte de développeur et avait permis à un pirate d'avoir accès à l'environnement de développement. Ce dernier avait réussi à voler des portions de code source et des informations techniques propriétaires de la firme, qui s'était néanmoins voulue rassurante. "Nos produits et services fonctionnent normalement," avait-t-elle déclaré. A priori, les identifiants et les mots de passe des utilisateurs n'avait pas semblé avoir été compromis. LastPass avait expliqué avoir "contenu le problème, mis en œuvre des mesures de sécurité supplémentaires", et ne pas avoir "été témoin d'autres tentatives d'activité non autorisée".
We recently detected unusual activity within portions of the LastPass development environment and have initiated an investigation and deployed containment measures. We have no evidence that this involved any access to customer data. More info: https://t.co/cV8atRsv6d pic.twitter.com/HtPLvK0uEC
— LastPass (@LastPass) August 25, 2022
Après avoir ouvert une enquête, la firme avait, par précaution, fait appel à la société spécialiste en cybersécurité et criminalistique Mandiant. Elle avait découvert que l'intrusion s'était "limitée" à une période de quatre jours, et que "la conception et les contrôles de notre système ont empêché l'acteur menaçant d'accéder aux données des clients ou aux coffres-forts de mots de passe cryptés." Elle avait ajouté que, de toute façon, "nous ne stockons jamais et n'avons jamais connaissance de votre mot de passe maître."
Le 30 novembre, la firme révélait dans un nouveau billet de blog avoir été victime d'une seconde cyberattaque et, cette fois-ci, certains "éléments d'informations des clients" avaient pu être consultés par les auteurs de l'attaque – la firme était restée plutôt vague concernant leur nature et le nombre d'utilisateurs touchés. D'après les premières informations, les pirates avaient utilisé des données qui avaient été récupérées lors de la précédente attaque. LastPass avait affirmé que "nous travaillons avec diligence pour comprendre la portée de l'incident et identifier les informations spécifiques qui ont été consultées". L'entreprise indiquait également avoir fait de nouveau appel à Mandiant dans le cadre de son programme de gestion des risques – ce qui avait pourtant déjà été le cas après la précédente attaque – et prévenu les forces de l'ordre. "Comme toujours, nous vous tiendrons informés dès que nous en saurons plus", avait- elle promis. Toujours est-il que cette histoire entache sérieusement l'image de l'entreprise, qui se revendique comme le gestionnaire de mots de passe numéro un dans le monde...