PIratage LastPass : la série noire continue

PIratage LastPass : la série noire continue

Une cyberattaque a permis de dérober des données personnelles d'utilisateurs, des mots de passe cryptés et diverses données sensibles stockées dans les coffres-forts de LastPass. Et d'autres services de l'entreprise ont été touchés.

Les mauvaises nouvelles continuent de pleuvoir sur GoTo, l'éditeur du gestionnaire de mots de passe LastPass, qui s'est fait pirater deux fois l'an dernier ! Alors qu'une enquête est toujours en cours, Paddy Srinivasan, le PDG de GoTo, a annoncé le 23 janvier 2023 dans un billet de blog que le piratage de novembre dernier s'étend en réalité bien au-delà de LastPass. En plus de ce dernier, cinq services ont également été touchés : les outils d'accès à distance Pro et Central, le service de réunion en ligne join.me, le serveur VPN Hamachi et l'outil d'accès à distance Remotly Anywhere.

Et ce n'est pas tout ! Les pirates sont parvenus à récupérer une clé de chiffrement pour une partie des sauvegardes stockées chez un fournisseur de cloud. Ils ont ainsi accès à plusieurs informations, comme les noms d'utilisateur, des mots de passe chiffrés – ils sont donc illisibles –, des détails sur les licences des produits, des informations sur leur paramétrage et sur l'identification à plusieurs facteurs. La maison mère continue de tenir un discours "rassurant" en affirmant qu'aucune information bancaires n'a été dérobée et qu'un nombre de personnes ayant vu leurs données compromises est très limité. Les clients concernés sont en train d'être contactés et les mots de passe de leur compte réinitialisés, tandis que ces derniers seront déplacés sur une nouvelle plateforme plus sécurisée, avec une gestion des identités améliorée et une authentification plus robuste. En attendant, l'enquête se poursuit.

LastPass : les contenus des coffres des clients dans la nature

Après avoir la dérobé le code source de l'application ainsi que des informations sur son fonctionnement, les pirates avaient de nouveau pris pour cible L'astPass. Si, dans un premier temps, elle s'était voulue rassurante, affirmant que les mots de passe de ses clients "restaient chiffrés de manière sécurisée", il se trouve que les dégâts étaient plus importants que prévu. Pour rappel, les gestionnaires de mots de passe permettent de stocker tous ses mots de passe, informations de paiement et informations de connexion essentielles dans une base de données ou un coffre-fort hautement chiffré. L'utilisateur peut accéder à tous ces éléments avec un seul mot de passe principal. Autant dire que LastPass contient des données d'une grande valeur pour les hackers, surtout avec ses 33 millions de particuliers et ses 100 000 entreprises – dont d'importants médias américains comme le New York Times, CNN et Mashable.

Fin décembre 2022, LastPass avait mis en ligne un nouveau billet de blog afin de faire part des avancées de son enquête à ses utilisateurs, comme la firme l'avait promis. Et les nouvelles étaient plutôt mauvaises, car il se trouvait que les pirates avaient bel et bien eu accès aux informations personnelles et aux métadonnées associées, dont les noms d'utilisateurs, ceux des sociétés utilisant le service, mais aussi les adresses de facturation, les e-mails, les adresses IP et les numéros de téléphone des clients. Pire encore, ils avaient également réussi à accéder aux coffres sécurisés de clients, qui contenaient des données chiffrées, dont tous les identifiants et mots de passe de site web – ainsi que leurs URL – renseignés par les clients de l'entreprise, de même que les notes de sécurités et les données de formulaires, et sauvegarder le contenu. Rien que ça ! Seule petite consolation : "rien ne prouve que des données de cartes de crédit non cryptées aient été consultées. LastPass ne stocke pas les numéros de carte de crédit complets et les informations relatives aux cartes de crédit ne sont pas archivées dans cet environnement de stockage cloud."

© LastPass

A priori, la majeure partie des informations ne devrait pas pouvoir être exploitée. "Ces champs chiffrés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être déchiffrés qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge," expliquait le patron de l'entreprise Karim Toubba, faisant référence à son modèle de sécurité qui s'assure que les données soient chiffrées uniquement sur l'appareil de l'utilisateur, soit avant leur synchronisation avec le service – en théorie, si LastPass ne connait pas les données, les pirates non plus. L'entreprise considérait qu'il n'y avait donc malgré tout toujours aucun risque réel pour les utilisateurs. "Il faudrait des millions d'années pour deviner votre mot de passe principal à l'aide d'une technologie courante de craquage de mots de passe", jugeait la société. Le pirate "peut tenter d'utiliser la force brute pour deviner votre mot de passe principal et déchiffrer les copies des données du coffre-fort qu'il a prises", mais là encore ce serait difficile.

Piratage LastPass : quels risques pour les utilisateurs ?

Après cette fuite massive de données, LastPass avait décidé de renforcer sa sécurité en mettant hors service les développements en cours auxquels les pirates ont eu accès, pour tout recommencer à zéro. L'entreprise avait également remplacé et renforcé les machines, les processus et les mécanismes d'authentification des développeurs. Elle menait également une analyse de tous les comptes présentant des signes d'activité suspecte. D'autres mesures de protections avaient également été prises.

Afin d'éviter tout risque de credentiel stuffing – une technique qui consiste à réaliser, à l'aide de logiciels ou de façon manuelle, des tentatives d'authentification massives sur des sites et services web à partir de couples identifiants/mots de passe –, LastPass avait recommandé aux utilisateurs de changer leur mot de passe principal et ceux utilisés pour chaque compte associé. Ils devaient bien évidemment être forts et longs, avec des chiffres, des lettres et des caractères spéciaux. Il valait également mieux – qu'il y ait eu cyberattaque ou non – renforcer la sécurité de son compte en activant la double authentification – également appelée authentification à plusieurs facteurs. Pour ce faire, il suffit de suivre le tutoriel de la firme.

Mais si les mots de passe ne craignaient rien a priori, c'était plus embêtant en ce qui concernait le vol des données personnelles en revanche. En effet, les pirates pouvaient s'en servir afin de mener des opérations de phishing (hameçonnage), notamment en se faisant passer pour LastPass afin que leurs victimes leur donnent volontairement leur mot de passe principal. C'est pourquoi l'entreprise a rappelé qu'elle n'appellera jamais ses clients, et ne leur enverra jamais d'e-mails ou de SMS pour leur demander de cliquer sur un lien afin de vérifier leurs informations personnelles. En dehors de la connexion à leur coffre à partir d'un client LastPass, elle ne leur demandera jamais leur mot de passe principal.

LastPass : deux cyberattaques successives

En temps normal, l'utilisation d'un gestionnaire de mots de passe est un bon moyen de protéger ses comptes personnels et ses informations – et de s'en souvenir. Mais de par les données sensibles qu'ils contiennent, ces outils sont souvent visés par des tentatives de piratage. Début août, l'éditeur du gestionnaire de mots de passe LastPass avait détecté des traces "d'activités non autorisées," comme il l'avait annoncé dans un communiqué. L'intrusion s'était produite suite à la compromission d'un compte de développeur et avait permis à un pirate d'avoir accès à l'environnement de développement. Ce dernier avait réussi à voler des portions de code source et des informations techniques propriétaires de la firme, qui s'était néanmoins voulue rassurante. "Nos produits et services fonctionnent normalement," avait-t-elle déclaré. A priori, les identifiants et les mots de passe des utilisateurs n'avait pas semblé avoir été compromis. LastPass avait expliqué avoir "contenu le problème, mis en œuvre des mesures de sécurité supplémentaires", et ne pas avoir "été témoin d'autres tentatives d'activité non autorisée".

Après avoir ouvert une enquête, la firme avait, par précaution, fait appel à la société spécialiste en cybersécurité et criminalistique Mandiant. Elle avait découvert que l'intrusion s'était "limitée" à une période de quatre jours, et que "la conception et les contrôles de notre système ont empêché l'acteur menaçant d'accéder aux données des clients ou aux coffres-forts de mots de passe cryptés."  Elle avait ajouté que, de toute façon, "nous ne stockons jamais et n'avons jamais connaissance de votre mot de passe maître."

Le 30 novembre, la firme révélait dans un nouveau billet de blog avoir été victime d'une seconde cyberattaque et, cette fois-ci, certains "éléments d'informations des clients" avaient pu être consultés par les auteurs de l'attaque – la firme était restée plutôt vague concernant leur nature et le nombre d'utilisateurs touchés. D'après les premières informations, les pirates avaient utilisé des données qui avaient été récupérées lors de la précédente attaque. LastPass avait affirmé que "nous travaillons avec diligence pour comprendre la portée de l'incident et identifier les informations spécifiques qui ont été consultées". L'entreprise indiquait également avoir fait de nouveau appel à Mandiant dans le cadre de son programme de gestion des risques – ce qui avait pourtant déjà été le cas après la précédente attaque – et prévenu les forces de l'ordre. "Comme toujours, nous vous tiendrons informés dès que nous en saurons plus", avait- elle promis. Toujours est-il que cette histoire entache sérieusement l'image de l'entreprise, qui se revendique comme le gestionnaire de mots de passe numéro un dans le monde...

Autour du même sujet

Guide piratage