LastPass révèle comment il a été piraté – et ce n’est pas une bonne nouvelle

28 février 2023 Hibou Gourou

L'année dernière a été particulièrement mauvaise pour le gestionnaire de mots de passe LastPass, car une série d'incidents de piratage a révélé de sérieuses faiblesses dans sa sécurité supposée à toute épreuve. Maintenant, nous savons exactement comment ces attaques se sont déroulées – et les faits sont assez époustouflants.

Tout a commencé en août 2022, lorsque LastPass a révélé qu'un acteur malveillant avait volé le code source de l'application . Lors d'une deuxième attaque ultérieure, le pirate a combiné ces données avec des informations trouvées dans une violation de données distincte, puis a exploité une faiblesse dans une application d'accès à distance utilisée par les employés de LastPass. Cela leur a permis d'installer un enregistreur de frappe sur l'ordinateur d'un ingénieur senior de l'entreprise.

Représentation d'un pirate informatique pénétrant dans un système via l'utilisation de code. — Getty Images

Une fois cet enregistreur de frappe en place, les pirates pouvaient récupérer le mot de passe principal LastPass de l'ingénieur au fur et à mesure qu'il était saisi, leur donnant accès au coffre-fort de l'employé – et à tous les secrets qu'il contenait.

Ils ont utilisé cet accès pour exporter le contenu du coffre-fort. Nichées parmi les données se trouvaient les clés de déchiffrement nécessaires pour déchiffrer les sauvegardes des clients stockées dans le système de stockage en nuage de LastPass.

C'est important car LastPass a conservé les sauvegardes de production et les sauvegardes de bases de données critiques dans le cloud. Une grande quantité de données clients sensibles a également été volée, bien qu'il semble que les pirates n'aient pas été en mesure de les déchiffrer. Une page d'assistance LastPass détaille exactement ce qui a été volé .

Transparence douteuse

Heureusement pour les utilisateurs de LastPass, il semble que les données les plus sensibles des clients, telles que (la plupart) des adresses e-mail et des mots de passe, aient été cryptées à l'aide d'une méthode à connaissance nulle. Cela signifie qu'ils ont été chiffrés avec une clé dérivée du mot de passe principal de chaque utilisateur et inconnue de LastPass. Lorsque les pirates ont volé des données LastPass, ils n'ont pas pu obtenir ces clés de déchiffrement car elles n'étaient stockées nulle part par LastPass.

Cela dit, de nombreuses données importantes ont été prises par les acteurs de la menace. Cela comprenait des sauvegardes de la base de données d'authentification multifacteur de LastPass, des secrets d'API, des métadonnées client, des données de configuration, etc. En plus de cela, il semble que de nombreux produits autres que LastPass aient également été piratés .

Sur une page d'assistance , LastPass a déclaré que la manière dont la deuxième attaque avait été menée – en utilisant les informations de connexion authentiques des employés – la rendait difficile à détecter. En fin de compte, l'entreprise a réalisé que quelque chose n'allait pas lorsque son système AWS GuardDuty Alerts l'a avertie que quelqu'un essayait d'utiliser ses rôles Cloud Identity and Access Management pour effectuer une activité non autorisée.

Un grand écran affichant un avertissement de violation de sécurité. — Dépôt de stock/Getty Images

LastPass a fait l'objet de nombreuses critiques sur sa gestion des attaques ces derniers mois, et cette désapprobation ne devrait pas s'estomper à la lumière des dernières révélations. En fait, une société de sécurité est allée jusqu'à dire que LastPass n'était pas une application fiable et que les utilisateurs devaient passer à différents gestionnaires de mots de passe .

À l'heure actuelle, LastPass essaie apparemment de cacher ses pages de support d'attaque aux moteurs de recherche en ajoutant le code "<meta name="robots" content="noindex">" aux pages. Cela ne fera que rendre plus difficile pour les utilisateurs (et le reste du monde) de découvrir ce qui s'est passé et cela ne semble guère être fait dans un esprit de transparence et de responsabilité. Rien n'a été publié non plus sur le blog de l'entreprise.

Si vous êtes un client LastPass, il serait peut-être préférable de trouver une application alternative. Heureusement, il existe de nombreux autres superbes gestionnaires de mots de passe qui peuvent protéger de manière fiable vos informations importantes.