L’été dernier, LastPass, un des gestionnaires de mot de passe les plus utilisés au monde, a été victime d’une attaque informatique. Lors de l’opération, les pirates ont obtenu l’accès au code source du gestionnaire de mots de passe et à des « informations techniques propriétaires » par le biais d’un compte développeur compromis. Fin du mois d’octobre, LastPass a essuyé une seconde attaque, en apparence indépendante de l’incursion estivale.
Des informations sensibles sur les serveurs cloud d’Amazon Web Services (AWS), telles que les noms d’utilisateurs, les adresses de facturation, les emails, les adresses IP et les numéros de téléphone des clients, ont alors été dérobées. Surtout, les hackers ont volé les mots de passe chiffrés et toutes les données stockées dans les coffres-forts des usagers… Après enquête, LastPass s’est rendu compte que les deux offensives étaient liées. Il s’avère que les pirates ont utilisé les informations subtilisées en août pour orchestrer la seconde offensive.
À lire aussi : Les applis Android de LastPass et 1Password sont vulnérables au phishing
Les coulisses du piratage de LastPass
Plusieurs mois après les faits, LastPass a pu remonter aux origines exactes des attaques informatiques. Dans un communiqué publié sur son site web, le gestionnaire, sous le feu des critiques, révèle que les attaquants sont parvenus à pénétrer sur l’ordinateur personnel d’un de ses employés après l’incursion d’août. C’est grâce à cette intrusion que les hackers ont pu orchestrer les vols de données d’octobre. Selon LastPass, c’était la seule option des pirates pour contourner les contrôles de sécurité de ses serveurs.
En marge de la violation de l’été dernier, « des informations d’identification valides » ont été volées sur l’ordinateur d’un ingénieur LastPass. Ces données sensibles ont permis d’accéder à un espace de stockage partagé dans le Cloud, réservé à quatre développeurs de la société. Les pirates ont alors pu mettre la main sur les clés de chiffrement permettant d’accéder aux sauvegardes des coffres-forts des clients.
« Les services de stockage chiffrés basés sur le cloud abritent des sauvegardes des données des clients LastPass et des données de coffre-fort chiffrées », explique LastPass dans son communiqué.
D’après l’enquête diligentée par LastPass, les pirates ont choisi leur cible lors « d’une série d’activités de reconnaissance, de recensement et d’exfiltration » focalisées sur les espaces de stockage en ligne de la firme. Ces activités ont eu lieu après la première offensive, sur base des données volées, et à l’insu des employés de l’entreprise.
Une faille dans le code de Plex
Après s’être arrêtés sur l’identité de la cible idéale, les hackers ont cherché un moyen de prendre le contrôle de son ordinateur personnel. Ils ont finalement décidé d’exploiter une faille de sécurité dénichée dans le code de Plex, une plate-forme de gestion multimédia gratuite installée sur la machine, affirment nos confrères d’Ars Technica. Cette plate-forme a d’ailleurs été victime d’une attaque en août 2022, qui s’est soldée par le vol de 15 millions de mots de passe. Ce piratage a eu lieu 12 jours après le début des offensives contre LastPass.
Grâce à la brèche, ils ont pu glisser un logiciel malveillant de type keylogger sur la machine. Cette catégorie de virus, aussi appelés des enregistreurs de frappe, permet d’espionner tout ce qu’un individu tape sur son clavier. De cette manière, ils ont collecté les identifiants permettant d’accéder à l’espace de stockage réservé aux développeurs LastPass. Avec les mots de passe en leur possession, les attaquants n’ont plus eu qu’à se servir.
L’opération a bien failli passer inaperçue. Vu que les pirates se sont simplement connectés au Cloud avec des identifiants valides, LastPass n’a pas immédiatement identifié la violation. Finalement, ce sont des alertes émises par Amazon Web Services qui ont révélé l’origine du hack. Les voleurs ont en effet voulu réaliser une activité non autorisée, ce qui a donné l’alerte.
En réaction, LastPass a promptement pris des mesures pour éviter d’autres dégâts. Les identifiants volés ont été révoqués, des alertes supplémentaires ont été mises en place et les mots de passe sont désormais régulièrement changés. En parallèle, la société s’est engagée à aider l’ingénieur, pris pour cible par les pirates, à renforcer la sécurité de son réseau domestique et de ses ressources personnelles. Par précaution, il est conseillé à tous les utilisateurs LastPass de changer leurs mots de passe principaux et tous les mots de passe stockés dans leurs coffres-forts.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : LastPass
La bêtise humaine dans toute sa splendeur, espérons que le développeur en question ait été remercié par un licenciement pour faute grave. Comment se fait-il qu’un développeur puisse héberger du contenu pro de la plus haute importance sur son ordi personnel ? Voilà le boulot, sur son ordi perso était installé Plex lequel a servir de porte d’entrée aux données pour les hackers. C’est inacceptable, et les conséquences pour les clients et l’image de la boîte ont pris un sacré coup. Je suis bien content de n’avoir jamais utilisé ce service géré et administré par des amateurs, une véritable passoire ce LastPass. Je vous recommande de passer à Bitwarden (en auto-hébergé) et/ou à KeepassXC en local. Ne faites plus JAMAIS confiance à LastPass, et nul doute qu’ils ne sont pas les seuls à mal gérer les données sensibles de leurs clients. Ce genre de développeur est une véritable plaie, rien ne peut excuser un tel comportement.
Tout à fait, il ne faut plus leur faire confiance vu leur gestion de la sécurité. De plus, certaines infos telles que le champ commentaire n’étaient même pas chiffrées. Je suis passé à BitWarden qui est open source.
Je pense qu’il faut mettre la situation dans son contexte concernant “l’ordinateur personnel” du développeur. Ceci dit, je ne sais pas du tout comment ça se passe chez LastPass.
Dans beaucoup d’Entreprises Américaine, la boîte finance l’achat de l’ordinateur personnel des employés pour être utilisé professionnellement. C’est ce qu’on appelle “BYOD” pour “Bring Your Own Device”. Je ne pense pas que l’utilisation de l’ordinateur professionnel puisse changer quelque chose vu la méthode d’attaque. Elle ressemble beaucoup à l’attaque chez Uber il y a quelques mois.
un gestionnaire de mot de passe, c’est mettre tous ces oeufs dans le meme panier : un seul a cracker pour tous les avoir 😀
Et l’open source n’est pas plus une garantie, suffit de voir les serveurs github pirates… 😀
qu’elle est donc votre solution pour gérer des centaines de mots de passe ?