Proton

Avec plus de 33 millions d’utilisateurs enregistrés et plus de 100 000 clients Business, LastPass est l’un des gestionnaires de mots de passe les plus populaires au monde. Après une série croissante de révélations très dommageables ces derniers mois, LastPass a maintenant admis que ses systèmes ont été compromis à plusieurs reprises et qu’une énorme quantité de données clients hautement sensibles a été volée.

Dans cet article, nous examinons la fuite de données de LastPass et envisageons les leçons à en tirer.

Chronologie d’une crise en escalade

Dans ses divulgations, LastPass a tenu à distinguer son environnement de développement de son environnement de production, qu’elle affirme être physiquement séparés l’un de l’autre (c’est-à-dire hébergés sur des réseaux de serveurs complètement différents).

L’environnement de développement est utilisé pour développer et tester le logiciel avant sa mise en production. Aucune donnée client n’est stockée dans l’environnement de développement. L’environnement de production contient le logiciel et l’infrastructure utilisés pour fournir son service aux clients au quotidien. Les données des clients sont stockées dans l’environnement de production.

L’histoire s’est déroulée en trois annonces de LastPass :

  • Août 2022 : le PDG Karim Toubba a publié un communiqué(nouvelle fenêtre) déclarant qu’« Une partie non autorisée a eu accès à des parties de l’environnement de développement de LastPass via un seul compte de développeur compromis et a pris des parties du code source et certaines informations techniques propriétaires de LastPass ». Toubba a noté que puisqu’il s’agissait uniquement de l’environnement de développement qui avait été compromis, aucune donnée client n’avait été consultée. Il a également affirmé que la brèche avait été contenue avec succès.
  • Décembre 2022 : Toubba a mis à jour son précédent communiqué pour annoncer une deuxième brèche, cette fois de son environnement de production. Au cours de cet incident, un attaquant a réussi à copier les données des coffres-forts clients.

Alors, que s’est-il passé ?

En fin de compte, l’attaque s’est avérée bien pire que ce que LastPass avait initialement divulgué :

1. Les pirates ont réussi à accéder à un compte utilisateur d’un ingénieur logiciel de LastPass. Cela a été réalisé en utilisant des identifiants de connexion volés (nom d’utilisateur et mot de passe). Les comptes des employés de LastPass sont sécurisés par une authentification à deux facteurs (2FA), mais l’attaquant a réussi à utiliser une tactique connue sous le nom de fatigue d’authentification multi-facteurs (MFA)(nouvelle fenêtre) pour tromper l’ingénieur en acceptant une demande de 2FA frauduleuse.

Avec l’environnement de développement cloud Amazon Web Services(nouvelle fenêtre) (AWS) désormais compromis, des actifs d’entreprise précieux ont été volés, mais aucune donnée client. Une fois découvert, LastPass a cru avoir contenu la brèche en supprimant et reconstruisant l’environnement de développement à partir de zéro et en changeant toutes les informations d’identification des utilisateurs pour l’environnement de développement.

2. À l’insu de LastPass à l’époque, les attaquants avaient examiné les journaux AWS pour découvrir où étaient stockées les clés de chiffrement de LastPass, qui y avait accès, et les adresses IP depuis lesquelles elles avaient été consultées.

3. Les attaquants ont analysé ces adresses IP à la recherche de vulnérabilités et ont découvert qu’un ingénieur Senior DevOps de LastPass utilisait une version très ancienne de Plex(nouvelle fenêtre) sur son réseau domestique.

4. Plex est une plateforme populaire qui vous permet de configurer un appareil en tant que serveur multimédia capable de diffuser votre propre contenu multimédia sur vos autres appareils. L’ingénieur Senior DevOps utilisait une version qui avait trois ans et qui était connue pour avoir une vulnérabilité critique(nouvelle fenêtre) permettant à quiconque ayant accès au serveur Plex d’importer du code malveillant sur la machine hôte et de l’exécuter. Plex a corrigé la vulnérabilité il y a trois ans, mais l’ingénieur n’avait pas mis à jour son logiciel.

5. En exploitant cette vulnérabilité, les attaquants ont installé un logiciel malveillant de type keylogger sur le système domestique de l’ingénieur DevOps. Lorsque l’ingénieur Senior DevOps a utilisé ce système domestique pour se connecter à LastPass et accéder légitimement au coffre-fort d’entreprise de LastPass, l’attaquant disposait désormais de toutes les informations d’identification nécessaires pour accéder aux coffres-forts eux-mêmes.

Puisque ce système domestique était à la fois sous le radar de l’entreprise, mais apparaissait par ailleurs comme un trafic normal pour les contrôles de sécurité de LastPass, l’attaquant a pu opérer inaperçu pendant près de huit semaines (du 12 août 2022 au 26 octobre 2022).

6. Exploitant cette position bien établie avec un accès presque illimité aux informations d’identification secrètes, les attaquants pouvaient librement accéder à la fois aux environnements de développement et de production. Cela leur a permis de télécharger des données client chiffrées, des sauvegardes critiques de bases de données et du code source.

Avec l’accès au magasin secret, ils peuvent maintenant également déchiffrer entièrement certaines des données qui avaient été chiffrées au repos.

Qu’a-t-on exactement volé ?

1. Bases de données des mots de passe clients.

LastPass n’a pas divulgué le nombre exact de bases de données de mots de passe clients qui ont été volées, mais il semble être important, et possiblement la totalité.

Heureusement, ces bases de données de mots de passe étaient chiffrées, donc l’attaquant ne peut pas obtenir de manière triviale les noms d’utilisateur et mots de passe des clients, mais cela ne signifie pas non plus que c’est impossible.

Malheureusement, de nombreuses personnes qui utilisent des mots de passe faibles sont des cibles faciles pour les attaques par force brute(nouvelle fenêtre). De plus, de nombreuses personnes réutilisent les mêmes mots de passe entre différents sites internet, ce qui les rend vulnérables aux attaques de remplissage d’identifiants(nouvelle fenêtre). Ces attaques peuvent être réalisées hors ligne et, de manière critique, elles peuvent être effectuées au gré de l’attaquant (l’attaquant a virtuellement un temps illimité pour mener ces attaques).

Pendant la brèche, une quantité non spécifiée de code source a également été volée. Il est possible qu’un attaquant compétent puisse exploiter ce code pour trouver des failles dans la logique de chiffrement ou le service qui peuvent être utilisées pour contourner ou simplifier le processus de défaite des mots de passe principaux des utilisateurs.

Il convient également de noter que certaines informations dans les bases de données ne sont pas chiffrées et peuvent donc être librement consultées par l’attaquant. Cela inclut les métadonnées telles que les URL, les chemins de fichiers vers le logiciel LastPass installé sur Windows ou macOS, et certaines adresses e-mail des utilisateurs.

2. Base de données LastPass MFA/Fédération

Cette base de données contenait toutes les informations nécessaires pour compromettre l’authentification à deux facteurs (A2F) des comptes LastPass. Ainsi, si les informations d’identification de connexion d’une base de données sont compromises, avoir l’A2F activé est d’une faible aide.

Cette base de données était chiffrée, mais ses clés de chiffrement ont été volées lors du deuxième incident.

Qui est responsable et pourquoi ?

Nous ne saurons probablement jamais avec certitude qui était derrière cette attaque, mais certains ont théorisé qu’elle aurait pu être menée par des hackers nord-coréens.

La motivation était probablement d’utiliser les mots de passe volés pour s’attaquer aux portefeuilles de cryptomonnaies des utilisateurs de LastPass. Les pirates nord-coréens ont dérobé environ 1,2 milliard(nouvelle fenêtre) de dollars en cryptomonnaies et autres actifs virtuels au cours des cinq dernières années, dont plus de la moitié en 2022 seulement. En effet, le vol d’actifs cryptographiques constitue probablement un pourcentage important du PIB de la RPDC.

Toutefois, de telles suspicions restent purement conjecturales.

Quelles leçons les entreprises peuvent-elles tirer de cet incident ?

1. Maintenir tous les logiciels à jour avec les derniers correctifs de sécurité (cette attaque n’aurait peut-être pas eu lieu si un serveur Plex avait été mis à jour).

2. Ne pas accéder aux comptes d’entreprise sensibles depuis votre ordinateur personnel. Si l’ingénieur DevOps malchanceux avait utilisé un ordinateur portable d’entreprise avec les protections appropriées en place (comme un logiciel antimalware capable de détecter le keylogger), l’incident n’aurait probablement pas pris une telle ampleur.

3. Aucun système de sécurité, aussi bien conçu soit-il, ne devrait jamais être considéré comme totalement sûr. Heureusement, LastPass utilise le chiffrement zéro accès, ou la situation déjà grave aurait pu être bien pire. Un chiffrement zéro accès rigoureux(nouvelle fenêtre) reste le meilleur moyen pour les entreprises de protéger leurs données.

Que devrait mieux faire LastPass ?

LastPass avait mis en place des contrôles compensatoires, mais il y a de nombreux domaines où l’entreprise aurait pu mieux faire.

1. Concevoir des systèmes préparés pour faire face au pire scénario. LastPass n’a probablement pas inclus les acteurs malveillants au niveau de l’État dans son modèle de menace. Il est vrai que concevoir un système de sécurité à la fois utilisable et résistant à de telles menaces est très difficile, mais étant donné la nature extrêmement sensible des informations que le service était censé protéger, LastPass a clairement échoué à aborder correctement son modèle de menace.

2. Utiliser un algorithme de hachage plus moderne pour sécuriser les coffres-forts des mots de passe des utilisateurs. LastPass utilisait PBKDF2(nouvelle fenêtre), qui a maintenant été supplanté par des algorithmes plus modernes tels que bcrypt(nouvelle fenêtre) et Argon2(nouvelle fenêtre). PBKDF2 est relativement facile à forcer brutalement(nouvelle fenêtre) comparé à ces alternatives plus modernes, ce qui signifie que même si les bases de données des mots de passe des utilisateurs étaient chiffrées, cette négligence cryptographique rend les bases de données de mots de passe significativement plus faciles à pirater.

3. Chiffrer toutes les données. LastPass chiffre les données qu’il considère comme hautement sensibles, mais laisse également pas mal de données non chiffrées. Des informations apparemment anodines (telles que les URL enregistrées, qui ne sont pas chiffrées par LastPass) peuvent être utilisées pour déduire des informations très détaillées sur vous.

Par exemple, si un attaquant peut voir que vous avez enregistré des mots de passe pour des comptes avec Grindr, gop.com ou même un site de fans de mangas, il en saura beaucoup sur vous, même s’il ne peut pas réellement accéder aux comptes. Cette information est potentiellement très dommageable en soi, mais peut également permettre aux pirates de compromettre vos mots de passe en utilisant une attaque de phishing très personnalisée. phishing attack.

4. Communiquer mieux avec ses utilisateurs. LastPass a attendu le jeudi avant Noël pour révéler discrètement que le piratage qu’il avait subi était bien plus grave, et d’autres révélations encore plus dommageables n’ont pas été divulguées avant des mois. Cela a conduit à un important retour de bâton(nouvelle fenêtre) au sein de la communauté LastPass.

Que puis-je faire personnellement pour me protéger ?

De manière générale, si vous êtes utilisateur de LastPass, nous vous suggérons de mettre à jour et de changer tous vos mots de passe. En raison de l’utilisation d’un chiffrement faible, et du fait que l’attaquant dispose maintenant d’un temps illimité pour forcer votre base de données de mots de passe, vous devez supposer que tôt ou tard, votre base de données de mots de passe peut être piratée ; si ce n’est pas maintenant, ce sera à l’avenir avec des ordinateurs encore plus puissants.

À l’avenir, vous pouvez atténuer ce risque en utilisant des mots de passe plus forts, en particulier pour le mot de passe principal d’un gestionnaire de mots de passe.

Ou mieux encore, utilisez une phrase secrètepassphrase. Votre gestionnaire de mots de passe est idéal pour se souvenir de mots de passe tels que p@*(aF296Bu%, mais les cerveaux humains ne sont pas conçus de cette façon et vous devez mémoriser votre mot de passe principal pour accéder de manière sécurisée au reste de vos mots de passe générés par ordinateur.

Une phrase secrète, qui se compose de plusieurs mots réels, est bien plus sécurisée qu’un simple mot de passe que le cerveau humain est susceptible de retenir. Diceware(nouvelle fenêtre) est une excellente méthode pour générer des phrases secrètes à la fois très sécurisées et faciles à mémoriser.

Pour conclure

En termes simples, la sécurité est complexe. Du côté de la défense, vous devez bloquer toutes les intrusions possibles, tandis que l’attaquant doit juste trouver une seule faille. C’est une asymétrie qui tend à favoriser l’attaquant.

La meilleure défense est d’avoir une culture de sécurité forte, où elle devient une partie intégrante de l’ADN d’une entreprise. Malheureusement, beaucoup d’entreprises aujourd’hui responsables de la protection de données très sensibles ne sont pas des entreprises axées en priorité sur la sécurité et la confidentialité, et sont de ce fait plus susceptibles aux violations.

La cryptographie est également complexe, et la pratiquer correctement de manière constante nécessite des années d’expérience et une expertise dédiée que de nombreuses entreprises n’ont tout simplement pas. La transparence aurait également pu aider ; si LastPass avait été open source, peut-être que certaines de ses faiblesses cryptographiques auraient pu être découvertes et corrigées plus tôt. Pour ces raisons, il sera difficile de faire confiance à LastPass (ou à tout autre gestionnaire de mots de passe, d’ailleurs), qui n’est pas open source.

Les gestionnaires de mots de passe sont de plus en plus importants pour les utilisateurs d’internet aujourd’hui, et plus que jamais, il est important que les entreprises technologiques les conçoivent correctement.

Articles similaires

A cover image for a blog describing the next six months of Proton Pass development which shows a laptop screen with a Gantt chart
en
  • Nouveautés produits
  • Proton Pass
Take a look at the upcoming features and improvements coming to Proton Pass over the next several months.
The Danish mermaid and the Dutch parliament building behind a politician and an unlocked phone
en
We searched the dark web for Danish, Dutch, and Luxembourgish politicians’ official email addresses. In Denmark, over 40% had been exposed.
Infostealers: What they are, how they work, and how to protect yourself
en
Discover insights about what infostealers are, where your stolen information goes, and ways to protect yourself.
Mockup of the Proton Pass app and text that reads "Pass Lifetime: Pay once, access forever"
en
Learn more about our exclusive Pass + SimpleLogin Lifetime offer. Pay once and enjoy premium password manager features for life.
A cover image for a blog announcing that Pass Plus will now include premium SimpleLogin features
en
We're changing the price of new Pass Plus subscriptions, which now includes access to SimpleLogin premium features.
Infinity symbol in purple with the words "Call for submissions" and "Proton Lifetime Fundraiser 7th Edition"
en
It’s time to choose the organizations we should support for the 2024 edition of our annual charity fundraiser.