LastPass révèle de nouveaux détails inquiétants sur le piratage qu'il a subi en 2022
LastPass révèle de nouveaux détails sur la compromission de ses opérations qui s'est déroulée l'année dernière, et qui s'est finalement poursuivie jusque fin octobre. Les hackers ont ciblé l’ordinateur personnel de l’un des quatre ingénieurs qui avaient accès aux clés de chiffrement, et ont pu exfiltrer des données extrêmement sensibles.
LastPass donne encore quelques détails sur les conséquences de l'attaque qu'il a subi en août dernier. Le gestionnaire de mots de passe aux 33 millions de clients dans le monde a publié un billet de blog lundi 27 février détaillant une opération d'exploration de son réeasu et d'extraction de données qui s'est déroulée du 12 août au 26 octobre, suite à la pénétration initiale.
Le pirate "a rapidement utilisé les informations exfiltrées lors du premier incident, avant la réinitialisation effectuée par nos équipes, pour faire de la reconnaissance et finalement exfiltrer les données du cloud", explique l’entreprise. Des données personnelles de clients ont été récupérées, même si les mots de passe n’ont pas été touchés.
L'ordinateur personnel d'un développeur en cause
Les pirates sont parvenus à accéder aux données de LastPass en ciblant l’ordinateur personnel de l’un des quatre ingénieurs qui avaient accès aux clés de décryptage nécessaires. Ils ont ensuite exploité une vulnérabilité dans le logiciel Plex, selon une source interne interrogée par le média spécialisé Ars Technica, qui permet de gérer les contenus multimédias personnels.
Grâce à un enregistreur de frappe au clavier, le pirate a pu obtenir le mot de passe principal de l'ingénieur, et contourner les processus d'authentification de l'entreprise pour accéder à son coffre-fort. Celui-ci contenait "des notes sécurisées chiffrées avec les clés d'accès et de déchiffrement nécessaires" pour accéder à des sauvegardes de base et d’autres ressources dans le cloud de LastPass, décrit l’entreprise.
Ces informations mettent sérieusement à mal la crédibilité de LastPass, rapporte Motherboard : "Un ingénieur de LastPass accédait à des services critiques depuis son ordinateur et son réseau personnels. LastPass avait des difficultés à faire la distinction entre l'activité de son salarié et celle du pirate", relève le site d’informations.
La fiabilité de LastPass remise en cause
D’autant que cette attaque fait donc suite à celle déjà révélée en août, où une partie du code source de LastPass et de ses informations confidentielles avaient déjà été volées. Si LastPass avait dans un premier temps assuré ne disposer d’aucune preuve que les hackeurs avaient eu accès aux données des clients ou aux mots de passe chiffrés, l’entreprise avait dû reconnaître en décembre qu’ils avaient bien réussi à mettre la main sur plusieurs informations critiques.
Certes, les noms d'utilisateur et les mots de passe des clients sont chiffrés, et ne peuvent être déchiffrés qu'avec le mot de passe principal de chaque client. Mais grâce aux données récupérées, le pirate peut tenter de forcer ces mots de passe, admettait LastPass à l’époque, bien que cela soit "extrêmement difficile". Karim Toubba, CEO de LastPass, affirmait néanmoins que "rien ne prouve que des données de cartes de crédit non chiffrées aient été consultées" car "LastPass ne stocke pas les numéros de carte de crédit complets et les informations relatives aux cartes de crédit ne sont pas archivées" dans le cloud.
"Au minimum, les clients de LastPass devraient changer tous les mots de passe qu'ils ont stockés dans le service, ainsi que leur mot de passe principal qui est utilisé pour accéder à ces informations. Ils devraient commencer par leurs comptes les plus sensibles", recommande Motherboard, qui conseille même de changer de gestionnaire de mot de passe.
SUR LE MÊME SUJET
LastPass révèle de nouveaux détails inquiétants sur le piratage qu'il a subi en 2022
Tous les champs sont obligatoires
0Commentaire
Réagir
