LastPass, l’un des principaux gestionnaires de mots de passe, a dclar que des pirates ont obtenu une multitude d’informations personnelles appartenant ses clients ainsi que des mots de passe chiffrs et cryptographiquement hachs en plus d’autres donnes stockes dans les coffres-forts des clients.
La rvlation, publie jeudi, reprsente une mise jour spectaculaire d’une brche que LastPass a rvle en aot. l’poque, la socit a dclar qu’un acteur malveillant avait obtenu un accs non autoris via un seul compte de dveloppeur et l’ont utilis pour accder des donnes exclusive. L’diteur a reconnu que le(s) cybercriminel(s) avait pris des parties du code source et certaines informations techniques propritaires de LastPass . La socit a dclar l’poque que les mots de passe principaux des clients, les mots de passe chiffrs, les informations personnelles et les autres donnes stockes dans les comptes clients n’taient pas affects.
Donnes sensibles, chiffres ou non, copies
Dans la mise jour de jeudi, la socit a dclar que les pirates avaient accd aux informations personnelles et aux mtadonnes associes, notamment les noms de socit, les noms d’utilisateur final, les adresses de facturation, les adresses e-mail, les numros de tlphone et les adresses IP utilises par les clients pour accder aux services LastPass. Les pirates ont galement copi une sauvegarde des donnes du coffre-fort client qui comprenait des donnes non chiffres telles que des URL de sites Web et des champs de donnes chiffrs tels que des noms d’utilisateur et des mots de passe de sites Web, des notes scurises et des donnes remplies de formulaires.
Ces champs chiffrs restent scuriss avec un chiffrement AES 256 bits et ne peuvent tre dchiffrs qu’avec une cl unique de dchiffrement drive du mot de passe principal de chaque utilisateur l’aide de notre architecture Zero Knowledge , a expliqu le PDG de LastPass, Karim Toubba, faisant rfrence Advanced Encryption Scheme. Zero Knowledge fait rfrence des systmes de stockage impossibles dchiffrer pour le fournisseur de services. Le PDG a poursuivi :
La mise jour indique que dans l’enqute de la socit jusqu’ prsent, rien n’indique que des donnes de carte de crdit non cryptes ont t consultes. LastPass ne stocke pas les donnes de carte de crdit dans leur intgralit, et les donnes de carte de crdit qu’il stocke sont conserves dans un environnement de stockage en nuage diffrent de celui auquel l’acteur de la menace a accd.
L’intrusion rvle en aot qui a permis aux pirates de voler le code source de LastPass et des informations techniques propritaires semble lie une violation distincte de Twilio, un fournisseur de services d’authentification et de communication deux facteurs bas San Francisco. Le cybercriminel derrire cette violation a vol les donnes de 163 des clients de Twilio. Les mmes hameonneurs qui ont frapp Twilio ont galement viol au moins 136 autres entreprises, dont LastPass.
La mise jour de jeudi a indiqu que les cybercriminels pourraient utiliser le code source et les informations techniques vols LastPass pour pirater un employ distinct de LastPass et obtenir des informations d’identification et des cls de scurit pour accder et dchiffrer les volumes de stockage au sein du service de stockage bas sur le cloud de l’entreprise.
Renforcez votre scurit maintenant
La mise jour de jeudi a galement rpertori plusieurs solutions que LastPass a prises pour renforcer sa scurit aprs la violation. Les tapes comprennent la mise hors service de l’environnement de dveloppement pirat et sa reconstruction partir de zro, la conservation d’un service gr de dtection et de rponse des terminaux et la rotation de toutes les informations d’identification et certificats pertinents susceptibles d’avoir t affects.
Compte tenu de la sensibilit des donnes stockes par LastPass, il est alarmant qu’un si large ventail de donnes personnelles ait t obtenu. Alors que dchiffrer les hachages de mot de passe ncessiterait des quantits massives de ressources, ce n’est pas hors de propos, en particulier compte tenu de la mthode et de l’ingniosit des cybercriminels.
Les clients LastPass doivent s’assurer qu’ils ont chang leur mot de passe principal et tous les mots de passe stocks dans leur coffre-fort. Ils doivent galement s’assurer qu’ils utilisent des paramtres qui dpassent la valeur par dfaut de LastPass. Ces paramtres hachent les mots de passe stocks l’aide des itrations 100100 de la fonction de drivation de cl base sur le mot de passe (PBKDF2), un schma de hachage qui peut rendre impossible le dchiffrage de mots de passe principaux longs, uniques et gnrs de manire alatoire Les itrations 100100 sont terriblement en de du seuil de 310 000 itrations recommand par l’OWASP pour PBKDF2 en combinaison avec l’algorithme de hachage SHA256 utilis par LastPass. Les clients LastPass peuvent vrifier le nombre actuel d’itrations PBKDF2 pour leurs comptes ici.
Les clients de LastPass doivent galement tre trs attentifs aux e-mails et appels tlphoniques de phishing prtendument de LastPass ou d’autres services la recherche de donnes sensibles et d’autres escroqueries qui exploitent leurs donnes personnelles compromises. La socit propose galement des conseils spcifiques aux clients professionnels qui ont mis en uvre les services de connexion fdre LastPass.
Le communiqu de LastPass sur le sujet
notre communaut LastPass,
Nous vous avons rcemment inform qu’une partie non autorise avait eu accs un service de stockage cloud tiers, que LastPass utilise pour stocker des sauvegardes archives de nos donnes de production. Conformment notre engagement envers la transparence, nous souhaitons vous fournir une mise jour concernant notre enqute en cours.
Ce que nous avons appris
Sur la base de notre enqute ce jour, nous avons appris qu’un acteur malveillant inconnu a accd un environnement de stockage bas sur le cloud en exploitant les informations obtenues partir de l’incident que nous avons prcdemment divulgu en aot 2022. Bien qu’aucune donne client n’ait t consulte lors de l’incident d’aot 2022, une source du code et des informations techniques ont t vols dans notre environnement de dveloppement et utiliss pour cibler un autre employ, obtenant des informations d’identification et des cls qui ont t utilises pour accder et dchiffrer certains volumes de stockage dans le service de stockage bas sur le cloud.
Les services de production LastPass fonctionnent actuellement partir de centres de donnes sur site avec un stockage bas sur le cloud utilis diverses fins telles que le stockage des sauvegardes et les exigences rgionales en matire de rsidence des donnes. Le service de stockage sur le cloud auquel a accd l’auteur de la menace est physiquement spar de notre environnement de production.
ce jour, nous avons dtermin qu’une fois la cl d’accs au stockage sur le cloud et les cls de dchiffrement du double conteneur de stockage obtenues, l’auteur de la menace a copi des informations partir de la sauvegarde contenant des informations de base sur le compte client et les mtadonnes associes, notamment les noms de socit, les noms d’utilisateur final, les adresses de facturation, adresses e-mail, numros de tlphone et adresses IP partir desquelles les clients accdaient au service LastPass.
L’auteur de la menace a galement pu copier une sauvegarde des donnes du coffre-fort client partir du conteneur de stockage chiffr qui est stock dans un format binaire propritaire qui contient la fois des donnes non chiffres, telles que les URL de sites Web, ainsi que des champs sensibles entirement chiffrs tels que les noms d’utilisateur de sites Web. et mots de passe, notes scurises et donnes remplies par formulaire. Ces champs chiffrs restent scuriss avec un chiffrement AES 256 bits et ne peuvent tre dchiffrs qu’avec une cl unique de dchiffrement drive du mot de passe principal de chaque utilisateur l’aide de notre architecture Zero Knowledge. Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stock ni conserv par LastPass. Le chiffrement et le dchiffrement des donnes sont effectus uniquement sur le client LastPass local.
Il n’y a aucune preuve que des donnes de carte de crdit non chiffres aient t consultes. LastPass ne stocke pas les numros de carte de crdit complets et les informations de carte de crdit ne sont pas archives dans cet environnement de stockage sur le cloud.
Qu’est-ce que cela signifie? Mes donnes sont-elles en danger ?
L’auteur de la menace peut tenter d’utiliser la force brute pour deviner votre mot de passe principal et dchiffrer les copies des donnes du coffre-fort qu’il a prises. En raison des mthodes de hachage et de chiffrement que nous utilisons pour protger nos clients, il serait extrmement difficile de tenter de deviner par force brute des mots de passe principaux pour les clients qui suivent nos meilleures pratiques en matire de mot de passe. Nous testons rgulirement les dernires technologies de craquage de mots de passe par rapport nos algorithmes pour suivre et amliorer nos contrles cryptographiques.
L’auteur de la menace peut galement cibler les clients avec des attaques de phishing, de credential stuffing ou d’autres attaques par force brute contre les comptes en ligne associs votre coffre-fort LastPass. Afin de vous protger contre les attaques d’ingnierie sociale ou de phishing, il est important de savoir que LastPass ne vous appellera, n’enverra jamais d’e-mail ou de SMS pour vous demander de cliquer sur un lien pour vrifier vos informations personnelles. Sauf lors de la connexion votre coffre-fort partir d’un client LastPass, LastPass ne vous demandera jamais votre mot de passe principal.
Que doivent faire les clients LastPass ?
Pour rappel, les paramtres de mot de passe principal par dfaut de LastPass et les meilleures pratiques incluent les lments suivants :
- Depuis 2018, nous exigeons un minimum de douze caractres pour les mots de passe principaux. Cela minimise considrablement la possibilit de deviner avec succs un mot de passe par force brute.
- Pour augmenter encore la scurit de votre mot de passe principal, LastPass utilise une implmentation plus robuste que la norme des 100100 itrations de la fonction de drivation de cl base sur le mot de passe (PBKDF2), un algorithme de renforcement de mot de passe qui rend difficile la devinette de votre mot de passe principal.
- Nous vous recommandons galement de ne jamais rutiliser votre mot de passe principal sur d’autres sites Web. Si vous rutilisez votre mot de passe principal et que ce mot de passe a dj t compromis, un acteur de la menace peut utiliser des dumping d’informations d’identification compromises dj disponibles sur Internet pour tenter d’accder votre compte (c’est ce qu’on appelle une attaque de bourrage d’informations d’identification ).
Si vous utilisez les paramtres par dfaut ci-dessus, il faudrait des millions d’annes pour deviner votre mot de passe principal l’aide de la technologie de craquage de mot de passe gnralement disponible. Vos donnes de coffre-fort sensibles, telles que les noms d’utilisateur et les mots de passe, les notes scurises, les pices jointes et les champs de remplissage de formulaire, restent chiffrs en toute scurit sur la base de l’architecture Zero Knowledge de LastPass. Il n’y a aucune action recommande que vous devez prendre en ce moment.
Cependant, il est important de noter que si votre mot de passe principal n’utilise pas les valeurs par dfaut ci-dessus, cela rduirait considrablement le nombre de tentatives ncessaires pour le deviner correctement. Dans ce cas, comme mesure de scurit supplmentaire, vous devriez envisager de minimiser les risques en modifiant les mots de passe des sites Web que vous avez stocks.
Pour les clients professionnels qui ont implment les services de connexion fdre LastPass, LastPass maintient notre architecture Zero Knowledge et implmente un mot de passe principal cach pour chiffrer vos donnes de coffre-fort. Selon le modle d’implmentation choisi, ce mot de passe principal cach est en fait une combinaison de deux ou plusieurs chanes alatoires de 256 bits ou 32 caractres stockes sparment et gnres par chiffrement qui doivent tre spcifiquement combines pour tre utilises.
L’auteur de la menace n’avait pas accs aux fragments de cl stocks dans l’infrastructure du fournisseur d’identit du client ou de LastPass et ils n’taient pas inclus dans les sauvegardes copies contenant les coffres du client. Par consquent, si vous avez implment les services de connexion fdre, vous n’avez pas besoin d’entreprendre d’actions supplmentaires.
Cependant, il est important de noter que si vous tes un client Business qui n’utilise pas Federated Login et que votre mot de passe principal n’utilise pas les valeurs par dfaut ci-dessus, cela rduirait considrablement le nombre de tentatives ncessaires pour le deviner correctement. Dans ce cas, comme mesure de scurit supplmentaire, vous devriez envisager de minimiser les risques en modifiant les mots de passe des sites Web que vous avez stocks.
Source : LastPass
Et vous ?
Utilisez-vous un gestionnaire de mots de passe ? Comment le comparez vous l’offre concurrente ? Quels sont les critres qui vous ont amen opter pour ce dernier plutt que sur ceux d’autres diteurs ?
Partagez vous l’avis selon lequel les dveloppements en cours sont l’illustration de ce que l’re des mots de passe est dpasse ?
Voir aussi :