LastPass a t victime d’une violation de donnes en dcembre 2022, lorsque les pirates ont pu copier une sauvegarde des donnes du coffre-fort des clients partir d’un stockage chiffr. Selon ZachXBT, un expert en blockchain, ce sont ces donnes qui ont permis aux pirates de drober 5,36 millions de dollars dans 40 portefeuilles numriques. Ce nouveau vol sajoute une longue srie : en octobre 2023, 4,4 millions de dollars avaient t subtiliss, suivis de 6,2 millions de dollars en fvrier 2024. Les fonds vols ont t changs contre de l’Ether ETH et transfrs vers diverses bourses instantanes , a indiqu ZachXBT, dans un message envoy le 17 dcembre ses 48 400 abonns sur Telegram. ZachXBT a soumis des preuves sur la chane de blocs des dernires attaques de LastPass sur la plateforme de signalement d’escroqueries cryptographiques Chainabuse.
Le contexte
Les pirates responsables de l’intrusion dans LastPass en 2022 ont poursuivi leur action en utilisant les donnes voles pour s’emparer de 5,36 millions de dollars provenant de 40 portefeuilles de crypto-monnaies. Lors du piratage d’aot 2022, ils ont eu accs des informations qui leur ont permis d’ouvrir une brche dans un environnement de stockage bas sur le cloud qui stockait des cls de clients, des jetons d’API, des semences (seed) d’authentification multifactorielle (MFA) et des coffres-forts de mots de passe chiffrs. Bien que les coffres-forts de mots de passe soient chiffrs, le mot de passe principal utilis pour les ouvrir pouvait toujours tre forc brutalement s’il tait faible, rutilis ou avait dj fait l’objet d’une fuite, ce qui pourrait tre la raison d’une srie de vols de crypto-monnaies contre les utilisateurs de LastPass depuis 2022.
L’volution
En aot 2022, LastPass, le gestionnaire de mots de passe, a rvl que son code source et des informations techniques propritaires avaient t vols. L’entreprise a galement confirm que les pirates ont eu accs ses systmes internes pendant quatre jours.
Dans une mise jour de dcembre de cette mme anne, la socit a dclar que les pirates avaient accd aux informations personnelles et aux mtadonnes associes, notamment les noms de socit, les noms d’utilisateur final, les adresses de facturation, les adresses e-mail, les numros de tlphone et les adresses IP utilises par les clients pour accder aux services LastPass. Les pirates ont galement copi une sauvegarde des donnes du coffre-fort client qui comprenait des donnes non chiffres telles que des URL de sites Web et des champs de donnes chiffrs tels que des noms d’utilisateur et des mots de passe de sites Web, des notes scurises et des donnes remplies de formulaires.
Ces champs chiffrs restent scuriss avec un chiffrement AES 256 bits et ne peuvent tre dchiffrs qu’avec une cl unique de dchiffrement drive du mot de passe principal de chaque utilisateur l’aide de notre architecture Zero Knowledge , a expliqu le PDG de LastPass, Karim Toubba, faisant rfrence Advanced Encryption Scheme. Zero Knowledge fait rfrence des systmes de stockage impossibles dchiffrer pour le fournisseur de services.
Si LastPass a indiqu en fvrier 2023 que c’est le piratage de l’ordinateur d’un ingnieur DevOps qui a conduit l’une des brches dans sa scurit en 2022, la deuxime attaque aurait pu tre stoppe par une mise jour de Plex vieille de trois ans.
En effet, un logiciel malveillant a install un enregistreur de frappe sur l’ordinateur personnel d’un ingnieur senior grce un exploit dans Plex, le service de cloud personnel pour le stockage et la diffusion de films, et a pu ainsi pntrer dans les caches de l’entreprise. Mais il s’avre que l’ingnieur avait galement un rle important jouer dans cet chec majeur. Plex a rvl que l’exploit en question a profit d’une vulnrabilit qui a t divulgue le 7 mai 2020. L’entreprise raconte que, pour une raison quelconque, l’employ de LastPass n’a jamais mis jour son client pour appliquer le correctif.
Les rpercussions se poursuivent
Le dernier vol en date est li la violation de LastPass, selon un expert en blockchain connu sous le nom de ZachXBT. ZachXBT affirme dans un message sur Telegram qu’il s’agit du dernier d’une longue srie de vols de crypto-monnaies touchant les victimes de la faille de LastPass, avec 4,4 millions de dollars vols en octobre 2023, et un autre vol de 6,2 millions de dollars en fvrier 2024.
Just on October 25, 2023 alone another ~$4.4M was drained from 25+ victims as a result of the LastPass hack.
Cannot stress this enough, if you believe you may have ever stored your seed phrase or keys in LastPass migrate your crypto assets immediately. pic.twitter.com/26HsxrlnCb
— ZachXBT (@zachxbt) October 27, 2023
Les fonds vols ont t changs contre de l’ETH et transfrs sur divers changes instantans d’Ethereum Bitcoin , a crit ZachXBT dans son message Telegram. On ne peut pas assez insister sur ce point, si vous pensez que vous avez dj stock votre phrase de dmarrage ou vos cls dans LastPass, migrez vos actifs crypto immdiatement.
Des mdias spcialiss ont prcdemment rapports qu’entre aot et dcembre 2022, plus de 35 millions de dollars ont t vols 150 victimes apparentes de la violation de LastPass.
Ces violations ultrieures de portefeuilles de crypto-monnaie soulignent l’importance d’utiliser des mots de passe uniques pour chaque compte et de s’assurer que chaque mot de passe respecte les normes de scurit recommandes en utilisant l’un des meilleurs gnrateurs de mots de passe.
Mme si vous avez chang de fournisseur de gestionnaire de mots de passe depuis la violation de LastPass, tous les mots de passe compromis qui sont encore rutiliss sont en danger, comme le prouvent ces vols de cryptomonnaies. Il est galement recommand d’utiliser une application d’authentification forte qui utilise la vrification biomtrique pour scuriser vos comptes mme si un attaquant connat votre nom d’utilisateur et votre mot de passe.
Leons tirer
Cet incident souligne l’importance cruciale de la scurit dans le monde numrique. Les utilisateurs sont invits renforcer leurs pratiques de scurit, notamment en utilisant des mots de passe complexes et uniques, en activant l’authentification deux facteurs, et en surveillant rgulirement leurs comptes pour dtecter des activits suspectes.
Pour les entreprises, cet vnement doit servir de signal d’alarme. La confiance des consommateurs repose sur une protection robuste des donnes sensibles. Investir dans des systmes de scurit avancs et adopter une transparence proactive sont des tapes essentielles pour viter de telles catastrophes l’avenir.
Dcembre et Nol, la saison des pirates informatiques
La dernire srie de piratages de LastPass intervient dans un contexte de recrudescence des escroqueries l’approche des ftes de fin d’anne. La socit de scurit blockchain Cyvers a soulign que la saison des pirates informatiques est maintenant arrive et a exhort tout le monde ne pas faire confiance tout ce qui a l’air trop festif , ne pas rvler ses codes 2FA et mme viter de se connecter des rseaux WiFi gratuits.
🎁 This is the season to be jolly… and for hackers to be naughty.
🦹December isnt just about mistletoe and honey its hacker season, too; between shopping sprees, festive distractions, and late-night transactions, its open season for scams.🎄 Heres your crypto survival pic.twitter.com/qKZY8PuGB0
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) December 16, 2024
Meta, le gant des mdias sociaux derrire Facebook, Instagram et WhatsApp, a galement envoy rcemment un avertissement ses utilisateurs, identifiant plusieurs campagnes d’escroquerie ciblant les acheteurs de vacances, allant des fausses promotions de coffrets cadeaux de Nol aux ventes frauduleuses de dcorations de vacances, en passant par les coupons de vente au dtail contrefaits.
Envoy par Meta- Soyez attentif aux courriels et aux textes d’hameonnage – Les escrocs peuvent envoyer un texte ou un courriel partir d’une adresse imitant une marque connue ou mme votre banque.
- vitez de communiquer des informations personnelles – Les escrocs peuvent essayer de vous inciter communiquer des informations personnelles en vous demandant de confirmer vos coordonnes bancaires par SMS ou par courrier lectronique ou de participer une enqute.
- Soyez vigilant lorsque vous payez en ligne – Les escrocs peuvent essayer de vous faire payer l’avance ou d’utiliser des paiements de pair pair qui ne peuvent pas tre annuls.
Escroqueries surveiller pendant les ftes de fin d’anne
En plus de nos activits de dtection et de rpression des escroqueries, nous avons collabor avec les chercheurs en logiciels libres de Graphika pour reprer et perturber les escroqueries qui profitent des ftes de fin d’anne. Lorsque ces escroqueries sont apparues sur nos applications, nous avons pris des mesures contre leurs auteurs, notamment en bloquant leurs sites web et en supprimant leurs comptes. Voici trois exemples d’escroqueries courantes dont il faut se mfier l’approche des ftes, d’aprs les recherches de Graphika:
- Coupons de rduction pour les ftes. Nous avons dmantel des escrocs qui proposaient des personnes aux tats-Unis, en Inde et au Royaume-Uni de faux coupons et de fausses cartes-cadeaux dans le but de les inciter fournir des informations personnelles. Ils ont publi des messages sur plusieurs plateformes, notamment Telegram, Facebook et Pinterest, et ont dirig les gens vers des sites web imitant les mdias sociaux, o ils taient invits remplir un sondage avec leur sexe, leur ge, leur revenu, leur statut professionnel et leur niveau d’intrt pour les crypto-monnaies afin de participer un tirage au sort. Ces sites web affichaient de faux commentaires de personnes affirmant avoir gagn lors de tirages prcdents alors qu’elles pensaient qu’il s’agissait d’une arnaque .
- Promesse de coffrets de Nol. Nous avons dmantel des escrocs qui ciblaient des utilisateurs francophones, hispanophones et anglophones avec de fausses promesses de cadeaux et de prix. Ils publiaient des photos de faux prix sur plusieurs applications, notamment Threads, X, Facebook et des forums de discussion en ligne comme Quora. Si quelqu’un commentait les messages, les escrocs le dirigeaient vers des applications de messagerie ou des sites web de Google Sites et lui demandaient des cadeaux ou des prix.
- Dcorations de Nol prix rduit. Nous avons dmantel des escrocs qui ciblaient des utilisateurs anglophones, francophones, italophones et germanophones en leur proposant des arbres de Nol artificiels et des dcorations des prix extrmement bas. Les escrocs ont copi des vidos de dcorations de Nol de personnes relles sur l’internet et, aprs avoir ajout des voix off gnres par l’IA dcrivant les marchandises et avertissant que les stocks taient limits, ils ont post ces vidos sur de multiples plateformes telles que Facebook, Pinterest et d’autres. Si quelqu’un rpondait, les escrocs le dirigeaient vers des sites web, dont certains crs l’aide des services de Shopify, pour effectuer un achat qui n’arrivait jamais.
Les crypto-escrocs pourraient chercher rattraper le terrain perdu pendant les ftes de fin d’anne, aprs que les pertes dues au phishing ont chut de 53 % d’un mois sur l’autre en novembre, pour atteindre 9,3 millions de dollars.
Conclusion
Le piratage de LastPass est un rappel brutal des risques inhrents la dpendance croissante aux plateformes numriques. Alors que les consquences continuent de se drouler, il est clair que la scurit informatique n’est pas seulement un problme technique, mais une question de confiance publique et de responsabilit collective.
Sources : ZachXBT sur Telegram et Chainabuse, Meta
Et vous ?
Les gestionnaires de mots de passe centraliss reprsentent-ils un modle viable, ou devrions-nous envisager des alternatives dcentralises ?
Comment les utilisateurs peuvent-ils mieux se protger contre le vol financier suite un piratage de leurs donnes personnelles ?
Les banques et autres institutions financires devraient-elles offrir des mcanismes spcifiques de compensation pour les victimes de cyberattaques ?
LastPass aurait-il d anticiper ce type d’attaque avec des mesures de scurit prventives plus robustes ?
Cet incident pourrait-il entraner une perte massive de confiance envers les gestionnaires de mots de passe ? Quelles pourraient tre les consquences long terme pour l’industrie ?