LastPass a dclar lundi que la cyberattaque de l’anne dernire, qui a conduit l’exfiltration des donnes sensibles des clients, avait t cause par des informations d’identification voles un ingnieur DevOps snior. L’acteur de la menace aurait men cette cyberattaque en utilisant les informations voles lors d’une violation en aot, des informations provenant d’une autre violation de donnes et une vulnrabilit d’excution de code distance pour installer un keylogger sur le PC de l’ingnieur. LastPass est sous le feu des critiques depuis cet incident et certains conseillent mme d’abandonner le gestionnaire de mots de passe.
LastPass a t confront l’an dernier une srie d’attaques qui a compromis les donnes sensibles de ses utilisateurs. Certaines dclarations de la socit en dcembre dernier ont fait l’effet d’une bombe et attis l’ire des clients et d’autres acteurs de la communaut. En effet, LastPass avait dj t victime d’une violation de donnes juge « mineure » en aot. l’poque, la socit a dclar qu’un acteur malveillant avait obtenu un accs non autoris via un seul compte de dveloppeur et l’a utilis pour accder des donnes exclusives. Les pirates avaient pu copier des parties du code source et certaines informations techniques propritaires de LastPass.
L’entreprise a dclar l’poque que les mots de passe principaux des clients, les mots de passe chiffrs, les informations personnelles et les autres donnes stockes dans les comptes clients n’taient pas affects. Cependant, en dcembre, LastPass a publi une mise jour sur la brche de scurit et a dclar que les pirates avaient russi accder aux informations personnelles et aux mtadonnes associes, notamment les noms de socit, les noms d’utilisateur final, les adresses de facturation, les adresses email, les numros de tlphone et les adresses IP utilises par les clients pour accder aux diffrents services du gestionnaire de mots de passe.
Les pirates auraient galement copi une sauvegarde des donnes du coffre-fort client qui comprenait des informations non chiffres telles que des URL de sites Web et des champs de donnes chiffres (comme des noms d’utilisateur et des mots de passe de sites Web, des notes scurises et des donnes de formulaires). Ces champs chiffrs restent scuriss avec un chiffrement AES 256 bits et ne peuvent tre dchiffrs qu’avec une cl unique de dchiffrement drive du mot de passe principal de chaque utilisateur l’aide de notre architecture Zero Knowledge , a dclar le PDG de LastPass, Karim Toubba, faisant rfrence Advanced Encryption Scheme.
La socit a rvl lundi comment l’acteur de la menace a men cette attaque, dclarant qu’ils ont utilis les informations voles lors d’une violation en aot, des informations provenant d’une autre violation de donnes et une vulnrabilit d’excution de code distance pour installer un keylogger sur l’ordinateur d’un ingnieur DevOps snior. Selon LastPass, cette deuxime attaque coordonne a utilis les donnes voles lors de la premire violation pour accder aux coffres chiffrs Amazon S3 de l’entreprise. Comme seuls quatre ingnieurs DevOps de LastPass avaient accs ces cls de dchiffrement, l’acteur de la menace a cibl l’un des ingnieurs.
Finalement, l’acteur de la menace a russi installer un keylogger (enregistreur de frappes) sur l’appareil de l’employ en exploitant une vulnrabilit d’excution de code distance dans un logiciel multimdia tiers. L’acteur de la menace a pu capturer le mot de passe principal de l’employ au moment de la saisie, aprs que l’employ se soit authentifi avec MFA, et accder au coffre-fort d’entreprise LastPass de l’ingnieur DevOps. Les acteurs de la menace ont ensuite export les entres natives du coffre-fort d’entreprise et le contenu des dossiers partags , indique un nouvel avis de scurit publi lundi par LastPass sur son site Web.
Selon l’avis, ces derniers contenaient des notes scurises chiffres avec les cls d’accs et de dchiffrement ncessaires pour accder aux sauvegardes de production AWS S3 LastPass, d’autres ressources de stockage dans le cloud et certaines sauvegardes de base de donnes critiques connexes. L’utilisation d’identifiants valides a rendu difficile la dtection de l’activit de l’acteur de la menace par les enquteurs de l’entreprise, ce qui a permis au pirate d’accder aux serveurs de stockage dans le cloud de LastPass et d’y voler des donnes – personnelles et d’entreprises – sur une priode de plus de deux mois, entre le 12 aot 2022 et le 26 octobre 2022.
LastPass a finalement dtect le comportement anormal par le biais des alertes AWS GuardDuty lorsque l’acteur de la menace a tent d’utiliser les rles IAM (Identity and Access Management) du cloud pour effectuer une activit non autorise. La socit note galement qu’elle a depuis mis jour sa posture de scurit, notamment en faisant tourner les informations d’identification sensible et les cls/jetons d’authentification, en rvoquant les certificats, en ajoutant une journalisation et des alertes supplmentaires et en appliquant des politiques de scurit plus strictes. L’avis donne galement plus d’informations sur le nombre de donnes consultes.
Selon le client, ces donnes sont nombreuses et varies, allant d’informations relatives l’authentification multifactorielle (MFA) aux secrets d’intgration de l’API MFA, en passant par la cl du composant de connaissance (« K2 ») pour les clients de Federated Business. Une liste complte des donnes voles est prsente ci-dessous :
Rsum des donnes consultes lors de l’incident 1 :
- rfrentiels de dveloppement et de code source la demande, bass sur le cloud : il s’agissait de 14 rfrentiels de logiciels sur 200 ;
- scripts internes des rfrentiels : ils contenaient des secrets et des certificats LastPass ;
- documentation interne : informations techniques dcrivant le fonctionnement de l’environnement de dveloppement.
Rsum des donnes consultes lors de l’incident 2 :
- secrets DevOps : secrets restreints qui ont t utiliss pour accder au stockage de sauvegarde bas sur le cloud de LastPass ;
- stockage de sauvegarde dans le cloud : il contenait des donnes de configuration, des secrets d’API, des secrets d’intgration de tiers, des mtadonnes de clients et des sauvegardes de toutes les donnes du coffre-fort des clients. Toutes les donnes sensibles du coffre-fort du client – autres que les URL, les chemins d’accs aux logiciels LastPass Windows ou macOS installs, et certains cas d’utilisation impliquant des adresses email – seraient chiffres l’aide du modle de connaissance zro de LastPass et ne pourraient tre dchiffres qu’avec une cl de chiffrement unique drive du mot de passe principal de chaque utilisateur ;
- sauvegarde de la base de donnes MFA/Fdration de LastPass : elle contenait des copies des informations de LastPass Authenticator, des numros de tlphone utiliss pour l’option de sauvegarde MFA (si elle est active), ainsi qu’un composant de connaissance partage (la « cl » K2) utilis pour la fdration LastPass (si elle est active). Cette base de donnes tait chiffre, mais la cl de dchiffrement stocke sparment a t incluse dans les secrets vols par l’acteur de la menace lors du deuxime incident.
La mise jour publi lundi indique que les tactiques, techniques et procdures utilises lors du premier incident taient diffrentes de celles utilises lors du second et que, par consquent, il n’tait pas clair au dpart pour les enquteurs que les deux taient directement lis. Lors du second incident, l’acteur de la menace a utilis les informations obtenues lors du premier pour numrer et exfiltrer les donnes stockes dans les coffres S3. L’alerte et la journalisation taient actives pendant ces vnements, mais n’ont pas immdiatement indiqu le comportement anormal qui est devenu plus clair rtrospectivement pendant l’enqute , indique l’avis.
Tous les bulletins d’assistance publis lundi ne sont pas faciles trouver, aucun d’entre eux n’tant rpertori dans les moteurs de recherche, car LastPass a ajout des balises HTML <meta name=« robots » content=« noindex »> au document afin d’empcher leur indexation par les moteurs de recherche. LastPass a publi un PDF intitul « Security Incident Update and Recommended Actions », qui contient des informations supplmentaires sur la violation et les donnes voles. La socit a galement cr des documents d’assistance contenant des actions recommandes prendre pour les clients et les administrateurs de LastPass Business.
Selon une personne au fait d’un rapport priv de LastPass, le logiciel multimdia qui a t exploit sur l’ordinateur personnel de l’ingnieur DevOps tait Plex. Plex est un important fournisseur de services de streaming multimdia qui permet aux utilisateurs de diffuser des films et des fichiers audio, de jouer des jeux et d’accder leurs propres contenus hbergs sur des serveurs multimdias domestiques ou sur site. Plex a signal une intrusion dans son rseau le 24 aot. Cela a permis l’auteur de la menace d’accder une base de donnes et de s’emparer de mots de passe, de noms d’utilisateur et d’emails de certains de ses 30 millions de clients.
Il n’est pas clair si la violation de Plex a un lien quelconque avec les intrusions de LastPass. Les reprsentants de LastPass et de Plex n’ont pas rpondu aux courriels de demande de commentaires pour cette histoire. Selon les analystes, l’acteur de la menace l’origine de la violation de LastPass s’est montr particulirement ingnieux, et la rvlation qu’il a russi exploiter une vulnrabilit logicielle sur l’ordinateur personnel d’un employ ne fait que renforcer ce point de vue.
Source : LastPass
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la description de LastPass concernant la violation qu’elle a subie ?
Selon vous, les gestionnaires de mots de passe sont-ils des logiciels indispensables ?
Voir aussi