LastPass révèle comment des hackers ont volé vos mots de passe

lastpass


LastPass est longuement revenu sur les deux attaques informatiques de l’année dernière. Après enquête, le gestionnaire a finalement découvert comment des pirates sont parvenus à s’emparer des mots de passe de ses clients.

L’été dernier, LastPass, un des gestionnaires de mot de passe les plus utilisés au monde, a été victime d’une attaque informatique. Lors de l’opération, les pirates ont obtenu l’accès au code source du gestionnaire de mots de passe et à des « informations techniques propriétaires » par le biais d’un compte développeur compromis. Fin du mois d’octobre, LastPass a essuyé une seconde attaque, en apparence indépendante de l’incursion estivale.

Des informations sensibles sur les serveurs cloud d’Amazon Web Services (AWS), telles que les noms d’utilisateurs, les adresses de facturation, les emails, les adresses IP et les numéros de téléphone des clients, ont alors été dérobées. Surtout, les hackers ont volé les mots de passe chiffrés et toutes les données stockées dans les coffres-forts des usagers… Après enquête, LastPass s’est rendu compte que les deux offensives étaient liées. Il s’avère que les pirates ont utilisé les informations subtilisées en août pour orchestrer la seconde offensive.

À lire aussi : Les applis Android de LastPass et 1Password sont vulnérables au phishing

Les coulisses du piratage de LastPass

Plusieurs mois après les faits, LastPass a pu remonter aux origines exactes des attaques informatiques. Dans un communiqué publié sur son site web, le gestionnaire, sous le feu des critiques, révèle que les attaquants sont parvenus à pénétrer sur l’ordinateur personnel d’un de ses employés après l’incursion d’août. C’est grâce à cette intrusion que les hackers ont pu orchestrer les vols de données d’octobre. Selon LastPass, c’était la seule option des pirates pour contourner les contrôles de sécurité de ses serveurs.

En marge de la violation de l’été dernier, « des informations d’identification valides » ont été volées sur l’ordinateur d’un ingénieur LastPass. Ces données sensibles ont permis d’accéder à un espace de stockage partagé dans le Cloud, réservé à quatre développeurs de la société. Les pirates ont alors pu mettre la main sur les clés de chiffrement permettant d’accéder aux sauvegardes des coffres-forts des clients.

« Les services de stockage chiffrés basés sur le cloud abritent des sauvegardes des données des clients LastPass et des données de coffre-fort chiffrées », explique LastPass dans son communiqué.

D’après l’enquête diligentée par LastPass, les pirates ont choisi leur cible lors « d’une série d’activités de reconnaissance, de recensement et d’exfiltration » focalisées sur les espaces de stockage en ligne de la firme. Ces activités ont eu lieu après la première offensive, sur base des données volées, et à l’insu des employés de l’entreprise.

Une faille dans le code de Plex

Après s’être arrêtés sur l’identité de la cible idéale, les hackers ont cherché un moyen de prendre le contrôle de son ordinateur personnel. Ils ont finalement décidé d’exploiter une faille de sécurité dénichée dans le code de Plex, une plate-forme de gestion multimédia gratuite installée sur la machine, affirment nos confrères d’Ars Technica. Cette plate-forme a d’ailleurs été victime d’une attaque en août 2022, qui s’est soldée par le vol de 15 millions de mots de passe. Ce piratage a eu lieu 12 jours après le début des offensives contre LastPass.

Grâce à la brèche, ils ont pu glisser un logiciel malveillant de type keylogger sur la machine. Cette catégorie de virus, aussi appelés des enregistreurs de frappe, permet d’espionner tout ce qu’un individu tape sur son clavier. De cette manière, ils ont collecté les identifiants permettant d’accéder à l’espace de stockage réservé aux développeurs LastPass. Avec les mots de passe en leur possession, les attaquants n’ont plus eu qu’à se servir.

L’opération a bien failli passer inaperçue. Vu que les pirates se sont simplement connectés au Cloud avec des identifiants valides, LastPass n’a pas immédiatement identifié la violation. Finalement, ce sont des alertes émises par Amazon Web Services qui ont révélé l’origine du hack. Les voleurs ont en effet voulu réaliser une activité non autorisée, ce qui a donné l’alerte.

En réaction, LastPass a promptement pris des mesures pour éviter d’autres dégâts. Les identifiants volés ont été révoqués, des alertes supplémentaires ont été mises en place et les mots de passe sont désormais régulièrement changés. En parallèle, la société s’est engagée à aider l’ingénieur, pris pour cible par les pirates, à renforcer la sécurité de son réseau domestique et de ses ressources personnelles. Par précaution, il est conseillé à tous les utilisateurs LastPass de changer leurs mots de passe principaux et tous les mots de passe stockés dans leurs coffres-forts.

Source :

LastPass



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.