Les experts en scurit affirment que certains des coffres-forts de mots de passe LastPass vols lors dune faille de scurit vers la fin de 2022 ont maintenant t ouverts la suite dune srie de braquages de crypto-monnaie six chiffres. Le blogueur en cyberscurit Brian Krebs rapporte que plusieurs chercheurs ont identifi un ensemble d’indices hautement fiables qui relient apparemment plus de 150 victimes de vol de cryptographie au service LastPass. Collectivement, plus de 35 millions de dollars de crypto-monnaies auraient t vols jusqu prsent, avec entre deux et cinq braquages de grande valeur survenant chaque mois depuis dcembre 2022.
LastPass, un service populaire de gestion de mots de passe, a t victime de deux incidents de scurit majeurs en 2022, qui ont expos les donnes personnelles, les informations de facturation et les coffres-forts (contenant les mots de passe et dautres secrets) de ses clients. Ces coffres-forts, qui sont normalement chiffrs et protgs par le mot de passe matre du client, ont t drobs par des cybercriminels qui ont russi les dchiffrer en exploitant une vulnrabilit dans un logiciel tiers utilis par LastPass.
Depuis dcembre 2022, plus de 150 victimes de vols de crypto-monnaies ont t identifies par des experts en scurit, qui ont tabli un lien entre ces attaques et le service LastPass.
Taylor Monahan, chef de produit principal de la socit de portefeuille crypto MetaMask et l’un des principaux chercheurs enqutant sur les attaques, a conclu que le fil conducteur reliant les victimes tait que presque toutes les victimes avaient utilis LastPass pour stocker leur phrase secrte (une cl numrique prive qui est ncessaire pour accder aux investissements en crypto-monnaies). Ces cls sont souvent stockes sur des services chiffrs comme les gestionnaires de mots de passe pour empcher aux acteurs malveillants daccder aux portefeuilles de crypto-monnaies.
Le chercheur Nick Bax, directeur des analyses de la socit de rcupration de portefeuilles crypto Unciphered, a galement examin les donnes de vol et a souscrit aux conclusions de Monahan dans une interview avec KrebsOnSecurity : Je suis suffisamment convaincu qu’il s’agit d’un problme rel et j’ai exhort mes amis et ma famille qui utilisent LastPass changer tous leurs mots de passe et migrer toute crypto qui aurait pu tre expos, mme s’ils savent trs bien quel point cela est fastidieux.
Au total, plus de 35 millions de dollars en crypto-monnaies ont t vols jusqu prsent, avec entre deux et cinq vols forte valeur ajoute qui se produisent chaque mois depuis dcembre 20222. Les fonds vols ont galement t transfrs vers les mmes adresses blockchain, ce qui renforce le lien entre les victimes.
La raction de LastPass
Le service de gestion de mots de passe LastPass a subi deux failles de scurit connues en aot et novembre de l’anne dernire, des pirates informatiques utilisant les informations obtenues lors de la premire violation pour accder au stockage cloud partag contenant les cls de chiffrement des clients pour les sauvegardes du coffre-fort lors du dernier incident.
Dans un communiqu, Karim Toubba, PDG de LastPass, affirme que la faille de scurit de novembre dernier reste l’objet d’une enqute en cours par les forces de l’ordre et fait galement l’objet d’un litige en cours . La socit na pas prcis si les violations de LastPass de 2022 avaient quelque chose voir avec les vols de cryptographie signals.
Les experts en scurit recommandent aux utilisateurs de LastPass de changer tous leurs mots de passe et de migrer toute crypto-monnaie qui pourrait avoir t expose, malgr la difficult que cela reprsente. Ils conseillent galement aux utilisateurs de vrifier rgulirement lactivit de leur compte LastPass et de leur portefeuille de crypto-monnaies, et dutiliser des mesures supplmentaires de protection comme lauthentification deux facteurs ou un coffre-fort hors ligne.
LastPass ou pas/plus LastPass ?
Pour Jeremi Gosney, chercheur en scurit, il faut s’loigner du gestionnaire en raison de sa longue histoire d’incomptence
Vous trouverez ci-dessous une liste non ordonne des raisons pour lesquelles j’ai perdu toute foi dans Last Pass :
- L’affirmation de LastPass de « zro connaissance » est un mensonge hont. Ils ont peu prs autant de connaissances qu’un gestionnaire de mots de passe pourrait avoir. Chaque fois que vous vous connectez un site, un vnement est gnr et envoy LastPass dans le seul but de suivre les sites auxquels vous vous connectez. Vous pouvez dsactiver la tlmtrie, sauf que la dsactiver ne fait rien – l’application enverra toujours des donnes LastPass chaque fois que vous vous authentifiez quelque part. De plus, presque tout dans votre coffre-fort LastPass n’est pas chiffr. Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de donnes chiffre o l’intgralit du fichier est protg, mais non – avec LastPass, votre coffre-fort est un fichier en texte brut et seuls quelques champs slectionns sont chiffrs.
- LastPass a l’habitude d’ignorer les chercheurs en scurit et les rapports de vulnrabilits, et ne participe pas la communaut infosec ni la communaut de hacking de mots de passe. Les signalements de vulnrabilit restent non reconnus et non rsolus pendant des mois, voire des annes, voire jamais. Pendant un certain temps, ils avaient mme un mauvais contact rpertori pour leur quipe de scurit. Bugcrowd signale les vulnrabilits pour eux maintenant, et la plupart sinon tous les rapports de vulnrabilits sont grs directement par Bugcrowd et non par LastPass. Si vous essayez de signaler une vulnrabilit au support LastPass, ils prtendront qu’ils ne comprennent pas et ne transmettront pas votre ticket l’quipe de scurit. Maintenant, Tavis Ormandy a flicit LastPass pour sa rponse rapide aux rapports de vulnrabilit, mais j’ai l’impression que c’est simplement parce que c’est Tavis / Project Zero qui les signale car ce n’est pas l’exprience que la plupart des chercheurs ont eue.
Vous savez, je ne recommande pas simplement aux utilisateurs de rejeter LastPass cause de cette dernire violation. Je vous recommande de courir aussi loin que possible de LastPass en raison de sa longue histoire d’incomptence, d’apathie et de ngligence. Il est tout fait clair qu’ils ne se soucient pas de leur propre scurit, et encore moins de votre scurit.
L’analyste Steven J. Vaughan-Nichols vote pour Bitwarden
Je trouve un peu trange que LastPass ne donne personne plus de dtails sur ce qui s’est pass avec le vol. Bitwarden, en revanche, est transparent avec ses audits et ses certifications en plus de sa base de code ouverte. La diffrence est claire. LastPass vous recommande de changer votre mot de passe principal et tous vos autres mots de passe. Je vous recommande de dire au revoir LastPass et de passer un autre gestionnaire de mots de passe.
Il existe de nombreux bons gestionnaires de mots de passe. Ils incluent 1Password, DashLane et NordPass. Mais ct offre payante ou gratuite, vous ne verrez pas mieux que Bitwarden.
Bitwarden est une sorte de programme open source. Plus prcisment, il utilise une licence disponible la source. La socit admet que la licence Bitwarden n’est pas considre comme open source selon la dfinition de l’Open Source Initiative (OSI), mais elle pense que la licence quilibre avec succs les principes d’ouverture et de communaut avec nos objectifs commerciaux .
Laissant de ct le problme de licence, le ct pratique de Bitwarden est qu’il est libre d’tre utilis la fois sur un serveur ou un client. Par exemple, en tant que client, vous pouvez l’excuter sur Linux, Windows, macOS, Android, iPhone et iPad. Avec ses extensions de navigateur, vous pouvez galement l’utiliser sur Brave, Chrome, Edge, Firefox, Safari, Opera, Vivaldi et Tor. Le cot? Vous pouvez l’excuter gratuitement sur tous les appareils et navigateurs dont vous disposez.
Sources : Taylor Monahan, communiqu LastPass
Et vous ?
Que pensez-vous de lutilisation des gestionnaires de mots de passe comme LastPass pour stocker vos donnes sensibles ? Quels sont les avantages et les inconvnients de ce type de service ? Peut-on faire confiance aux gestionnaires de mots de passes ?
Avez-vous dj t victime dun vol de crypto-monnaies ou dune tentative de phishing ? Si oui, comment avez-vous ragi et quelles mesures avez-vous prises pour vous protger ?
Quelle est votre opinion sur la responsabilit de LastPass dans cet incident de scurit ? Pensez-vous que la socit a fait assez pour informer ses clients et les indemniser ?
Quelles sont les meilleures pratiques pour scuriser vos investissements en crypto-monnaies ? Quels sont les outils ou les services que vous recommandez pour grer vos cls prives et vos portefeuilles ?
Comment voyez-vous lavenir des crypto-monnaies face aux menaces croissantes des cybercriminels ? Pensez-vous que les rgulations ou les innovations technologiques peuvent aider prvenir ce genre dattaques ?