L’année dernière, le gestionnaire de mots de passe LastPass a révélé avoir été la victime de deux incidents de sécurité. Patron de LastPass, Karim Toubba fait le point dans un billet de blog. Les deux incidents sont imputés à un même attaquant, dont l’identité n’est pas élucidée et avec lequel aucun contact n’a été établi.
Pour le premier incident de sécurité, c’est l’ordinateur portable d’un ingénieur logiciel qui a été piraté. La compromission a permis l’accès à un environnement de développement cloud pour voler du code source, des informations techniques et en rapport avec des systèmes internes de LasPass.
Lors du deuxième incident de sécurité, l’attaquant a utilisé des informations exfiltrées au cours du premier incident. Il a pris pour cible l’un des quatre ingénieurs DevOps ayant accès aux clés de déchiffrement nécessaires pour l’accès à un service de stockage cloud.
Avec l’injection d’un keylogger
De type exécution de code à distance, une vulnérabilité de sécurité affectant un logiciel multimédia tiers (il s’agirait de Plex) a été exploitée pour injecter un malware sur l’ordinateur personnel de l’ingénieur DevOps. En l’occurrence, un keylogger permettant d’enregistrer les frappes au clavier.
» L’acteur de la menace a pu capturer le mot de passe maître de l’employé au moment de sa saisie, après son authentification à plusieurs facteurs, et obtenir l’accès au coffre-fort LastPass de l’ingénieur DevOps. «
Grâce à un accès illicite à des sauvegardes dans le cloud, l’attaquant a mis la main sur des données secrètes et les données de clients LastPass chiffrées et non chiffrées (métadonnées).
Une confiance à regagner
» Les alertes et la journalisation étaient activées pendant ces événements, mais elles n’ont pas immédiatement indiqué le comportement anormal qui est devenu plus clair rétrospectivement durant l’enquête « , souligne LastPass qui a mené ses analyses avec l’aide de Mandiant.
Disponible dans plusieurs langues et notamment en français, le billet du blog du patron de LastPass détaille une nouvelle fois les données qui ont été exposées et les actions qui ont été entreprises. L’exercice de transparence est délicat pour LastPass qui va devoir cravacher pour regagner la confiance de ses utilisateurs.
L’attaquant a fait preuve d’une grande obstination et a su user de beaucoup de ressources pour parvenir à ses fins… même si ses motivations demeurent toujours obscures.