L'année dernière a été particulièrement mauvaise pour le gestionnaire de mots de passe LastPass, car une série d'incidents de piratage a révélé de sérieuses faiblesses dans sa sécurité supposée à toute épreuve. Maintenant, nous savons exactement comment ces attaques se sont déroulées – et les faits sont assez époustouflants.
Tout a commencé en août 2022, lorsque LastPass a révélé qu'un acteur menaçant avait volé le code source de l'application. Lors d'une deuxième attaque ultérieure, le pirate a combiné ces données avec des informations trouvées dans une violation de données distincte, puis a exploité une faiblesse dans une application d'accès à distance utilisée par les employés de LastPass. Cela leur a permis d'installer un enregistreur de frappe sur l'ordinateur d'un ingénieur senior de l'entreprise.
Une fois que cet enregistreur de frappe était en place, les pirates pouvaient récupérer le mot de passe principal LastPass de l'ingénieur tel qu'il a été saisi, leur donnant accès au coffre-fort de l'employé - et à tous les secrets contenus dans.
En rapport
- Les pirates peuvent avoir volé la clé principale à un autre gestionnaire de mots de passe
- NordPass ajoute la prise en charge des clés d'accès pour bannir vos mots de passe faibles
- Les pirates ont creusé profondément dans la faille de sécurité massive de LastPass
Ils ont utilisé cet accès pour exporter le contenu du coffre-fort. Nichées parmi les données se trouvaient les clés de déchiffrement nécessaires pour déchiffrer les sauvegardes des clients stockées dans le système de stockage en nuage de LastPass.
Vidéos recommandées
C'est important car LastPass a conservé les sauvegardes de production et les sauvegardes de bases de données critiques dans le cloud. Une grande quantité de données clients sensibles a également été volée, bien qu'il semble que les pirates n'aient pas été en mesure de les déchiffrer. Détails de la page d'assistance LastPass exactement ce qui a été volé.
Transparence douteuse
Heureusement pour les utilisateurs de LastPass, il semble que les données les plus sensibles des clients, telles que (la plupart) des adresses e-mail et des mots de passe, aient été cryptées à l'aide d'une méthode à connaissance nulle. Cela signifie qu'ils ont été chiffrés avec une clé dérivée du mot de passe principal de chaque utilisateur et inconnue de LastPass. Lorsque les pirates ont volé des données LastPass, ils n'ont pas pu obtenir ces clés de déchiffrement car elles n'étaient stockées nulle part par LastPass.
Cela dit, de nombreuses données importantes ont été prises par les acteurs de la menace. Cela comprenait des sauvegardes de la base de données d'authentification multifacteur de LastPass, des secrets d'API, des métadonnées client, des données de configuration, etc. En plus de cela, il semble que de nombreux produits en dehors de LastPass ont également été enfreints.
Sur un page d'assistance, LastPass a déclaré que la manière dont la deuxième attaque a été menée - en utilisant les informations de connexion authentiques des employés - la rendait difficile à détecter. En fin de compte, l'entreprise a réalisé que quelque chose n'allait pas lorsque son système AWS GuardDuty Alerts l'a avertie que quelqu'un essayait d'utiliser ses rôles Cloud Identity and Access Management pour effectuer des activité.
LastPass a fait l'objet de nombreuses critiques sur sa gestion des attaques ces derniers mois, et cette désapprobation ne devrait pas s'estomper à la lumière des dernières révélations. En fait, une société de sécurité est allée jusqu'à dire que LastPass n'était pas une application digne de confiance et que les utilisateurs basculer vers différents gestionnaires de mots de passe.
À l'heure actuelle, LastPass essaie apparemment de cacher ses pages de support d'attaque aux moteurs de recherche en ajoutant "” code aux pages. Cela ne fera que rendre plus difficile pour les utilisateurs (et le reste du monde) de découvrir ce qui s'est passé et cela ne semble guère être fait dans un esprit de transparence et de responsabilité. Rien n'a été publié non plus sur le blog de l'entreprise.
Si vous êtes un client LastPass, il serait peut-être préférable de trouver une application alternative. Heureusement, il y en a bien d'autres superbes gestionnaires de mots de passe là-bas qui peuvent protéger de manière fiable vos informations importantes.
Recommandations des éditeurs
- Ces mots de passe embarrassants ont piraté des célébrités
- Non, 1Password n'a pas été piraté - voici ce qui s'est réellement passé
- Cet énorme exploit du gestionnaire de mots de passe pourrait ne jamais être corrigé
- Les meilleurs gestionnaires de mots de passe pour 2023
- Vous utilisez LastPass? Vous devez changer de toute urgence, dit la société de sécurité
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde trépidant de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.