Les spécialistes de la cybersécurité s'attaquent au communiqué de LastPass suite à une violation de sécurité

« leur déclaration est pleine d'omissions, de demi-vérités et de mensonges éhontés »

La semaine dernière, juste avant Noël, LastPass a fait une annonce explosive : à la suite d'une violation de données en août, qui a conduit à une autre violation de données en novembre, des hackers avaient mis la main sur les coffres-forts de mots de passe des utilisateurs. Alors que l'entreprise insiste sur le fait que vos informations de connexion sont toujours sécurisées, certains experts en cybersécurité critiquent fortement son message, affirmant qu'il pourrait faire en sorte que les gens se sentent plus en sécurité qu'ils ne le sont réellement et soulignant qu'il ne s'agit que du dernier d'une série d'incidents qui rendent il est difficile de faire confiance au gestionnaire de mots de passe.

Une chose sur laquelle plusieurs d'entre eux semblent s'accorder, c'est que cette violation n'est pas la preuve que les gestionnaires de mots de passe basés sur le cloud sont une mauvaise idée. Toutefois, l'un d'eux critique l'entreprise pour avoir décrit son algorithme de renforcement de mot de passe, connu sous le nom de PBKDF2, comme « plus fort que la norme ». L'idée derrière la norme est qu'il est plus difficile de deviner vos mots de passe par force brute, car vous devrez effectuer un certain nombre de calculs à chaque supposition. « Je me demande sérieusement ce que LastPass considère comme typique », a noté Wladimir Palant, « étant donné que 100 000 itérations PBKDF2 sont le nombre le plus bas que j'ai vu dans n'importe quel gestionnaire de mots de passe actuel ».

LastPass, l'un des principaux gestionnaires de mots de passe, a déclaré que des pirates ont obtenu une multitude d'informations personnelles appartenant à ses clients ainsi que des mots de passe chiffrés et cryptographiquement hachés en plus d'autres données stockées dans les coffres-forts des clients. La révélation, publiée le 22 décembre, représente une mise à jour spectaculaire d'une brèche que LastPass a révélée en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusive. L'éditeur a reconnu que le(s) cybercriminel(s) « avait pris des parties du code source et certaines informations techniques propriétaires de LastPass ». La société a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés.

Données sensibles, chiffrées ou non, copiées

Dans la mise à jour de jeudi 22 décembre, la société a déclaré que les pirates avaient accédé aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux services LastPass. Les pirates ont également copié une sauvegarde des données du coffre-fort client qui comprenait des données non chiffrées telles que des URL de sites Web et des champs de données chiffrés tels que des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires.

« Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a expliqué le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme. Zero Knowledge fait référence à des systèmes de stockage impossibles à déchiffrer pour le fournisseur de services. Le PDG a poursuivi :

L'intrusion révélée en août qui a permis aux pirates de voler le code source de LastPass et des informations techniques propriétaires semble liée à une violation distincte de Twilio, un fournisseur de services d'authentification et de communication à deux facteurs basé à San Francisco. Le cybercriminel derrière cette violation a volé les données de 163 des clients de Twilio. Les mêmes hameçonneurs qui ont frappé Twilio ont également violé au moins 136 autres entreprises, dont LastPass.

La mise à jour de jeudi 22 décembre a indiqué que les cybercriminels pourraient utiliser le code source et les informations techniques volés à LastPass pour pirater un employé distinct de LastPass et obtenir des informations d'identification et des clés de sécurité pour accéder et déchiffrer les volumes de stockage au sein du service de stockage basé sur le cloud de l'entreprise.

Mais les spécialistes de la cybersécurité se sont attaqué au communiqué de LastPass.

Wladimir Palant, un chercheur en sécurité connu pour avoir aidé à développer à l'origine AdBlock Pro

Les professionnels de la sécurité ne se sont pas amusés, cette saison des fêtes est devenue une période très chargée pour eux. LastPass aurait probablement pu empêcher cela s'ils étaient plus soucieux de protéger leurs utilisateurs que de sauver leur image. Leur déclaration est également pleine d'omissions, de demi-vérités et de mensonges éhontés. Comme je sais que tout le monde ne peut pas voir à travers tout cela, j'ai pensé que je choisirais un tas de phrases de cette déclaration et donnerais un contexte que LastPass ne voulait pas mentionner.

Commençons par le tout premier paragraphe :

En fait, cela n'a rien à voir avec un quelconque engagement. LastPass est en fait tenu par la loi américaine de divulguer immédiatement une violation de données. Nous verrons bientôt à quel point ils sont vraiment transparents dans leur déclaration.

LastPass tente de présenter l'incident d'août 2022 et la fuite de données comme deux événements distincts. Mais l'utilisation des informations obtenues lors de l'accès initial afin d'accéder à davantage d'actifs est en fait une technique typique utilisée par les cybercriminels. C'est ce qu'on appelle un mouvement latéral.

L'interprétation la plus correcte des événements est donc : nous n'avons pas de nouvelle brèche maintenant, LastPass n'a plutôt pas réussi à contenir la brèche d'août 2022. Et à cause de cet échec, les données des gens ont maintenant disparu. Oui, cette interprétation est beaucoup moins favorable à LastPass, c'est pourquoi ils essaient probablement de l'éviter.

Notez également comment LastPass évite de mentionner quand l'évènement « cibler un autre employé » s'est produit. C'était probablement déjà le cas avant qu'ils ne déclarent la victoire en septembre 2022, ce qui jette également une mauvaise lumière sur eux.

Est-ce censé être rassurant, étant donné que le stockage cloud en question avait apparemment une copie de toutes les données LastPass ? Ou est-ce peut-être une tentative de rejeter la faute : « Ce ne sont pas nos serveurs dont les données ont été extraites » ?

Nous apprenons ici que LastPass stockait vos adresses IP. Et comme ils ne précisent pas combien ils stockaient, nous devons supposer : tous. Et si vous êtes un utilisateur actif de LastPass, ces données devraient être suffisamment bonnes pour créer un profil de mouvement complet. Qui est maintenant entre les mains d'un cybercriminel inconnu.

Bien sûr, LastPass ne mentionne pas cette implication, en espérant que les utilisateurs les moins férus de technologie ne s'en rendront pas compte.

Il y a un autre aspect intéressant ici : combien de temps a-t-il fallu pour copier les données de millions d'utilisateurs ? Pourquoi LastPass n'a-t-il pas détecté cela avant que les attaquants n'en aient fini avec cela ? Nous ne l'apprendrons pas dans leur déclaration.

Notez que LastPass admet ne pas chiffrer les URL des sites Web mais ne les regroupe pas sous les « champs sensibles ». Mais les URL de sites Web sont des données très sensibles. Les cybercriminels aimeraient savoir à quoi vous avez accès. Ensuite, ils pourraient produire des e-mails de phishing bien ciblés uniquement pour les personnes qui en valent la peine.

Peu importe le fait que certaines de ces URL sont associées à des paramètres. Par exemple, LastPass enregistre parfois les URL de réinitialisation du mot de passe. Et parfois, ils seront toujours valables. Oups…

Rien de tout cela n'est nouveau bien sûr. LastPass a été averti à maintes reprises que ne pas chiffrer les URL et les métadonnées est une très mauvaise idée. En novembre 2015. En janvier 2017. En juillet 2018. Et ce ne sont que les cas dont j'ai connaissance. Ils ont choisi d'ignorer le problème et ils continuent de le minimiser.

Cela prépare le terrain pour blâmer les clients. LastPass doit être conscient que les mots de passe seront déchiffrés pour au moins certains de leurs clients. Et ils ont déjà une explication pratique : ces clients n'ont manifestement pas suivi leurs meilleures pratiques.

Nous verrons ci-dessous quelles sont ces meilleures pratiques et comment LastPass les applique réellement.

Cela semble rassurant. Pourtant, je ne connais qu'une seule occasion où ils ont ajusté leurs valeurs par défaut : en 2018, lorsque j'ai souligné que leurs valeurs par défaut étaient tout à fait insuffisantes. Rien n'a changé après cela, et ils sont à nouveau à la traîne.

Passons maintenant à leurs meilleures pratiques en matière de mot de passe :

Si vous êtes un client LastPass, il y a de fortes chances que vous ignoriez complètement cette exigence. C'est parce que LastPass n'a pas demandé aux clients existants de changer leur mot de passe principal. J'avais mon compte de test depuis 2018, et même aujourd'hui, je peux me connecter avec mon mot de passe à huit caractères sans aucun avertissement ni invite à le changer.

LastPass a donc exigé douze caractères au cours des quatre dernières années, mais une grande partie de leur clientèle utilise probablement encore des mots de passe non conformes à cette exigence. Et LastPass les blâmera si leurs données sont déchiffrées en conséquence.


Jeremi Gosney, chercheur en sécurité

Permettez-moi de commencer par dire que j'avais l'habitude de soutenir LastPass. Je l'ai recommandé pendant des années et l'ai défendu publiquement dans les médias. Si vous recherchez sur Google "jeremi gosney" + "lastpass", vous trouverez des centaines d'articles dans lesquels j'ai défendu et/ou soutenu LastPass (y compris dans le magazine Consumer Reports). Je l'ai défendu même face aux vulnérabilités et aux failles, car il avait une UX supérieure et semblait toujours être la meilleure option pour les masses malgré ses défauts flagrants. Et il a toujours une place un peu spéciale dans mon cœur, étant le gestionnaire de mots de passe qui m'a en fait orienté vers les gestionnaires de mots de passe. Il a placé la barre pour ce que j'attendais d'un gestionnaire de mots de passe, et pendant un certain temps, il était inégalé.

Mais les choses changent et ces dernières années, je me suis retrouvé incapable de défendre LastPass. Je ne me souviens pas s'il y a eu une paille particulière qui a fait déborder le vase, mais je sais que j'ai cessé de le recommander en 2017 et que j'ai totalement effectué la migration en 2019. Vous trouverez ci-dessous une liste non ordonnée des raisons pour lesquelles j'ai perdu toute foi dans Last Pass :
[LIST][*]L'affirmation de LastPass de "zéro connaissance" est un mensonge éhonté. Ils ont à peu près autant de connaissances qu'un gestionnaire de mots de passe pourrait avoir. Chaque fois que vous vous connectez à un site, un événement est généré et envoyé à LastPass dans le seul but de suivre les sites auxquels vous vous connectez. Vous pouvez désactiver la télémétrie, sauf que la désactiver ne fait rien - l'application enverra toujours des données à LastPass chaque[/*]...