LastPass, un service populaire de gestion de mots de passe, a été victime de deux incidents de sécurité majeurs en 2022, qui ont exposé les données personnelles, les informations de facturation et les coffres-forts (contenant les mots de passe et d’autres secrets) de ses clients. Ces coffres-forts, qui sont normalement chiffrés et protégés par le mot de passe maître du client, ont été dérobés par des cybercriminels qui ont réussi à les déchiffrer en exploitant une vulnérabilité dans un logiciel tiers utilisé par LastPass.
Depuis décembre 2022, plus de 150 victimes de vols de crypto-monnaies ont été identifiées par des experts en sécurité, qui ont établi un lien entre ces attaques et le service LastPass.
Taylor Monahan, chef de produit principal de la société de portefeuille crypto MetaMask et l'un des principaux chercheurs enquêtant sur les attaques, a conclu que le fil conducteur reliant les victimes était que « presque toutes les victimes » avaient utilisé LastPass pour stocker leur « phrase secrète » (une clé numérique privée qui est nécessaire pour accéder aux investissements en crypto-monnaies). Ces clés sont souvent stockées sur des services chiffrés comme les gestionnaires de mots de passe pour empêcher aux acteurs malveillants d’accéder aux portefeuilles de crypto-monnaies.
Le chercheur Nick Bax, directeur des analyses de la société de récupération de portefeuilles crypto Unciphered, a également examiné les données de vol et a souscrit aux conclusions de Monahan dans une interview avec KrebsOnSecurity : « Je suis suffisamment convaincu qu'il s'agit d'un problème réel et j'ai exhorté mes amis et ma famille qui utilisent LastPass à changer tous leurs mots de passe et à migrer toute crypto qui aurait pu être exposé, même s'ils savent très bien à quel point cela est fastidieux. »
Au total, plus de 35 millions de dollars en crypto-monnaies ont été volés jusqu’à présent, avec entre deux et cinq vols à forte valeur ajoutée qui se produisent chaque mois depuis décembre 20222. Les fonds volés ont également été transférés vers les mêmes adresses blockchain, ce qui renforce le lien entre les victimes.
La réaction de LastPass
Le service de gestion de mots de passe LastPass a subi deux failles de sécurité connues en août et novembre de l'année dernière, des pirates informatiques utilisant les informations obtenues lors de la première violation pour accéder au stockage cloud partagé contenant les clés de chiffrement des clients pour les sauvegardes du coffre-fort lors du dernier incident.
Dans un communiqué, Karim Toubba, PDG de LastPass, affirme que la faille de sécurité de novembre dernier reste « l'objet d'une enquête en cours par les forces de l'ordre et fait également l'objet d'un litige en cours ». La société n’a pas précisé si les violations de LastPass de 2022 avaient quelque chose à voir avec les vols de cryptographie signalés.
Les experts en sécurité recommandent aux utilisateurs de LastPass de changer tous leurs mots de passe et de migrer toute crypto-monnaie qui pourrait avoir été exposée, malgré la difficulté que cela représente. Ils conseillent également aux utilisateurs de vérifier régulièrement l’activité de leur compte LastPass et de leur portefeuille de crypto-monnaies, et d’utiliser des mesures supplémentaires de protection comme l’authentification à deux facteurs ou un coffre-fort hors ligne.
LastPass ou pas/plus LastPass ?
Pour Jeremi Gosney, chercheur en sécurité, il faut s'éloigner du gestionnaire « en raison de sa longue histoire d'incompétence »
Vous trouverez ci-dessous une liste non ordonnée des raisons pour lesquelles j'ai perdu toute foi dans Last Pass :
- L'affirmation de LastPass de "zéro connaissance" est un mensonge éhonté. Ils ont à peu près autant de connaissances qu'un gestionnaire de mots de passe pourrait avoir. Chaque fois que vous vous connectez à un site, un événement est généré et envoyé à LastPass dans le seul but de suivre les sites auxquels vous vous connectez. Vous pouvez désactiver la télémétrie, sauf que la désactiver ne fait rien - l'application enverra toujours des données à LastPass chaque fois que vous vous authentifiez quelque part. De plus, presque tout dans votre coffre-fort LastPass n'est pas chiffré. Je pense que la plupart des gens envisagent leur coffre-fort comme une sorte de base de données chiffrée où l'intégralité du fichier est protégé, mais non - avec LastPass, votre coffre-fort est un fichier en texte brut et seuls quelques champs sélectionnés sont chiffrés.
- LastPass a l'habitude d'ignorer les chercheurs en sécurité et les rapports de vulnérabilités, et ne participe pas à la communauté infosec ni à la communauté de hacking de mots de passe. Les signalements de vulnérabilité restent non reconnus et non résolus pendant des mois, voire des années, voire jamais. Pendant un certain temps, ils avaient même un mauvais contact répertorié pour leur équipe de sécurité. Bugcrowd signale les vulnérabilités pour eux maintenant, et la plupart sinon tous les rapports de vulnérabilités sont gérés directement par Bugcrowd et non par LastPass. Si vous essayez de signaler une vulnérabilité au support LastPass, ils prétendront qu'ils ne comprennent pas et ne transmettront pas votre ticket à l'équipe de sécurité. Maintenant, Tavis Ormandy a félicité LastPass pour sa réponse rapide aux rapports de vulnérabilité, mais j'ai l'impression que c'est simplement parce que c'est Tavis / Project Zero qui les signale car ce n'est pas l'expérience que la plupart des chercheurs ont eue.
Vous savez, je ne recommande pas simplement aux utilisateurs de rejeter LastPass à cause de cette dernière violation. Je vous recommande de courir aussi loin que possible de LastPass en raison de sa longue histoire d'incompétence, d'apathie et de négligence. Il est tout à fait clair qu'ils ne se soucient pas de leur propre sécurité, et encore moins de votre sécurité.
L'analyste Steven J. Vaughan-Nichols vote pour Bitwarden
Je trouve un peu étrange que LastPass ne donne à personne plus de détails sur ce qui s'est passé avec le vol. Bitwarden, en revanche, est transparent avec ses audits et ses certifications en plus de sa base de code ouverte. La différence est claire. LastPass vous recommande de changer votre mot de passe principal et tous vos autres mots de passe. Je vous recommande de dire au revoir à LastPass et de passer à un autre gestionnaire de mots de passe.
Il existe de nombreux bons gestionnaires de mots de passe. Ils incluent 1Password, DashLane et NordPass. Mais côté offre payante ou gratuite, vous ne verrez pas mieux que Bitwarden.
Bitwarden est une sorte de programme open source. Plus précisément, il utilise une licence disponible à la source. La société admet que la licence Bitwarden n'est pas considérée comme open source selon la définition de l'Open Source Initiative (OSI), mais elle « pense que la licence équilibre avec succès les principes d'ouverture et de communauté avec nos objectifs commerciaux ».
Laissant de côté le problème de licence, le côté pratique de Bitwarden est qu'il est libre d'être utilisé à la fois sur un serveur ou un client. Par exemple, en tant que client, vous pouvez l'exécuter sur Linux, Windows, macOS, Android, iPhone et iPad. Avec ses extensions de navigateur, vous pouvez également l'utiliser sur Brave, Chrome, Edge, Firefox, Safari, Opera, Vivaldi et Tor. Le coût? Vous pouvez l'exécuter gratuitement sur tous les appareils et navigateurs dont vous disposez.
Sources : Taylor Monahan, communiqué LastPass
Et vous ?
Que pensez-vous de l’utilisation des gestionnaires de mots de passe comme LastPass pour stocker vos données sensibles ? Quels sont les avantages et les inconvénients de ce type de service ? Peut-on faire confiance aux gestionnaires de mots de passes ?
Avez-vous déjà été victime d’un vol de crypto-monnaies ou d’une tentative de phishing ? Si oui, comment avez-vous réagi et quelles mesures avez-vous prises pour vous protéger ?
Quelle est votre opinion sur la responsabilité de LastPass dans cet incident de sécurité ? Pensez-vous que la société a fait assez pour informer ses clients et les indemniser ?
Quelles sont les meilleures pratiques pour sécuriser vos investissements en crypto-monnaies ? Quels sont les outils ou les services que vous recommandez pour gérer vos clés privées et vos portefeuilles ?
Comment voyez-vous l’avenir des crypto-monnaies face aux menaces croissantes des cybercriminels ? Pensez-vous que les régulations ou les innovations technologiques peuvent aider à prévenir ce genre d’attaques ?