LastPass, l'un des principaux gestionnaires de mots de passe, a déclaré que des pirates ont obtenu une multitude d'informations personnelles appartenant à ses clients ainsi que des mots de passe chiffrés et cryptographiquement hachés en plus d'autres données stockées dans les coffres-forts des clients.La révélation, publiée jeudi, représente une mise à jour spectaculaire d'une brèche que LastPass a révélée en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'ont utilisé pour accéder à des données exclusive. L'éditeur a reconnu que le(s) cybercriminel(s) « avait pris des parties du code source et certaines informations techniques propriétaires de LastPass ». La société a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés.
Données sensibles, chiffrées ou non, copiées
Dans la mise à jour de jeudi, la société a déclaré que les pirates avaient accédé aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux services LastPass. Les pirates ont également copié une sauvegarde des données du coffre-fort client qui comprenait des données non chiffrées telles que des URL de sites Web et des champs de données chiffrés tels que des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires.
« Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a expliqué le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme. Zero Knowledge fait référence à des systèmes de stockage impossibles à déchiffrer pour le fournisseur de services. Le PDG a poursuivi :
Envoyé par PDG LastPass
Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local. Pour plus d'informations sur notre architecture Zero Knowledge et nos algorithmes de chiffrement, veuillez cliquer ici.
L'intrusion révélée en août qui a permis aux pirates de voler le code source de LastPass et des informations techniques propriétaires semble liée à une violation distincte de Twilio, un fournisseur de services d'authentification et de communication à deux facteurs basé à San Francisco. Le cybercriminel derrière cette violation a volé les données de 163 des clients de Twilio. Les mêmes hameçonneurs qui ont frappé Twilio ont également violé au moins 136 autres entreprises, dont LastPass.
La mise à jour de jeudi a indiqué que les cybercriminels pourraient utiliser le code source et les informations techniques volés à LastPass pour pirater un employé distinct de LastPass et obtenir des informations d'identification et des clés de sécurité pour accéder et déchiffrer les volumes de stockage au sein du service de stockage basé sur le cloud de l'entreprise.
Renforcez votre sécurité maintenant
La mise à jour de jeudi a également répertorié plusieurs solutions que LastPass a prises pour renforcer sa sécurité après la violation. Les étapes comprennent la mise hors service de l'environnement de développement piraté et sa reconstruction à partir de zéro, la conservation d'un service géré de détection et de réponse des terminaux et la rotation de toutes les informations d'identification et certificats pertinents susceptibles d'avoir été affectés.
Compte tenu de la sensibilité des données stockées par LastPass, il est alarmant qu'un si large éventail de données personnelles ait été obtenu. Alors que déchiffrer les hachages de mot de passe nécessiterait des quantités massives de ressources, ce n'est pas hors de propos, en particulier compte tenu de la méthode et de l'ingéniosité des cybercriminels.
Les clients LastPass doivent s'assurer qu'ils ont changé leur mot de passe principal et tous les mots de passe stockés dans leur coffre-fort. Ils doivent également s'assurer qu'ils utilisent des paramètres qui dépassent la valeur par défaut de LastPass. Ces paramètres hachent les mots de passe stockés à l'aide des itérations 100100 de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2), un schéma de hachage qui peut rendre impossible le déchiffrage de mots de passe principaux longs, uniques et générés de manière aléatoire Les itérations 100100 sont terriblement en deçà du seuil de 310 000 itérations recommandé par l'OWASP pour PBKDF2 en combinaison avec l'algorithme de hachage SHA256 utilisé par LastPass. Les clients LastPass peuvent vérifier le nombre actuel d'itérations PBKDF2 pour leurs comptes ici.
Les clients de LastPass doivent également être très attentifs aux e-mails et appels téléphoniques de phishing prétendument de LastPass ou d'autres services à la recherche de données sensibles et d'autres escroqueries qui exploitent leurs données personnelles compromises. La société propose également des conseils spécifiques aux clients professionnels qui ont mis en œuvre les services de connexion fédérée LastPass.
Le communiqué de LastPass sur le sujet
À notre communauté LastPass,
Nous vous avons récemment...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
