LastPass a déclaré lundi que la cyberattaque de l'année dernière, qui a conduit à l'exfiltration des données sensibles des clients, avait été causée par des informations d'identification volées à un ingénieur DevOps sénior. L'acteur de la menace aurait mené cette cyberattaque en utilisant les informations volées lors d'une violation en août, des informations provenant d'une autre violation de données et une vulnérabilité d'exécution de code à distance pour installer un keylogger sur le PC de l'ingénieur. LastPass est sous le feu des critiques depuis cet incident et certains conseillent même d'abandonner le gestionnaire de mots de passe.LastPass a été confronté l'an dernier à une série d'attaques qui a compromis les données sensibles de ses utilisateurs. Certaines déclarations de la société en décembre dernier ont fait l'effet d'une bombe et attisé l'ire des clients et d'autres acteurs de la communauté. En effet, LastPass avait déjà été victime d'une violation de données jugée "mineure" en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusives. Les pirates avaient pu copier des parties du code source et certaines informations techniques propriétaires de LastPass.
L'entreprise a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés. Cependant, en décembre, LastPass a publié une mise à jour sur la brèche de sécurité et a déclaré que les pirates avaient réussi à accéder aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses email, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux différents services du gestionnaire de mots de passe.
Les pirates auraient également copié une sauvegarde des données du coffre-fort client qui comprenait des informations non chiffrées telles que des URL de sites Web et des champs de données chiffrées (comme des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données de formulaires). « Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a déclaré le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme.
La société a révélé lundi comment l'acteur de la menace a mené cette attaque, déclarant qu'ils ont utilisé les informations volées lors d'une violation en août, des informations provenant d'une autre violation de données et une vulnérabilité d'exécution de code à distance pour installer un keylogger sur l'ordinateur d'un ingénieur DevOps sénior. Selon LastPass, cette deuxième attaque coordonnée a utilisé les données volées lors de la première violation pour accéder aux coffres chiffrés Amazon S3 de l'entreprise. Comme seuls quatre ingénieurs DevOps de LastPass avaient accès à ces clés de déchiffrement, l'acteur de la menace a ciblé l'un des ingénieurs.
Finalement, l'acteur de la menace a réussi à installer un keylogger (enregistreur de frappes) sur l'appareil de l'employé en exploitant une vulnérabilité d'exécution de code à distance dans un logiciel multimédia tiers. « L'acteur de la menace a pu capturer le mot de passe principal de l'employé au moment de la saisie, après que l'employé se soit authentifié avec MFA, et accéder au coffre-fort d'entreprise LastPass de l'ingénieur DevOps. Les acteurs de la menace ont ensuite exporté les entrées natives du coffre-fort d'entreprise et le contenu des dossiers partagés », indique un nouvel avis de sécurité publié lundi par LastPass sur son site Web.
Selon l'avis, ces derniers contenaient des notes sécurisées chiffrées avec les clés d'accès et de déchiffrement nécessaires pour accéder aux sauvegardes de production AWS S3 LastPass, à d'autres ressources de stockage dans le cloud et à certaines sauvegardes de base de données critiques connexes. L'utilisation d'identifiants valides a rendu difficile la détection de l'activité de l'acteur de la menace par les enquêteurs de l'entreprise, ce qui a...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
