LastPass a déclaré lundi que la cyberattaque de l'année dernière, qui a conduit à l'exfiltration des données sensibles des clients, avait été causée par des informations d'identification volées à un ingénieur DevOps sénior. L'acteur de la menace aurait mené cette cyberattaque en utilisant les informations volées lors d'une violation en août, des informations provenant d'une autre violation de données et une vulnérabilité d'exécution de code à distance pour installer un keylogger sur le PC de l'ingénieur. LastPass est sous le feu des critiques depuis cet incident et certains conseillent même d'abandonner le gestionnaire de mots de passe.LastPass a été confronté l'an dernier à une série d'attaques qui a compromis les données sensibles de ses utilisateurs. Certaines déclarations de la société en décembre dernier ont fait l'effet d'une bombe et attisé l'ire des clients et d'autres acteurs de la communauté. En effet, LastPass avait déjà été victime d'une violation de données jugée "mineure" en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusives. Les pirates avaient pu copier des parties du code source et certaines informations techniques propriétaires de LastPass.
L'entreprise a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés. Cependant, en décembre, LastPass a publié une mise à jour sur la brèche de sécurité et a déclaré que les pirates avaient réussi à accéder aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses email, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux différents services du gestionnaire de mots de passe.
Les pirates auraient également copié une sauvegarde des données du coffre-fort client qui comprenait des informations non chiffrées telles que des URL de sites Web et des champs de données chiffrées (comme des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données de formulaires). « Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a déclaré le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme.
La société a révélé lundi comment l'acteur de la menace a mené cette attaque, déclarant qu'ils ont utilisé les informations volées lors d'une violation en août, des informations provenant d'une autre violation de données et une vulnérabilité d'exécution de code à distance pour installer un keylogger sur l'ordinateur d'un ingénieur DevOps sénior. Selon LastPass, cette deuxième attaque coordonnée a utilisé les données volées lors de la première violation pour accéder aux coffres chiffrés Amazon S3 de l'entreprise. Comme seuls quatre ingénieurs DevOps de LastPass avaient accès à ces clés de déchiffrement, l'acteur de la menace a ciblé l'un des ingénieurs.
Finalement, l'acteur de la menace a réussi à installer un keylogger (enregistreur de frappes) sur l'appareil de l'employé en exploitant une vulnérabilité d'exécution de code à distance dans un logiciel multimédia tiers. « L'acteur de la menace a pu capturer le mot de passe principal de l'employé au moment de la saisie, après que l'employé se soit authentifié avec MFA, et accéder au coffre-fort d'entreprise LastPass de l'ingénieur DevOps. Les acteurs de la menace ont ensuite exporté les entrées natives du coffre-fort d'entreprise et le contenu des dossiers partagés », indique un nouvel avis de sécurité publié lundi par LastPass sur son site Web.
Selon l'avis, ces derniers contenaient des notes sécurisées chiffrées avec les clés d'accès et de déchiffrement nécessaires pour accéder aux sauvegardes de production AWS S3 LastPass, à d'autres ressources de stockage dans le cloud et à certaines sauvegardes de base de données critiques connexes. L'utilisation d'identifiants valides a rendu difficile la détection de l'activité de l'acteur de la menace par les enquêteurs de l'entreprise, ce qui a permis au pirate d'accéder aux serveurs de stockage dans le cloud de LastPass et d'y voler des données - personnelles et d'entreprises - sur une période de plus de deux mois, entre le 12 août 2022 et le 26 octobre 2022.
LastPass a finalement détecté le comportement anormal par le biais des alertes AWS GuardDuty lorsque l'acteur de la menace a tenté d'utiliser les rôles IAM (Identity and Access Management) du cloud pour effectuer une activité non autorisée. La société note également qu'elle a depuis mis à jour sa posture de sécurité, notamment en faisant tourner les informations d'identification sensible et les clés/jetons d'authentification, en révoquant les certificats, en ajoutant une journalisation et des alertes supplémentaires et en appliquant des politiques de sécurité plus strictes. L'avis donne également plus d'informations sur le nombre de données consultées.
Selon le client, ces données sont nombreuses et variées, allant d'informations relatives à l'authentification multifactorielle (MFA) aux secrets d'intégration de l'API MFA, en passant par la clé du composant de connaissance ("K2") pour les clients de Federated Business. Une liste complète des données volées est présentée ci-dessous :
Résumé des données consultées lors de l'incident 1 :
- référentiels de développement et de code source à la demande, basés sur le cloud : il s'agissait de 14 référentiels de logiciels sur 200 ;
- scripts internes des référentiels : ils contenaient des secrets et des certificats LastPass ;
- documentation interne : informations techniques décrivant le fonctionnement de l'environnement de développement.
Résumé des données consultées lors de l'incident 2 :
- secrets DevOps : secrets restreints qui ont été utilisés pour accéder au stockage de sauvegarde basé sur le cloud de LastPass ;
- stockage de sauvegarde dans le cloud : il contenait des données de configuration, des secrets d'API, des secrets d'intégration de tiers, des métadonnées de clients et des sauvegardes de toutes les données du coffre-fort des clients. Toutes les données sensibles du coffre-fort du client - autres que les URL, les chemins d'accès aux logiciels LastPass Windows ou macOS installés, et certains cas d'utilisation impliquant des adresses email - seraient chiffrées à l'aide du modèle de connaissance zéro de LastPass et ne pourraient être déchiffrées qu'avec une clé de chiffrement unique dérivée du mot de passe principal de chaque utilisateur ;
- sauvegarde de la base de données MFA/Fédération de LastPass : elle contenait des copies des informations de LastPass Authenticator, des numéros de téléphone utilisés pour l'option de sauvegarde MFA (si elle est activée), ainsi qu'un composant de connaissance partagée (la "clé" K2) utilisé pour la fédération LastPass (si elle est activée). Cette base de données était chiffrée, mais la clé de déchiffrement stockée séparément a été incluse dans les secrets volés par l'acteur de la menace lors du deuxième incident.
La mise à jour publié lundi indique que les tactiques, techniques et procédures utilisées lors du premier incident étaient différentes de celles utilisées lors du second et que, par conséquent, il n'était pas clair au départ pour les enquêteurs que les deux étaient directement liés. Lors du second incident, l'acteur de la menace a utilisé les informations obtenues lors du premier pour énumérer et exfiltrer les données stockées dans les coffres S3. « L'alerte et la journalisation étaient activées pendant ces événements, mais n'ont pas immédiatement indiqué le comportement anormal qui est devenu plus clair rétrospectivement pendant l'enquête », indique l'avis.
Tous les bulletins d'assistance publiés lundi ne sont pas faciles à trouver, aucun d'entre eux n'étant répertorié dans les moteurs de recherche, car LastPass a ajouté des balises HTML <meta name="robots" content="noindex"> au document afin d'empêcher leur indexation par les moteurs de recherche. LastPass a publié un PDF intitulé "Security Incident Update and Recommended Actions", qui contient des informations supplémentaires sur la violation et les données volées. La société a également créé des documents d'assistance contenant des actions recommandées à prendre pour les clients et les administrateurs de LastPass Business.
Selon une personne au fait d'un rapport privé de LastPass, le logiciel multimédia qui a été exploité sur l'ordinateur personnel de l'ingénieur DevOps était Plex. Plex est un important fournisseur de services de streaming multimédia qui permet aux utilisateurs de diffuser des films et des fichiers audio, de jouer à des jeux et d'accéder à leurs propres contenus hébergés sur des serveurs multimédias domestiques ou sur site. Plex a signalé une intrusion dans son réseau le 24 août. Cela a permis à l'auteur de la menace d'accéder à une base de données et de s'emparer de mots de passe, de noms d'utilisateur et d'emails de certains de ses 30 millions de clients.
Il n'est pas clair si la violation de Plex a un lien quelconque avec les intrusions de LastPass. Les représentants de LastPass et de Plex n'ont pas répondu aux courriels de demande de commentaires pour cette histoire. Selon les analystes, l'acteur de la menace à l'origine de la violation de LastPass s'est montré particulièrement ingénieux, et la révélation qu'il a réussi à exploiter une vulnérabilité logicielle sur l'ordinateur personnel d'un employé ne fait que renforcer ce point de vue.
Source : LastPass
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de la description de LastPass concernant la violation qu'elle a subie ? Selon vous, les gestionnaires de mots de passe sont-ils des logiciels indispensables ?Voir aussi
LastPass : vos infos et vos données de coffre-fort de MdP sont désormais entre les mains de pirates, le gestionnaire de MdP révèle que la violation qu'il a reconnu en août est pire que prévu Des pirates accèdent à un compte développeur de LastPass, parviennent à voler son code source et relancent le débat sur la comparaison entre les gestionnaires de mots de passe Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui, selon des experts qui évoquent « sa longue histoire d'incompétence et de négligence » La dernière violation de données de LastPass a exposé certaines informations sur les clients, le PDG Karim révèle que cette violation a eu lieu à partir d'informations recueillies en août 
