LastPass a été victime d'une violation de données en décembre 2022, lorsque les pirates ont pu copier une sauvegarde des données du coffre-fort des clients à partir d'un stockage chiffré. Selon ZachXBT, un expert en blockchain, ce sont ces données qui ont permis aux pirates de dérober 5,36 millions de dollars dans 40 portefeuilles numériques. Ce nouveau vol s’ajoute à une longue série : en octobre 2023, 4,4 millions de dollars avaient été subtilisés, suivis de 6,2 millions de dollars en février 2024. Les fonds volés ont été échangés contre de l'Ether ETH et transférés vers « diverses bourses instantanées », a indiqué ZachXBT, dans un message envoyé le 17 décembre à ses 48 400 abonnés sur Telegram. ZachXBT a soumis des preuves sur la chaîne de blocs des dernières attaques de LastPass sur la plateforme de signalement d'escroqueries cryptographiques Chainabuse.Le contexte
Les pirates responsables de l'intrusion dans LastPass en 2022 ont poursuivi leur action en utilisant les données volées pour s'emparer de 5,36 millions de dollars provenant de 40 portefeuilles de crypto-monnaies. Lors du piratage d'août 2022, ils ont eu accès à des informations qui leur ont permis d'ouvrir une brèche dans un environnement de stockage basé sur le cloud qui stockait des clés de clients, des jetons d'API, des semences (seed) d'authentification multifactorielle (MFA) et des coffres-forts de mots de passe chiffrés. Bien que les coffres-forts de mots de passe soient chiffrés, le mot de passe principal utilisé pour les ouvrir pouvait toujours être forcé brutalement s'il était faible, réutilisé ou avait déjà fait l'objet d'une fuite, ce qui pourrait être la raison d'une série de vols de crypto-monnaies contre les utilisateurs de LastPass depuis 2022.
L'évolution
En août 2022, LastPass, le gestionnaire de mots de passe, a révélé que son code source et des informations techniques propriétaires avaient été volés. L'entreprise a également confirmé que les pirates ont eu accès à ses systèmes internes pendant quatre jours.
Dans une mise à jour de décembre de cette même année, la société a déclaré que les pirates avaient accédé aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux services LastPass. Les pirates ont également copié une sauvegarde des données du coffre-fort client qui comprenait des données non chiffrées telles que des URL de sites Web et des champs de données chiffrés tels que des noms d'utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires.
« Ces champs chiffrés restent sécurisés avec un chiffrement AES 256 bits et ne peuvent être déchiffrés qu'avec une clé unique de déchiffrement dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge », a expliqué le PDG de LastPass, Karim Toubba, faisant référence à Advanced Encryption Scheme. Zero Knowledge fait référence à des systèmes de stockage impossibles à déchiffrer pour le fournisseur de services.
Si LastPass a indiqué en février 2023 que c'est le piratage de l'ordinateur d'un ingénieur DevOps qui a conduit à l'une des brèches dans sa sécurité en 2022, la deuxième attaque aurait pu être stoppée par une mise à jour de Plex vieille de trois ans.
En effet, un logiciel malveillant a installé un enregistreur de frappe sur l'ordinateur personnel d'un ingénieur senior grâce à un exploit dans Plex, le service de cloud personnel pour le stockage et la diffusion de films, et a pu ainsi pénétrer dans les caches de l'entreprise. Mais il s'avère que l'ingénieur avait également un rôle important à jouer dans cet échec majeur. Plex a révélé que l'exploit en question a profité d'une vulnérabilité qui a été divulguée le 7 mai 2020. L'entreprise raconte que, pour une raison quelconque, l'employé de LastPass n'a jamais mis à jour son client pour appliquer le correctif.
Les répercussions se poursuivent
Le dernier vol en date est lié à la violation de LastPass, selon un expert en blockchain connu sous le nom de ZachXBT. ZachXBT affirme dans un message sur Telegram qu'il s'agit du dernier d'une longue série de vols de crypto-monnaies touchant les victimes de la faille de LastPass, avec 4,4 millions de dollars volés en octobre 2023, et un autre vol de 6,2 millions de dollars en février 2024.
« Les fonds volés ont été échangés contre de l'ETH et transférés sur divers échanges instantanés d'Ethereum à Bitcoin », a écrit ZachXBT dans son message Telegram. « On ne peut pas assez insister sur ce point, si vous pensez que vous avez déjà stocké votre phrase de démarrage ou vos clés dans LastPass, migrez vos actifs crypto immédiatement. »Just on October 25, 2023 alone another ~$4.4M was drained from 25+ victims as a result of the LastPass hack.
— ZachXBT (@zachxbt) October 27, 2023
Cannot stress this enough, if you believe you may have ever stored your seed phrase or keys in LastPass migrate your crypto assets immediately. pic.twitter.com/26HsxrlnCb
Des médias spécialisés ont précédemment rapportés qu'entre août et décembre 2022, plus de 35 millions de dollars ont été volés à 150 victimes apparentes de la violation de LastPass.
Ces violations ultérieures de portefeuilles de crypto-monnaie soulignent l'importance d'utiliser des mots de passe uniques pour chaque compte et de s'assurer que chaque mot de passe respecte les normes de sécurité recommandées en utilisant l'un des meilleurs générateurs de mots de passe.
Même si vous avez changé de fournisseur de gestionnaire de mots de passe depuis la violation de LastPass, tous les mots de passe compromis qui sont encore réutilisés sont en danger, comme le prouvent ces vols de cryptomonnaies. Il est également recommandé d'utiliser une application d'authentification forte qui utilise la vérification biométrique pour sécuriser vos comptes même si un attaquant connaît votre nom d'utilisateur et votre mot de passe.
Leçons à tirer
Cet incident souligne l'importance cruciale de la sécurité dans le monde numérique. Les utilisateurs sont invités à renforcer leurs pratiques de sécurité, notamment en utilisant des mots de passe complexes et uniques, en activant l'authentification à deux facteurs, et en surveillant régulièrement leurs comptes pour détecter des activités suspectes.
Pour les entreprises, cet événement doit servir de signal d'alarme. La confiance des consommateurs repose sur une protection robuste des données sensibles. Investir dans des systèmes de sécurité avancés et adopter une transparence proactive sont des étapes essentielles pour éviter de telles catastrophes à l'avenir.
Décembre et Noël, la saison des pirates informatiques
La dernière série de piratages de LastPass intervient dans un contexte de recrudescence des escroqueries à l'approche des fêtes de fin d'année. La société de sécurité blockchain Cyvers a souligné que la « saison des pirates informatiques » est maintenant arrivée et a exhorté tout le monde à « ne pas faire confiance à tout ce qui a l'air trop festif », à ne pas révéler ses codes 2FA et même à éviter de se connecter à des réseaux WiFi gratuits.
Meta, le géant des médias sociaux derrière Facebook, Instagram et WhatsApp, a également envoyé récemment un avertissement à ses utilisateurs, identifiant plusieurs campagnes d'escroquerie ciblant les acheteurs de vacances, allant des fausses promotions de coffrets cadeaux de Noël aux ventes frauduleuses de décorations de vacances, en passant par les coupons de vente au détail contrefaits.🎁 This is the season to be jolly... and for hackers to be naughty.
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) December 16, 2024
🦹December isn’t just about mistletoe and honey— it’s hacker season, too; between shopping sprees, festive distractions, and late-night transactions, it’s open season for scams.
🎄 Here’s your crypto survival… pic.twitter.com/qKZY8PuGB0
Envoyé par Meta
Alors que vous êtes à la recherche de cadeaux et de bonnes affaires en ligne, voici quelques conseils à garder à l'esprit pour rester en sécurité :
Escroqueries à surveiller pendant les fêtes de fin d'année
En plus de nos activités de détection et de répression des escroqueries, nous avons collaboré avec les chercheurs en logiciels libres de Graphika pour repérer et perturber les escroqueries qui profitent des fêtes de fin d'année. Lorsque ces escroqueries sont apparues sur nos applications, nous avons pris des mesures contre leurs auteurs, notamment en bloquant leurs sites web et en supprimant leurs comptes. Voici trois exemples d'escroqueries courantes dont il faut se méfier à l'approche des fêtes, d'après les recherches de Graphika:
- Soyez attentif aux courriels et aux textes d'hameçonnage - Les escrocs peuvent envoyer un texte ou un courriel à partir d'une adresse imitant une marque connue ou même votre banque.
- Évitez de communiquer des informations personnelles - Les escrocs peuvent essayer de vous inciter à communiquer des informations personnelles en vous demandant de confirmer vos coordonnées bancaires par SMS ou par courrier électronique ou de participer à une enquête.
- Soyez vigilant lorsque vous payez en ligne - Les escrocs peuvent essayer de vous faire payer à l'avance ou d'utiliser des paiements de pair à pair qui ne peuvent pas être annulés.
Escroqueries à surveiller pendant les fêtes de fin d'année
En plus de nos activités de détection et de répression des escroqueries, nous avons collaboré avec les chercheurs en logiciels libres de Graphika pour repérer et perturber les escroqueries qui profitent des fêtes de fin d'année. Lorsque ces escroqueries sont apparues sur nos applications, nous avons pris des mesures contre leurs auteurs, notamment en bloquant leurs sites web et en supprimant leurs comptes. Voici trois exemples d'escroqueries courantes dont il faut se méfier à l'approche des fêtes, d'après les recherches de Graphika:
- Coupons de réduction pour les fêtes. Nous avons démantelé des escrocs qui proposaient à des personnes aux États-Unis, en Inde et au Royaume-Uni de faux coupons et de fausses cartes-cadeaux dans le but de les inciter à fournir des informations personnelles. Ils ont publié des messages sur plusieurs plateformes, notamment Telegram, Facebook et Pinterest, et ont dirigé les gens vers des sites web imitant les médias sociaux, où ils étaient invités à remplir un sondage avec leur sexe, leur âge, leur revenu, leur statut professionnel et leur niveau d'intérêt pour les crypto-monnaies afin de participer à un tirage au sort. Ces sites web affichaient de faux commentaires de personnes affirmant avoir gagné lors de tirages précédents « alors qu'elles pensaient qu'il s'agissait d'une arnaque ».
- Promesse de coffrets de Noël. Nous avons démantelé des escrocs qui ciblaient des utilisateurs francophones, hispanophones et anglophones avec de fausses promesses de cadeaux et de prix. Ils publiaient des photos de faux prix sur plusieurs applications, notamment Threads, X, Facebook et des forums de discussion en ligne comme Quora. Si quelqu'un commentait les messages, les escrocs le dirigeaient vers des applications de messagerie ou des sites web de Google Sites et lui demandaient des cadeaux ou des prix.
- Décorations de Noël à prix réduit. Nous avons démantelé des escrocs qui ciblaient des utilisateurs anglophones, francophones, italophones et germanophones en leur proposant des arbres de Noël artificiels et des décorations à des prix extrêmement bas. Les escrocs ont copié des vidéos de décorations de Noël de personnes réelles sur l'internet et, après avoir ajouté des voix off générées par l'IA décrivant les marchandises et avertissant que les stocks étaient limités, ils ont posté ces vidéos sur de multiples plateformes telles que Facebook, Pinterest et d'autres. Si quelqu'un répondait, les escrocs le dirigeaient vers des sites web, dont certains créés à l'aide des services de Shopify, pour effectuer un achat qui n'arrivait jamais.
Conclusion
Le piratage de LastPass est un rappel brutal des risques inhérents à la dépendance croissante aux plateformes numériques. Alors que les conséquences continuent de se dérouler, il est clair que la sécurité informatique n'est pas seulement un problème technique, mais une question de confiance publique et de responsabilité collective.
Sources : ZachXBT sur Telegram et Chainabuse, Meta
Et vous ?
Les gestionnaires de mots de passe centralisés représentent-ils un modèle viable, ou devrions-nous envisager des alternatives décentralisées ? Comment les utilisateurs peuvent-ils mieux se protéger contre le vol financier suite à un piratage de leurs données personnelles ? Les banques et autres institutions financières devraient-elles offrir des mécanismes spécifiques de compensation pour les victimes de cyberattaques ? LastPass aurait-il dû anticiper ce type d'attaque avec des mesures de sécurité préventives plus robustes ? Cet incident pourrait-il entraîner une perte massive de confiance envers les gestionnaires de mots de passe ? Quelles pourraient être les conséquences à long terme pour l'industrie ? 
