Le piratage de LastPass survenu en août 2022 serait plus grave que ce que l'on pensait, d'après les dernières informations publiées par l'éditeur lui-même. Les pirates ont pu récupérer les coffres-forts chiffrés de certains clients ! Faisons le point.

Le piratage de LastPass remonte au mois d'août 2022, et pourtant l'enquête est toujours en cours. Grâce au travail des équipes en charge de ce dossier, LastPass a pu en savoir plus sur l'étendue de ce piratage et les nouvelles ne sont pas très bonnes... Tout part de la compromission d'un compte d'un développeur que les attaquants ont pu utiliser pour accéder à l'environnement de développement de l'entreprise. Grâce à cet accès, les cybercriminels ont volé des parties du code source et des informations techniques spécifiques à LastPass. Mais, ce n'est pas tout...

Une histoire de sauvegarde stockée dans le Cloud

En effet, LastPass a déclaré que l'attaquant a pu obtenir des informations d'identification et des clés qu'il a pu utiliser extraire des informations d'une sauvegarde stockée dans un service Cloud. Même si cet environnement est physiquement séparé de la production, l'attaquant a pu récupérer des copies de coffres-forts chiffrés appartenant à des clients de LastPass. D'après l'éditeur, ce fichier se présente sous la forme d'un "binaire propriétaire" qui contient des données non chiffrées (les URL des sites Web, par exemple) et des données entièrement chiffrées (noms d'utilisateur, les mots de passe, les notes sécurisées, les données de formulaires). Une protection assurée par un algorithme bien connu : AES 256 bits.

Quant au fait de pouvoir déchiffrer les données de ces coffres-forts, voici les précisions de LastPass : "Ces champs chiffrés restent sécurisés par l'AES 256 bits et ne peuvent être déchiffrés qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur, grâce à notre architecture Zero Knowledge". Plus de précisions sont fournies sur cette page. Toutefois, l'attaquant devrait être en mesure d'effectuer des attaques par dictionnaire sur les coffres-forts dans le but de trouver le mot de passe maître permettant d'accéder à l'ensemble des secrets d'un coffre !

D'ailleurs, LastPass enfonce le clou à ce sujet : "Si vous réutilisez votre mot de passe principal et que ce mot de passe a été compromis, un attaquant peut utiliser les informations d'identification compromises qui sont déjà disponibles sur Internet pour tenter d'accéder à votre compte." - Espérons pour les utilisateurs concernés qu'ils utilisaient un mot de passe maître digne de ce nom et réservé à cet usage....

LastPass n'a pas précisé la date de la sauvegarde, mais elle contient probablement des informations encore valides aujourd'hui. Par ailleurs, les données de cartes bancaires n'étaient pas stockées dans cet espace Cloud, donc elles ne sont pas concernées.

Qui est concerné par cette fuite de données sensibles ?

C'est la grande question. Même si l'on n’a pas de noms à donner bien sûr, LastPass a précisé avoir contacté une partie de ses clients professionnels (moins de 3%) pour qu'ils prennent des mesures spécifiques adaptées à la configuration actuelle de leur compte.

Que ce soit pour LastPass ou Okta, cette année 2022 sera à oublier...!

Source