LastPass admet la violation des données client causée par une violation précédente

En août 2022, la célèbre société de gestion de mots de passe LastPass admis à une violation de données.

La société, qui appartient à l'entreprise de logiciels en tant que service GoTo, qui était auparavant LogMeIn, a publié un très bref mais néanmoins utile rapport à propos de cet incident environ un mois plus tard :

En bref, LastPass a conclu que les attaquants avaient réussi à implanter des logiciels malveillants sur l'ordinateur d'un développeur.

Avec une tête de pont sur cet ordinateur, il semble que les attaquants aient alors pu attendre que le développeur ait suivi le processus d'authentification de LastPass, y compris en présentant toutes les informations d'authentification multi-facteurs nécessaires, puis les « acheminer » vers les systèmes de développement de l'entreprise.

LastPass a insisté sur le fait que le compte du développeur n'avait donné aux criminels aucun accès aux données des clients, ni même aux coffres-forts de mots de passe cryptés de quiconque.

La société a cependant admis que les escrocs s'étaient enfuis avec des informations propriétaires de LastPass, notamment "une partie de notre code source et des informations techniques", et que les escrocs étaient dans le réseau pendant quatre jours avant d'être repérés et expulsés.

Selon LastPass, les mots de passe des clients sauvegardés sur les serveurs de l'entreprise n'existent jamais sous forme décryptée dans le cloud. Le mot de passe principal utilisé pour déchiffrer vos mots de passe enregistrés n'est jamais demandé et utilisé en mémoire que sur vos propres appareils. Par conséquent, tous les mots de passe stockés dans le cloud sont chiffrés avant d'être téléchargés et ne sont à nouveau déchiffrés qu'après leur téléchargement. En d'autres termes, même si les données du coffre-fort de mots de passe avaient été volées, elles auraient de toute façon été inintelligibles.

Derniers développements

Dès la fin novembre 2022, cependant, LastPass admis en outre qu'il y avait un peu plus dans l'histoire qu'ils ne l'avaient peut-être espéré.

D’après une bulletin de sécurité en date du 2022/11/30, la société a récemment été à nouveau piratée par des attaquants "en utilisant les informations obtenues lors de l'incident d'août 2022", et cette fois les données des clients ont été volées.

En d'autres termes, même si les criminels n'ont pas pu fouiller dans les dossiers des clients directement d'après le compte du développeur qui a été infecté par un logiciel malveillant en août, il semble que les escrocs se soient néanmoins enfuis avec des détails internes qui indirectement leur a donné, ou à quelqu'un à qui ils ont vendu les données, l'accès aux informations client ultérieurement.

Malheureusement, LastPass ne donne pas encore d'informations sur le type de données client volées, signalant simplement qu'il s'agit "travailler avec diligence pour comprendre l'étendue de l'incident et identifier les informations spécifiques auxquelles on a eu accès".

Tout ce que LastPass peut dire avec certitude en ce moment [2022-12-01-T23:30Z] est de réitérer que "[Nos] mots de passe de nos clients restent cryptés en toute sécurité grâce à l'architecture Zero Knowledge de LastPass."

(Zéro connaissance est un terme de jargon qui reflète le fait que bien que LastPass contienne une sorte de données dans les coffres-forts de mots de passe de ses clients, il n'a aucune connaissance de ce à quoi ces données se réfèrent réellement, ou même si elles consistent réellement en des noms de compte et des mots de passe.)

En bref, même s'il s'avère finalement que les escrocs auraient pu s'emparer d'informations personnelles telles que des adresses personnelles, des numéros de téléphone et des détails de carte de paiement (bien que nous espérons que ce ne soit pas le cas, bien sûr), vos mots de passe sont toujours aussi sûrs que le mot de passe principal que vous avez choisi à l'origine pour vous-même, que les services cloud de LastPass ne demandent jamais, et encore moins en conservent des copies.

Que faire?

• Si vous êtes un client LastPass, nous vous suggérons de garder un œil sur le rapport d'incident de sécurité de l'entreprise pour les mises à jour.
• Si vous êtes un défenseur de la cybersécurité, pourquoi ne pas écouter conseils d'experts du chercheur en cybersécurité de Sophos, Chester Wisniewski, sur la manière de protéger votre propre parc informatique contre ce type d'attaque "get-a-beachhead-and-go-forth-from-there" ?

Dans le podcast ci-dessous (il y a un transcription complète si vous préférez lire plutôt qu'écouter), Chester discute d'un type d'infraction similaire qui s'est passé en septembre 2022 dans l'entreprise de covoiturage Uber, et vous rappelle pourquoi "diviser pour mieux régner", également connu sous le terme de jargon confiance zéro, est un élément important de la cyberdéfense contemporaine.

Comme l'explique Chester, même si toutes les violations causent un certain préjudice, que ce soit à votre réputation ou à vos résultats, le résultat sera inévitablement bien pire si les escrocs qui ont accès à quelques de votre réseau peuvent se déplacer où ils le souhaitent jusqu'à ce qu'ils aient accès à TOUTE de celui-ci.