Les conclusions de l’enquête sont limpides pour l’entreprise : aucune donnée client n’a été dérobée.
Le 25 août, Karim Toubba, P.-D.G. de LastPass, un gestionnaire de mots de passe, informait le public d’une intrusion dans l’environnement de développement. Il garantissait à l’époque que les cybercriminels n’avaient pas réussi à voler les données utilisateurs. Dans une nouvelle publication, Karim Toubba détaille la conclusion de l’enquête menée avec Mandiant, apportant ainsi davantage de précisions sur cet évènement.
Sauvé par un système Zero Knowledge
Pas de rétropédalage : les données utilisateurs n’ont pas été volées. L’entreprise explique qu’un pirate a effectivement accédé à l’environnement de développement de LastPass après avoir compromis le terminal d’un développeur et obtenu ses codes d’authentification.
Fort heureusement pour les utilisateurs du service, ce gestionnaire de mots de passe utilise, comme de coutume, un système dit Zero Knowledge.
L’environnement de développement ne contient ni donnée client ou ni coffre-fort crypté ; il est physiquement séparé de l’environnement de production et il n’y a pas de lien direct entre eux. Ainsi, LastPass ne dispose pas des mots de passe principaux des coffres-forts de ses clients, et sans ce mot de passe principal, il est en pratique quasiment impossible pour un tiers de décrypter les données du coffre-fort d’un utilisateur.
Reste que le pirate aurait pu profiter de son accès à la plateforme de développement pour injecter du code malveillant. Une analyse complète du code source n’a rien révélé de tel. De fait, l’entreprise explique que la faculté d’injecter du code source depuis l’environnement de développement vers l’environnement de production est limitée aux développeurs composant une petite équipe séparée. Ce processus est également jalonné par de nombreuses phases de test/validation.
Enfin, il n'y a aucune preuve d'une quelconque activité malveillante au-delà de la période établie de quatre jours.
Des contrôles supplémentaires
Karim Toubba rapporte que cet incident a néanmoins conduit son entreprise à conclure un partenariat avec une société de cybersécurité « de premier plan ». Il évoque aussi l’établissement de nouveaux contrôles de sécurité et le renforcement des procédures.
Le P.-D.G. conclut : « Nous sommes conscients que les incidents de sécurité, quels qu'ils soient, sont déstabilisants, mais nous tenons à vous assurer que vos données personnelles et vos mots de passe sont en sécurité chez nous ». Autrement dit, l'incident n'a fait aucune victime…
Source : LastPass