LastPass se retrouve encore une fois en pleine confusion. La plateforme vient encore de subir une intrusion, et les responsables se sont fait la malle avec 4,4 millions de dollars.
Voilà plusieurs mois que LastPass, un gestionnaire de mots de passe plutôt populaire, est victime de plusieurs attaques de hackers. Des attaques bien ciblées, puisqu'elles visent particulièrement les usagers de la plateforme détenteurs de crypto-monnaies. Depuis 2022, elles commencent à peser lourd, et on estimait les pertes à plus de 35 millions de dollars à la rentrée. La série noire continue, et des chercheurs experts en fraude à la crypto viennent de découvrir que 4,4 millions de dollars supplémentaires viennent d'être subtilisés au mois d'octobre.
La faille et ses conséquences
Le casse virtuel a eu lieu le 25 octobre et a été mis sous le feu des projecteurs par Taylor Monahan et ZachXBT, deux développeurs travaillant chez MetaMask, un portefeuille logiciel de crypto-monnaie. Les deux compères traquent avec attention tout ce qui se rapproche de près ou de loin aux vols de devises numériques ou autres incidents pouvant s'en rapprocher. ZachXBT s'est exprimé auprès du média Bleeping Computer : « Régulièrement, des personnes ayant subi des vols de leurs actifs en crypto nous contactent par messages privés. Il nous arrive aussi de contacter des victimes directement sur la blockchain. » Il complète : « À force de questions posées aux potentielles victimes de LastPass, nous en arrivons à la conclusion qu'ils ont tous un point en commun : ils utilisent ce logiciel de gestionnaire de mots de passe ».
La faille ne date pas d'hier, puisqu'une partie du code source de la plateforme avait été dérobé en 2022. Deux intrusions plutôt importantes ont également permis aux pirates de s'emparer de données de clients, et des coffres-forts virtuels remplis de mots de passes cryptés. Le PDG de LastPass, Karim Toubba, s'était montré plutôt rassurant. Selon lui, le fait de détenir les coffres-forts ne suffisaient pas à avoir accès au mot de passe principal, que seuls les clients détiennent. Du moins, c'était la théorie, mais cela n'a pas empêché les différents vols d'avoir lieu.
Prévention et réduction des risques
L'entreprise avait tout de même conseillé aux utilisateurs avec un mot de passe principal considéré comme faible de le réinitialiser complètement. Un communiqué du support de LastPass indiquait au mois de mars : « Selon la longueur et la complexité de votre mot de passe principal et les réglages du compteur de tentatives, il serait judicieux de le réinitialiser ».
Pour Monahan et ZachXBT, cela ne fait pas l'ombre d'un doute : si les voleurs ont eu accès aux coffres-forts, ils ont eu le champ libre pour subtiliser des clés cryptées reliées à des portefeuilles de crypto-monnaies. Une fois ces informations en poche, un simple transfert vers leurs propres wallets était nécessaire pour détrousser leurs victimes. Monahan a expliqué sur X.com au mois d'août : « À ce stade, je suis plutôt assuré du fait que, dans la plupart de ces cas, les clés compromises ont été volées chez LastPass. Impossible d'ignorer le fait qu'un grand nombre de ces victimes avaient leurs clés en stock sur la plateforme ».
LastPass est loin d'être sortie du bourbier. Si vous utilisez cette plateforme et que votre compte a été actif lors des intrusions d'août et de décembre 2022, nous vous conseillons de changer vos mots de passe. Ou plus radicalement, de changer de crèmerie.
Source : Bleeping Computer
