LastPass attaqué, que s'est-il passé ?

Publié le 29 août 2022 à 09h40

Une intrusion a été détectée dans l’environnement de développement de l’application LastPass. Une révélation inquiétante pour ce gestionnaire de mots de passe freemium.

Une sécurité a été contournée lors d’une action de cybercriminalité il y a maintenant deux semaines. L’information a été relayée ce 25 août par son P.-D.G. Karim Toubba dans un communiqué sur le site officiel de l’application.

Les données utilisateurs restent en sécurité

Comme le confirme ce rapport, les cybercriminels n’auraient pas réussi à voler les données utilisateurs présentes sur le logiciel. Heureusement, car pour certains, l’ensemble de leurs mots de passe y est stocké.

Cette attaque, survenue deux semaines auparavant, a été repérée à la suite d'une « activité suspecte » dans certaines parties de l’environnement de développement. Pour l’instant, il semblerait que les ravisseurs aient uniquement récupéré des parties du code source et certaines informations techniques.

L’objectif des pirates : mettre la main sur le « Master Password », le mot de passe du compte LastPass, qui donne ensuite accès à l’ensemble des identifiants stockés dans le coffre. Mot de passe non compromis selon les paroles du fondateur Karim Toubba, qui indique que « cet incident n'a pas compromis votre Master Password ».

Une attaque avec peu d’incidences pour le moment, qui a poussé LastPass à renforcer ses mesures de sécurité pour éviter toute nouvelle intrusion dans son système. Des mesures de confinements et d’atténuation ont été prises par la société, le tout en faisant appel à des spécialistes en cybersécurité et en expertise judiciaire.

Des données précieuses qui sont la cible des pirates informatiques

Cette attaque ciblée n’est pas sans importance, puisqu’elle souligne l’intérêt des hackers pour ces logiciels de gestion de mots de passe. LastPass célébrait en 2020 ses 25 millions d’utilisateurs, avec l’accompagnement de près de 7 000 entreprises. On comprend mieux les enjeux derrière cette attaque.

Mais LastPass n’est pas la seule cible potentielle dans le monde des gestionnaires de mots de passe, rappelons également que des logiciels comme KeePass, 1Password, Dashlane, NordPass, Keeper, Enpass, RoboForm, ou encore Bitwarden sont tout autant susceptibles d'attirer les pirates.

Pour l’instant, aucune fuite n’a été reconnue, mais l'intrusion peut effrayer certains utilisateurs de ce type de plateforme. Attaque qui relancera les interrogations : est-il judicieux de mettre tous ses œufs dans le même panier, même si ce dernier est jugé impossible à percer ?

Sources : Neowin, LastPass

Par Maxime Aulne

Passionné par le monde du Web, j'analyse son actualité et en restitue l'essentiel pour que chacun puisse comprendre ses enjeux et ses évolutions. Mon but : que chacun fasse du web son terrain de jeu."

Articles de Maxime Aulne

Piratage

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (3)

nicgrover

D’après le message reçu de Lastpass, le « Master Password » utilisateur n’est pas stocké chez eux…

MattS32

Oui, comme tout gestionnaire de mot de passe qui se respecte, c’est du Zero Knowledge, le master password n’est jamais stocké ni même transmis aux serveurs de LastPass.

Lorsqu’on saisit le master password dans un client LastPass, le client va en dériver localement deux clés :

une clé pour l’authentification du compte, qui est transmise au serveur (qui va stocker de son côté une clé dérivée de cette clé, ainsi à chaque tentative de connexion il recalcule la clé dérivée et compare avec celle qui est stockée) et permet de s’assurer que le bon master password a été saisi (très faible probabilité que deux master password donnent la même clé)
une clé pour le chiffrement des données, qui n’est jamais transmise au serveur. Le serveur reçoit les données déjà chiffrées, toutes les opérations de chiffrement/déchiffrement sont faites du côté du client.

Au pire, en récupérant des portions du code source ET les hashs des clés d’authentification (mais à priori, ils n’ont obtenu que du code, pas les hashs), les pirates ont accès à l’algorithme utilisé pour calculer les différentes clés, et ils peuvent donc tenter du brute force pour trouver les master password.

Mais comme l’algorithme utilisé est « lent », le brute force est compliqué… La première étape de l’algorithme, c’est 100 100 itérations de PBKDF2-SHA256. Avec autant d’itérations, une RTX 3080 peut tester environ 30 000 mots de passe par seconde. Soit environ 150 000 ans pour tester toutes les combinaisons alphanumériques de 10 caractères…

Autant dire aucune chance de le trouver à moins de disposer de moyens financiers colossaux et de vraiment en vouloir à une personne (parce que si c’est pas ciblé, c’est beaucoup plus rentable d’utiliser cette puissance pour miner des cryptos que pour casser des mots de passe maître LastPass). Sauf à la limite pour les ânes qui n’ont toujours pas compris qu’on n’utilise pas des mots courants comme mot de passe, et surtout pas comme mot de passe maître de son gestionnaire de mots de passe… Mais faudrait déjà savoir quels sont les comptes qui utilisent les mots de passe simples, puisque le bruteforce ne peut se faire que compte par compte, les hash étant salés.

Amrac

Merci pour cette réponse très détaillé