Piratage de LastPass : c'est encore plus grave que ce que l'on imaginait

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 28 février 2023 à 13h00

LastPass a publié une nouvelle note sur certains des incidents de sécurité dont son gestionnaire de mots de passe a été victime l'an dernier.

Après la mise au point du mois de janvier, est arrivée celle du mois de février. LastPass, qui a subi plusieurs attaques majeures en 2022, continue de communiquer autour de ces incidents. Cette semaine, l'entreprise a livré de nouvelles informations sur l'origine de ces attaques. Elle a ainsi indiqué que les pirates ont pu infiltrer l'ordinateur d'un ingénieur DevOps lors d'une première attaque et se sont servi des données récoltées pour en lancer une seconde.

Les hackers ont transité par l'ordinateur d'un ingénieur DevOps

En marge du premier incident de sécurité, survenu le 12 d'août et qui avait permis aux hackers de dérober des données sur les serveurs cloud d'Amazon Web Services (AWS), LastPass nous apprend que ces informations d'identification des serveurs ont été volées à un ingénieur DevOps.

L'ingénieur avait accès, depuis son ordinateur personnel, à un environnement de stockage cloud partagé. La machine de ce dernier a été piratée grâce à une vulnérabilité trouvée sur la plateforme multimédia Plex. Quelques jours après l'attaque, le logiciel qui permet d'accéder à des films, musiques et séries annonçait justement avoir subi une attaque, avec le vol de 15 millions de mots de passe à la clé.

Concernant l'ingénieur DevOps, les hackers ont implanté dans son ordinateur un enregistreur de frappe qui a permis de récupérer le mot de passe du technicien une fois celui-ci authentifié avec MFA. Cela leur a ensuite donné accès au coffre-fort de l'entreprise LastPass. Tout ceci a rendu plus difficilement détectable l'activité suspecte.

Des attaques qui étaient liées entre elles

LastPass nous aide à mieux comprendre le fil des événements, puisque la seconde attaque était très clairement liée à la première. L'entreprise ne s'en est pas aperçue tout de suite, en raison de techniques et de procédures différentes.

Les pirates ont en effet exploité les informations volées lors du premier incident pour lancer une deuxième attaque coordonnée. Cette dernière a pris la forme d'une série d'activités de reconnaissance, d'exfiltration et de dénombrement, toutes alignées sur le stockage en nuage de l'entreprise, entre le 12 août et le 26 octobre 2022.

Lors du second incident, révélé à la fin du mois de novembre, les pirates ont ciblé l'un des ingénieurs DevOps qui avaient accès aux clés de déchiffrement nécessaires pour déverrouiller le stockage cloud de l'entreprise. Ils ne pouvaient pas faire autrement, puisque les contrôles de sécurité protégeant et sécurisant les installations du data center rattaché à LastPass leur avaient barré la route.

LastPass

moodVersion gratuite limitée
databaseStockage illimité
browse_activityNotification de fuite
lockChiffrement AES-256

6 / 10

Voir le site

Lire le test

Source : LastPass

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

a-snowboard

Donc si je comprends bien, un ordi personnel a été utilisé pour le travail de l’ingénieur.

Du coup, ça serait cool d’avoir des infos complémentaires. Est-ce que l’entreprise avait sécurisé l’ordinateur de l’employé ?

Avait-elle fourni un ordinateur de travail à l’employé ?

Selon la réponse, ça peut très très vite changer de responsable. Et tel que c’est présenté, tout laisse penser que c’est uniquement la faute de l’ingénieur.

Avec le covid et la multiplication du télétravail, les entreprise n’ont pas toujours joué le jeu en fournissant un ordinateur de qualité pour le travail à domicile. (et je ne parle même pas de l’espace de travail qui doit pouvoir se fermer en fin de journée, dans le droit du travail en france).

Werehog

Ingénieur DevOps : traduction un mec qui n’est ni assez bon développeur, ni assez bon admin. Ou un bon développeur qui se prend pour un admin, alors qu’admin c’est un métier qui n’a rien à voir.
Coffre fort pro dans un pc perso : traduction faute grave.
Serveur Plex : traduction le guignol utilisait le même poste pour accéder à un réseau sécurisé d’entreprise que pour mater ses divx.
Moralité : donner trop d’accès à des postes transverses c’est une idée pire que de créer ces postes transverses. Enfin c’est ma vision toute personnelle du marasme que devient l’informatique.

Baxter_X

Ta vision personnelle est un superbe ramassis de raccourcis de facilité et de « ya qu’a faire autrement ».
Rien que ta vision du Devops est absolument magique.

ayaredone

J’ai lu ça :

et je suis toujours aussi bête

Pour en revenir au piratage, je pense que nombreuses sont les personnes à se dire : ça n’arrive qu’aux autres.

Werehog

Ce qui est absolument magique, c’est qu’une boîte se dise « on va embaucher un seul mec pour faire du dev et de l’admin, ça sera mieux que d’embaucher un dev qui fasse vraiment du dev et un admin qui sache vraiment ce qu’il fait sur le serveur. On va le payer à coups de lance pierre (faut pas se leurrer, devops c’est rarement bien payé) mais pour le consoler on l’appellera ingénieur-devops, titre qui n’existe pas officiellement mais c’est pas grave, comme ça tout le monde sera content »
Et quand ça pète, ça tombe sur le devops qui, le pauvre, était peut-être meilleur en dev qu’en admin (en même temps on ne pouvait pas lui reprocher)
Jouer avec le feu en mettant des gens insuffisamment formés sur des postes aussi critiques que de l’admin, ça ne peut qu’amener des catastrophes et j’ai pu le constater dans ma carrière pas mal de fois. J’estime ma vision plutôt réaliste et sans langue de bois.
Les seuls coupables sont ceux qui créent ce genre d’emplois, les moutons à 5 pattes que les recruteurs veulent pour réduire les coûts.
Un « devops » dans une startup de 5 personnes, ok ça se comprend tout à fait, mais dans une grosse boîte comme LastPass, désolé ça ne devrait pas y exister…

Couscous78150

Merci, j’avais l’impression d’être seul

Baxter_X

Le gars démontre une nouvelle fois sa méconnaissance totale du sujet avec une insistance qui force l’admiration.

Juste pour info: Je suis Devops. Et très bien payé. Et à des années lumières de ce que tu décris.

a-snowboard

Avant de traiter de gignol, comme je l’ai dit, on manque d’info.

Est-ce l’employé qui à vraiment fait le gignol ? Ou l’entreprise qui à fait des économies de bout de chandelle en donnant pas d’ordi de travail à ce type ? (et un ordi qui tient la route, pas une bouse).

Blackalf

Et il est tout à fait possible d’expliquer quelque chose sans donner dans le sarcasme, l’insulte gratuite (message supprimé) et l’arrogance.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d’humeurs personnelles ne doivent pas venir gêner le fil des échanges.

mrassol

pfff en tant que vrai DevOps, je te crois pas, Werehog te dit que t’es un mauvais dev et un mauvais admin payé au lance pierre, c’est que c’est vrai, c’est écrit sur internet …