LastPass : une gueule de bois qui n'en finit plus

Publié le 09 septembre 2023 à 13h00

Le piratage de LastPass serait à l'origine du vol de dizaines de millions de dollars en crypto-monnaie.

LastPass est dans la tourmente. Le populaire gestionnaire de mots de passe a été victime de plusieurs incidents de sécurité majeurs au cours de ces derniers mois, et l'on commence à constater les dégâts chez plusieurs utilisateurs.

Deux attaques liées

Les déboires de la société ont commencé il y a un peu plus d'un an. En août 2022, Karim Toubba, le PDG de LastPass, faisait savoir que des pirates avaient réussi à pénétrer leur système. Une partie du code source et des informations techniques importantes avaient alors été dérobées. Trois semaines plus tard, la plateforme rassurait en assurant que les attaquants n'avaient accédé à aucune donnée client ni à aucun coffre-fort de mots de passe.

Le répit sera toutefois de courte durée. Dès novembre 2022, nouveau coup dur : LastPass communique une autre violation de données, permise par les éléments subtilisés lors de la première attaque. Bien plus grave, cet épisode concerne la compromission de copies chiffrées de certains coffres-forts de mots de passe, ainsi que d'autres informations personnelles de clients.

Une vulnérabilité dans Plex, sur le PC personnel d'un ingénieur

En février 2023, nous obtenons de nouveaux détails qui n'arrangent pas les affaires de LastPass. Il est révélé que la première attaque a permis aux pirates de voler des informations d'identification des serveurs à un ingénieur DevOps, qui fait partie des quatre seuls employés à pouvoir accéder à un système critique du réseau.

« Cela a été accompli en ciblant l'ordinateur personnel de l'ingénieur DevOps et en exploitant un progiciel multimédia tiers vulnérable, qui a permis l'exécution de code à distance et a permis à l'acteur malveillant d'implanter un logiciel malveillant d'enregistrement de frappe », nous explique-t-on alors. « L'acteur malveillant a pu capturer le mot de passe principal de l'employé au moment de sa saisie, après que l'employé s'est authentifié par double facteur, et accéder au coffre-fort d'entreprise LastPass de l'ingénieur DevOps », indique l'entreprise. Nous apprendrons plus tard que c'est une faille de sécurité dans Plex qui a été exploitée.

Grâce à ces accès, les pirates ont pu mener durant des semaines une série d'activités de reconnaissance et d'exfiltration sur les serveurs de LastPass pour préparer leur attaque finale. Ils ont finalement pu récupérer les clés de déchiffrement servant à déverrouiller le stockage cloud de LastPass, et ainsi parvenir à voler des données clients, certaines d'entre elles étant chiffrées, mais d'autres affichées en clair.

Des millions de dollars de crypto-monnaies envolés

Face à cette situation, LastPass a logiquement perdu la confiance de ses utilisateurs. On ne commence à mesurer que maintenant l'impact causé par cette fuite de données, qui pourrait aller bien plus loin que ce à quoi l'on s'attendait.

Constatant une anormale hausse des vols de crypto-monnaie, un certain Taylor Monahan, cadre chez MetaMask, un portefeuille logiciel de crypto-monnaie fonctionnant avec la blockchain Ethereum, lance une enquête pour tenter d'identifier un dénominateur commun entre toutes les victimes.

Ses recherches restent vaines pendant bien longtemps. Les utilisateurs qui ont vu leurs crypto-monnaies se volatiliser sont dans la plupart des cas des investisseurs de longue date, bien au fait des mesures de sécurité à prendre pour protéger ses actifs. Alors, comment un si grand nombre d'entre eux ont-ils pu se faire voler ?

...

Il aura fallu de longs mois de travail pour enfin relier les vols entre eux. « Un ensemble d’indices très fiables » tend à désigner LastPass comme le coupable de toutes ces affaires. Le point commun entre la quasi-totalité des victimes est en effet qu'elles ont, à un moment donné, stocké la phrase de départ de récupération de leur portefeuille crypto au sein du gestionnaire de mots de passe. En accédant à cette clé privée, les pirates ont alors pu accéder aux crypto-monnaies et déplacer les fonds.

Taylor Monahan prétend qu'au moins 150 personnes ont perdu un total de plus de 35 millions de dollars en crypto-monnaie de cette manière. Les adresses blockchain utilisées pour l'opération confirment que les vols ont été réalisés par le même réseau de pirates.

LastPass

moodVersion gratuite limitée
databaseStockage illimité
browse_activityNotification de fuite
lockChiffrement AES-256

6 / 10

Voir le site

Lire le test

Source : Krebs On Security

Par Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Articles d'Alexandre Schmid

Cybersécurité

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

yabadabado

il faut etre inconscient pour stocker ses MDP’s dans des cloud …

Blap

Il faut être inconscient pour ne pas le faire.
Et il y a cloud et cloud

Pernel

Un bon stockage local ^^

sylvebarbe78

Il n’existe aucun « cloud » inviolable. La seule vraie sécurité est de stocker en local et surtout sur support papier ses informations sensibles. Évidemment ça demande un effort supplémentaire mais c’est le prix à payer de la tranquillité.

ar-s

Pourquoi ton stockage local serait moins infaillible qu’un DevOP dans du Cloud ?
Ce raisonnement n’est pas du tout fiable. Une machine local, à moins qu’elle ne soit strictement dédiée et hors reseau peut tout à fait avoir un soft avec une faille, qu’elle soit 0day ou pas…

Biggs

J’aimerais que tu développes la notion de « il faudrait être inconscient pour ne pas stocker des données ultra-sensibles telles que des mots de passe sur un cloud ».
Parce que moi, je suis plutôt d’accord à 1000% avec mon VDD @rasleboldevotre censure, c’est une erreur monumentale (et l’affaire Lastpass le confirme). Donc je suis intéressé par ton avis contraire.

Pernel

Parce que je les stocke sur une clé USB (enfin 3 clés), que je n’installe pas n’importe quoi de vérolé, que je fais attention et donc je limite au max les risques.
Un cloud c’est bien mais ils sont beaucoup plus sujets aux attaques que mes machines, forcément c’est pas intéressant d’attaquer un particulier quand tu peux attaquer un cloud avec des millions d’utilisateurs, même si c’est plus difficile, c’est hautement plus rentable.

ar-s

Ton comportement est le bon, mais tu n’es pas à l’abri d’une faille sur un soft, je ne parle pas de vérole. Il est vrai qu’une personne ne sera pas une cible prioritaire. Quand tu dis clés usb tu parles de Ledger ou clé dédiée ?

Blap

Parce qu’il vaut mieux ca que d’utiliser les memes mots de passe partout, ou noter ca sur papier. Deux énormes conneries. Pareil pour le local pas chiffré

Tu peux aussi très bien te faire un cloud perso avec des solutions open sources comme Keypass ou Bitwarden, il faudra tomber sur quelqu’un qui te vise spécifiquement plutôt que des attaques de masse, et surtout avant que quelqu’un arrive a peter un container chiffré faut y aller (pareil avec les solutions clef en main bien foutu comme Bitwarden qui a pas accès a tes données).
Ta machine perso sera le point d’entree au hacker, pas ton conteneur de mots de passe. Il aura accès a bien plus de truc intéressant qu’un conteneur chiffré rempli de mots de passe illisibles.

Pernel

Le risque zéro n’existe pas (comme la cuillère), mais le fait d’être en local limite quand même pas mal ce risque.
Clé USB, des clés USB 2.0 (j’avais pris un lot pour mes PW et ma voiture, 16 clés a 10 balles, en France). J’ai pas besoin de plus, ça me sert sur le gsm, l’iPad, les PC, certes moins pratique qu’un cloud (et encore un cloud peut tomber en panne ou on peut ne plus avoir de réseau), mais ça prend quelques secondes, c’est pas la mort.