Home Actualités PIratage LastPass : des données sensibles dérobées et décryptées
ActualitésPiratageSécurité

PIratage LastPass : des données sensibles dérobées et décryptées

La situation est pire que prévue pour LastPass. L'éditeur du célèbre gestionnaire de mot de passe reconnait que des pirates ont dérobé des données personnelles et sensibles d'utilisateurs stockées dans des coffres-forts cryptés…

by Hepub Online
written by Hepub Online 0 comments

Maurine Briantais

La série noire sur les pirates successifs de LastPass continue ! Alors que l’enquête suit toujours son cours, l’entreprise partage[4] ses dernières découvertes dans un post sur son site d’assistance. Il apparait que les cybercriminels ont pu infiltrer l’ordinateur[1] personnel d’un ingénieur-développeur qui avait accès à un environnement de stockage cloud partagé par une poignée de personnes de LastPass seulement, et qui contenait bien évidemment de précieuses informations. On y trouvait notamment les clés de chiffrement permettant d’accéder aux sauvegardes des coffres-forts des clients, et les hackers ne se sont pas privés pour en effectuer des copies.

Pour accéder à cet ordinateur[1], les cybercriminels ont exploité une vulnérabilité trouvée sur la plateforme multimédia Plex, qui avait été victime d’une attaque quelque temps auparavant et qui avait abouti au vol de 15 millions de mots de passe. Ils ont implanté dans l’ordinateur[1] de l’ingénieur un logiciel[5] malveillant de type keylogger – enregistreur de frappe – qui a permis de récupérer le mot de passe du technicien au moment de sa saisie. Comme ils ont utilisé des identifiants légitimes, il a été plus difficile de repérer leur activité. Depuis, LastPass a annoncé avoir mis à jour sa stratégie de sécurité, notamment en changeant régulièrement les informations d’identification sensibles et les jetons d’authentification, et en mettant en place des alertes plus strictes.

LastPass : les contenus des coffres des clients dans la nature

Après avoir la dérobé le code source[2] de l’application ainsi que des informations sur son fonctionnement, les pirates avaient de nouveau pris pour cible L’astPass. Si, dans un premier temps, elle s’était voulue rassurante, affirmant que les mots de passe de ses clients « restaient chiffrés de manière sécurisée », les dégâts étaient en réalité plus importants que prévu. Pour rappel, les gestionnaires de mots de passe permettent de stocker tous ses mots de passe, informations de paiement et informations de connexion essentielles dans une base de données ou un coffre-fort hautement chiffré. L’utilisateur peut accéder à tous ces éléments avec un seul mot de passe[3] principal. Autant dire que LastPass contient des données d’une grande valeur pour les hackers, surtout avec ses 33 millions de particuliers et ses 100 000 entreprises – dont d’importants médias américains comme le New York Times, CNN et Mashable.

Fin décembre 2022, LastPass avait mis en ligne un nouveau billet de blog afin de faire part des avancées de son enquête à ses utilisateurs, comme la firme l’avait promis. Et les nouvelles étaient plutôt mauvaises, car il se trouvait que les pirates avaient bel et bien eu accès aux informations personnelles et aux métadonnées associées, dont les noms d’utilisateurs, ceux des sociétés utilisant le service, mais aussi les adresses de facturation, les e-mails, les adresses IP et les numéros de téléphone des clients. Pire encore, ils avaient également réussi à accéder aux coffres sécurisés de clients, qui contenaient des données chiffrées, dont tous les identifiants et mots de passe de site web[8] – ainsi que leurs URL[9] – renseignés par les clients de l’entreprise, de même que les notes de sécurités et les données de formulaires, et sauvegarder le contenu. Rien que ça ! Seule petite consolation : « rien ne prouve que des données de cartes de crédit non cryptées aient été consultées. LastPass ne stocke pas les numéros de carte de crédit complets et les informations relatives aux cartes de crédit ne sont pas archivées dans cet environnement de stockage cloud. »

© LastPass

A priori, la majeure partie des informations ne devaient pas pouvoir être exploitée. « Ces champs chiffrés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être déchiffrés qu’avec une clé de cryptage unique dérivée du mot de passe[3] principal de chaque utilisateur à l’aide de notre architecture Zero Knowledge, » expliquait le patron de l’entreprise Karim Toubba, faisant référence à son modèle de sécurité qui s’assure que les données soient chiffrées uniquement sur l’appareil de l’utilisateur, soit avant leur synchronisation avec le service – en théorie, si LastPass ne connait pas les données, les pirates non plus. L’entreprise considérait qu’il n’y avait donc malgré tout toujours aucun risque réel pour les utilisateurs. « Il faudrait des millions d’années pour deviner votre mot de passe[3] principal à l’aide d’une technologie courante de craquage de mots de passe« , jugeait la société. Le pirate « peut tenter d’utiliser la force brute pour deviner votre mot de passe[3] principal et déchiffrer les copies des données du coffre-fort qu’il a prises« , mais là encore ce serait difficile.

LastPass : un piratage de grande ampleur

Mais le pire était encore à venir. Paddy Srinivasan, le PDG de GoTo – l’éditeur du logiciel[5] de mots de passe –, avait annoncé le 23 janvier 2023 dans un billet de blog que le piratage de novembre dernier s’étendait en réalité bien au-delà de LastPass. En plus de ce dernier, cinq services avaient également été touchés : les outils d’accès à distance Pro et Central, le service de réunion en ligne join.me, le serveur[6] VPN[10] Hamachi et l’outil d’accès à distance Remotly Anywhere.

Et ce n’est pas tout ! Les pirates étaient parvenus à récupérer une clé de chiffrement pour une partie des sauvegardes stockées chez un fournisseur de cloud. Ils ont ainsi eu accès à plusieurs informations, comme les noms d’utilisateur, des mots de passe chiffrés – ils sont donc illisibles –, des détails sur les licences des produits, des informations sur leur paramétrage et sur l’identification à plusieurs facteurs. La maison mère continuait pourtant de tenir un discours « rassurant » en affirmant qu’aucune information bancaires n’avait été dérobée et qu’un nombre de personnes ayant vu leurs données compromises était très limité. Les clients concernés ont été contactés et les mots de passe de leur compte réinitialisés, tandis que ces derniers ont été déplacés sur une nouvelle plateforme plus sécurisée, avec une gestion des identités améliorée et une authentification plus robuste.

Piratage LastPass : quels risques pour les utilisateurs ?

Après cette fuite massive de données, LastPass avait décidé de renforcer sa sécurité en mettant hors service les développements en cours auxquels les pirates ont eu accès, pour tout recommencer à zéro. L’entreprise avait également remplacé et renforcé les machines, les processus et les mécanismes d’authentification des développeurs. Elle menait également une analyse de tous les comptes présentant des signes d’activité suspecte. D’autres mesures de protections avaient également été prises.

Afin d’éviter tout risque de credentiel stuffing – une technique qui consiste à réaliser, à l’aide de logiciels ou de façon manuelle, des tentatives d’authentification massives sur des sites et services web[8] à partir de couples identifiants/mots de passe –, LastPass avait recommandé aux utilisateurs de changer leur mot de passe[3] principal et ceux utilisés pour chaque compte associé. Ils devaient bien évidemment être forts et longs, avec des chiffres, des lettres et des caractères spéciaux. Il valait également mieux – qu’il y ait eu cyberattaque ou non – renforcer la sécurité de son compte en activant la double authentification – également appelée authentification à plusieurs facteurs. Pour ce faire, il suffit de suivre le tutoriel de la firme.

Mais si les mots de passe ne craignaient rien a priori, c’était plus embêtant en ce qui concernait le vol des données personnelles en revanche. En effet, les pirates pouvaient s’en servir afin de mener des opérations de phishing[7] (hameçonnage), notamment en se faisant passer pour LastPass afin que leurs victimes leur donnent volontairement leur mot de passe[3] principal. C’est pourquoi l’entreprise a rappelé qu’elle n’appellera jamais ses clients, et ne leur enverra jamais d’e-mails ou de SMS pour leur demander de cliquer sur un lien[11] afin de vérifier leurs informations personnelles. En dehors de la connexion à leur coffre à partir d’un client LastPass, elle ne leur demandera jamais leur mot de passe[3] principal.

LastPass : deux cyberattaques successives

En temps normal, l’utilisation d’un gestionnaire de mots de passe est un bon moyen de protéger ses comptes personnels et ses informations – et de s’en souvenir. Mais de par les données sensibles qu’ils contiennent, ces outils sont souvent visés par des tentatives de piratage. Début août, l’éditeur du gestionnaire de mots de passe LastPass avait détecté des traces « d’activités non autorisées, » comme il l’avait annoncé dans un communiqué. L’intrusion s’était produite suite à la compromission d’un compte de développeur et avait permis à un pirate d’avoir accès à l’environnement de développement. Ce dernier avait réussi à voler des portions de code source[2] et des informations techniques propriétaires de la firme, qui s’était néanmoins voulue rassurante. « Nos produits et services fonctionnent normalement, » avait-t-elle déclaré. A priori, les identifiants et les mots de passe des utilisateurs n’avait pas semblé avoir été compromis. LastPass avait expliqué avoir « contenu le problème, mis en œuvre des mesures de sécurité supplémentaires », et ne pas avoir « été témoin d’autres tentatives d’activité non autorisée ».

Après avoir ouvert une enquête, la firme avait, par précaution, fait appel à la société spécialiste en cybersécurité et criminalistique Mandiant. Elle avait découvert que l’intrusion s’était « limitée » à une période de quatre jours, et que « la conception et les contrôles de notre système ont empêché l’acteur menaçant d’accéder aux données des clients ou aux coffres-forts de mots de passe cryptés. »  Elle avait ajouté que, de toute façon, « nous ne stockons jamais et n’avons jamais connaissance de votre mot de passe[3] maître. »

Le 30 novembre, la firme révélait dans un nouveau billet de blog avoir été victime d’une seconde cyberattaque et, cette fois-ci, certains « éléments d’informations des clients » avaient pu être consultés par les auteurs de l’attaque – la firme était restée plutôt vague concernant leur nature et le nombre d’utilisateurs touchés. D’après les premières informations, les pirates avaient utilisé des données qui avaient été récupérées lors de la précédente attaque. LastPass avait affirmé que « nous travaillons avec diligence pour comprendre la portée de l’incident et identifier les informations spécifiques qui ont été consultées« . L’entreprise indiquait également avoir fait de nouveau appel à Mandiant dans le cadre de son programme de gestion des risques – ce qui avait pourtant déjà été le cas après la précédente attaque – et prévenu les forces de l’ordre. « Comme toujours, nous vous tiendrons informés dès que nous en saurons plus« , avait- elle promis. Toujours est-il que cette histoire entache sérieusement l’image de l’entreprise, qui se revendique comme le gestionnaire de mots de passe numéro un dans le monde…

Terms definitions
1. ordinateur.
L'ordinateur désigne l'unité centrale et les périphériques qu'elle contient. Lorsque vous achetez un ordinateur, vous le recevez fonctionnel et prêt à l'emploi. Il peut être fixe (que l'on laisse sur un bureau) ou portable (à emporter avec vous).

L’ordinateur fixe possède une unité centrale et un écran séparés. L’ordinateur portable est un tout en un, équipé d’une batterie. Il est possible d’y ajouter des périphériques comme une imprimante, une webcam, un disque dur externe

Schéma d'un ordinateur standard

Un ordinateur fixe classique

2. code source.
Le code source est le fichier qui a permis au développeur de programmer le logiciel, grâce à des lignes écrites en anglais dans un langage particulier, qui sera compris et ensuite compilé en un programme. Certains codes sources sont mis gratuitement à la disposition de développeurs notamment dans le cadre des logiciels libres. Le code source est l’ADN des logiciels.

L’écriture d’un code source est le quotidien d’un développeur informatique ou web. Le principe de programmation informatique est le même pour tous développeurs, mais il existe différents langages de programmation : PHP, C, C++, JAVA, Swift…

Si vous souhaitez apprendre la programmation, il existe pas mal de ressources gratuites sur Internet, je vous conseille de commencer par OpenClassRooms, gratuit et en français, cliquez ici !

Voici à quoi ressemble l’écran d’un code informatique :

code source

Ca peut faire peur, mais en réalité c’est très ludique et rigolo d’apprendre la programmation. Les premiers cours sont très faciles et accessibles à tous. Si vous souhaitez apprendre à faire des sites et applications web, comme Xyoos, je vous conseille d’apprendre le HTML, CSS, PHP et Javascript.

Si vous souhaitez développer sur smartphones et tablettes, il faudra aller voir su côté de swift (pour iPhone) ou Java pour Android.

En France, les écoles proposent désormais d’apprendre aux enfants les bases de la programmation. C’est très bon pour développer l’esprit logique des jeunes (et des moins jeunes aussi !)

3. mot de passe.
Le mot de passe permet de sécuriser les accès à votre ordinateur, sites web et applications. Généralement, il va de pair avec un nom d'utilisateur. Cette combinaison, connue que de vous seul, vous permet une confidentialité de vos informations. Votre mot de passe doit être difficile à deviner (évitez le nom de votre chien ou votre date de naissance) et de préférence différent pour chaque compte que vous créerez.

A chaque compte que vous créerez en ligne (sur le site de votre banque, sur une boutique en ligne, pour lire vos mails…) vous aurez besoin de créer un mot de passe.

Ne mettez jamais votre date d’anniversaire, le nom de votre chien ou de votre fils. Cela est trop facile à deviner. Optez pour un mot de passe combinant des chiffres et des lettres, et essayez de ne pas avoir le même mot de passe pour chaque compte utilisateur.

Plus le mot de passe est fort, plus il sera difficile à deviner.

Quand vous tapez un mot de passe sur Internet, il ne sera pas affiché, pour chaque caractère tapé, des points seront affichés, afin de garantir la confidentialité de celui-ci.

connexion utilisateur mot de passe

Le nom d’utilisateur est affiché en clair, le mot de passe est caché

4. partage.
Les ordinateurs reliés entre-eux sur un réseau local peuvent partager leurs données. Vous pouvez configurer quels dossiers partager. Les documents contenus dans ces dossiers sont ensuite accessibles aux autres ordinateurs du réseau, soit en lecture, soit en lecture et écriture. Pratique pour accéder à une photo, une musique ou à une vidéo stockée sur un autre ordinateur.

C’est très pratique pour partager les photos de votre dernier voyage, les films entre tous les ordinateurs de la maison, comme ça, pas la peine de les dupliquer ou de les copier sur une Clé USB. Vous pourrez donc accéder aux autres ordinateurs depuis votre explorateur de fichiers Windows, dans la colonne de droite. Chaque utilisateur pourra choisir quels dossiers sont partagés et lesquels ne le sont pas, afin de garantir une confidentialité.

5. logiciel.
Un logiciel est un programme qui apporte à l'ordinateur un lot de fonctionnalités supplémentaires, qui ne sont pas forcément présentes à l'origine. Un logiciel s'installe sur l'ordinateur via un disque (CD, DVD) ou en le téléchargeant sur Internet. Il existe des logiciels gratuits et d'autres sont payants.

Le Logiciel est également appelé une application, ou un programme.

Dans l’informatique d’aujourd’hui, on trouve des logiciels pour absolument tout :

  • Des logiciels pour faire sa comptabilité
  • Pour écrire des textes
  • Pour communiquer avec ses proches
  • Pour faire de la modélisation 3D ou du dessin
  • Pour concevoir des schémas
  • Pour faire des calculs
  • Pour faire de la programmation
  • Pour écouter de la musique et visualiser des films

Chaque logiciel propose sa propre interface graphique, adaptée en fonction des informations et outils dont il dispose. Certains sont plus ou moins ergonomiques et intuitifs. Chaque logiciel s’ouvre dans une nouvelle fenêtre. Nous avons un cours dédié aux fenêtres, cliquez ici.

Voici le logiciel Skype, pour communiquer en vidéo avec ses proches via une webcam :

Skype chat

Et voici le logiciel Firefox, pour naviguer sur Internet :

firefox

You may also like

Voici la technique pour savoir avec qui une...

Utilisez votre téléphone comme miroir avec cette appli...

Voici ce qu’il ne faut jamais faire quand...

7 astuces pour protéger vos données en ligne

Présentation de ChatGPT

Les 5 meilleurs gestionnaires de mots de passe...

Compte Instagram piraté : une récupération simplifiée

Piratage Google Home : des conversations privées sur...

Piratage Deezer : les données de 250 millions...

Piratage Twitter : les données de 235 millions...

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

S'inscrire

2022-2024  – Tous droits réservés. Webmaster Henry’s Web Services

@2023 - Tous droits réservés. Webmaster Henry's Web Services