C'QUOI,  Info,  Informatiques

LastPass : une gueule de bois qui n’en finit plus

Le piratage de LastPass serait à l’origine du vol de dizaines de millions de dollars en crypto-monnaie.

LastPass est dans la tourmente. Le populaire gestionnaire de mots de passe a été victime de plusieurs incidents de sécurité majeurs au cours de ces derniers mois, et l’on commence à constater les dégâts chez plusieurs utilisateurs.

 Deux attaques liées 

Les déboires de la société ont commencé il y a un peu plus d’un an. En août 2022, Karim Toubba, le PDG de LastPass, faisait savoir que des pirates avaient réussi à pénétrer leur système. Une partie du code source et des informations techniques importantes avaient alors été dérobées. Trois semaines plus tard, la plateforme rassurait en assurant que les attaquants n’avaient accédé à aucune donnée client ni à aucun coffre-fort de mots de passe.

Le répit sera toutefois de courte durée. Dès novembre 2022, nouveau coup dur : LastPass communique une autre violation de données, permise par les éléments subtilisés lors de la première attaque. Bien plus grave, cet épisode concerne la compromission de copies chiffrées de certains coffres-forts de mots de passe, ainsi que d’autres informations personnelles de clients.

 Une vulnérabilité dans Plex, sur le PC personnel d’un ingénieur 

En février 2023, nous obtenons de nouveaux détails qui n’arrangent pas les affaires de LastPass. Il est révélé que la première attaque a permis aux pirates de voler des informations d’identification des serveurs à un ingénieur DevOps, qui fait partie des quatre seuls employés à pouvoir accéder à un système critique du réseau.

lastpass expressvpn test

© Capture d’écran Clubic

« Cela a été accompli en ciblant l’ordinateur personnel de l’ingénieur DevOps et en exploitant un progiciel multimédia tiers vulnérable, qui a permis l’exécution de code à distance et a permis à l’acteur malveillant d’implanter un logiciel malveillant d’enregistrement de frappe », nous explique-t-on alors. « L’acteur malveillant a pu capturer le mot de passe principal de l’employé au moment de sa saisie, après que l’employé s’est authentifié par double facteur, et accéder au coffre-fort d’entreprise LastPass de l’ingénieur DevOps », indique l’entreprise. Nous apprendrons plus tard que c’est une faille de sécurité dans Plex qui a été exploitée.

Grâce à ces accès, les pirates ont pu mener durant des semaines une série d’activités de reconnaissance et d’exfiltration sur les serveurs de LastPass pour préparer leur attaque finale. Ils ont finalement pu récupérer les clés de déchiffrement servant à déverrouiller le stockage cloud de LastPass, et ainsi parvenir à voler des données clients, certaines d’entre elles étant chiffrées, mais d’autres affichées en clair.

 Des millions de dollars de crypto-monnaies envolés 

Face à cette situation, LastPass a logiquement perdu la confiance de ses utilisateurs. On ne commence à mesurer que maintenant l’impact causé par cette fuite de données, qui pourrait aller bien plus loin que ce à quoi l’on s’attendait.

Constatant une anormale hausse des vols de crypto-monnaie, un certain Taylor Monahan, cadre chez MetaMask, un portefeuille logiciel de crypto-monnaie fonctionnant avec la blockchain Ethereum, lance une enquête pour tenter d’identifier un dénominateur commun entre toutes les victimes.

Ses recherches restent vaines pendant bien longtemps. Les utilisateurs qui ont vu leurs crypto-monnaies se volatiliser sont dans la plupart des cas des investisseurs de longue date, bien au fait des mesures de sécurité à prendre pour protéger ses actifs. Alors, comment un si grand nombre d’entre eux ont-ils pu se faire voler ?

Il aura fallu de longs mois de travail pour enfin relier les vols entre eux. « Un ensemble d’indices très fiables » tend à désigner LastPass comme le coupable de toutes ces affaires. Le point commun entre la quasi-totalité des victimes est en effet qu’elles ont, à un moment donné, stocké la phrase de départ de récupération de leur portefeuille crypto au sein du gestionnaire de mots de passe. En accédant à cette clé privée, les pirates ont alors pu accéder aux crypto-monnaies et déplacer les fonds.

Taylor Monahan prétend qu’au moins 150 personnes ont perdu un total de plus de 35 millions de dollars en crypto-monnaie de cette manière. Les adresses blockchain utilisées pour l’opération confirment que les vols ont été réalisés par le même réseau de pirates.

LastPass

  • Stockage illimité des mots de passe
  • Surveillance du dark web (Premium)
  • Interface

LastPass est très facile à maîtriser. Tout est intuitif et bien organisé, que ce soit avec la version à installer sur ordinateur ou les applications mobiles. Comme d’autres gestionnaires en ligne, la version desktop offre plus de possibilités de réglages. Disponible gratuitement ou en version Premium (et Famille), LastPass répondra à tous vos besoins. Cependant, avec une année 2022 marquée par les problèmes de sécurité rencontrés par l’entreprise, la réputation de LastPass est désormais ternie, et il sera nécessaire pour le gestionnaire de redoubler d’efforts pour regagner la confiance des utilisateurs.

Source : Krebs On Security

Bonjour dit moi, çà serait vraiment sympa de mettre un petit commentaire. Toutes les idées sont bonnes à prendre.

EDIT   © Infos-Jour

Pour tout voir sur le blog INFOS-JOUR.FR une inscription est nécessaire avec une adresse EMAIL Valide .Merci.
49

Mr.PiT

  
 
 
  
3

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.