LastPass attaqué : des données compromises, mais pas les mots de passe

Pierre Dandumont |

LastPass, un gestionnaire de mot de passe, a annoncé avoir été touché par un incident de sécurité récemment. Ce n'est pas la première fois cette année : en août, la société notifiait avoir détecté une attaque, en indiquant qu'une partie du code et des informations techniques avaient été compromis. Un peu plus tard, quelques détails avaient été fournis : la brèche venait du compte d'un développeur, et l'attaquant avait eu accès aux systèmes internes pendant 4 jours, sans pouvoir atteindre les données des clients ni les mots de passe stockés par ces derniers.

Plus récemment, donc, la société a détecté une activité inhabituelle sur un service de stockage externe, partagé avec GoTo. GoTo est en fait le nouveau nom de LogMeIn, qui avait racheté LastPass en 2015, avant que LastPass reprenne son indépendance en 2021.

Ce second incident est lié au premier, mais cette fois les attaquants ont pu accéder à des données sur les clients. La société n'indique pas les données en question, mais nous pouvons supposer qu'il s'agit des adresses e-mail, ce qui risque d'amener des vagues d'hameçonnage chez ces clients. LastPass rappelle par contre que les mots de passe sont protégés : ils sont chiffrés et la clé nécessaire au déchiffrement n'est pas connue du service, elle ne se trouve que sur les périphériques des utilisateurs.

Bien évidemment, ces annonces sont un coup dur pour l'image de la société et les utilisateurs risquent de prendre peur et se tourner vers d'autres gestionnaires de mot de passe, qui sont parfois gratuits (l'offre de LastPass est limitée à un seul type de périphérique si vous ne payez pas).

avatar yd29021976 | 

Je n’avais jamais été convaincu par les apps de centralisation des mdp. Vu cette news, ca ne va pas me prouver le contraire, et je me demande de combien d’autres attaques sur ce type d’app ont eu lieu et dont on a jamais entendu parler.

Est ce que le stockage des mdp via trousseau/icloud est plus secure ou pas ? (Ce que j’utilise depuis des années)

avatar bidibout | 

@yd29021976

Pour les mèmes raisons j'utilise également le trousseau iCloud, j'espère aussi ne jamais le regretter.

avatar Sgt. Pepper | 

@yd29021976

Le trousseau iCloud est chiffré en local avec la Secure Enclave de l’iPhone (ou Mac,…)

Ni Apple ni un hacker ne peut accéder au contenu

avatar jacoch | 

Oui, comme en 2019 quand une faille a été trouvée dans le trousseau permettant d'accéder aux identifiants et aux mots de passe. Les identifiants iCloud n'étaient pas touchés cette fois-là si je me souviens bien, mais ça sera peut-être pour la prochaine.

avatar Sgt. Pepper | 

@jacoch

La Faille n’était pas chez Apple
mais entre le clavier et la chaise 🥴
avec un user qui donne tous les privilèges à une App non certifiée sur Mac.

Un argument de plus pour Apple de bien restreindre certaines fonctions systems aux seules Apps certifiées…

avatar jacoch | 

Celle à laquelle je pense n'avait pas besoin du mot de passe admin. Je ne crois pas que le bug avait été exploité d'ailleurs. Mais c'était un exemple parmi d'autres. Apple aussi laisse des failles. Les iPhones n'auraient jamais été jailbreakés sinon.

avatar r e m y | 

Pourquoi voulez-vous qu'Apple soit moins susceptible d'être attaqué que n'importe quelle autre société gérant des mots de passe?
Le trousseau iCloud est ni plus ni moins sécurisé que ces solutions tierces (l'essentiel étant le chiffrage de bout en bout pour qu'en cas d'attaque aboutissant, les mots de passe restent indéchiffrables)

avatar Sgt. Pepper | 

@r e m y

Parce qu’Apple utilise une Secure Enclave HW pour chiffrer /déchiffrer le trousseau

avatar r e m y | 

Ça ne change rien à un chiffrage de bout en bout d'autant plus que le trousseau est susceptible d'être synchronisé avec des Macs n'ayant pas d'enclave sécurisée (ce qui ne les empêche pas de déchiffrer le trousseau...)

avatar Bouledeneige | 

Le secure enclave ne protège rien de ce qui se trouve sur icloud. Si vous pouvez vous connecter à votre trousseau depuis un appareil ne disposant pas de secure enclave c'est que la clef de déchiffrement se trouve elle aussi sur le cloud (se qui nullifie la sécurité du trousseau). C'est pareil pour imessage et autre.

avatar yd29021976 | 

@r e m y

Pour répondre a cette question, il faudrait que je connaisse précisément les methodes de chiffrement de chacune des solutions. Ce n’est pas le cas. Vous les connaissez ?

Enfin, en première approche, j’ai plus tendance a faire confiance à apple qu’à un dev/boite de dev indépendante en ce qui concerne mes identifiants/mdp.
Peut-être que c’est complètement con et/ou naïf, mais sans avoir plus d’info, je reste sur icloud qui répond complètement a mon besoin.

avatar cecile_aelita | 

@yd29021976

« Peut-être que c’est complètement con et/ou naïf, mais sans avoir plus d’info, je reste sur icloud qui répond complètement a mon besoin. »

+1

avatar r e m y | 

Personnellement je préfère une solution open source (BitWarden, KeePass,...) que l'on peut auditer et vérifier qu'il y a bien chiffrage de bout en bout, plutôt qu'une solution telle celle d'Apple (ou d'autres dont LastPass...) pour lesquelles on doit faire confiance absolue aux promesses marketing.

avatar yd29021976 | 

@r e m y

Avec quoi (ou qui) faire ce type d’audit ? Je ne connais pas d’outil le permettant personnellement.

Après s’il fait se taper la lecture du code et lancer les tests unitaires ou d’intégration soit même ca commence a devenir un peu lourdingue + quid de la solution (cloud j’imagine) qui stocke les data, et de son niveau de sécurité ? (Si c’est pas une solution juste locale, mais si c’est le cas : quelle intérêt d’une tel app quand on veut avoir ses id/mdp sur tous ses appareils ?)

Et enfin, concernant l’open source, il faut aussi faire bien attention du repository d’où on download le code compilé. On peut rapidement downloader un truc vérolé. C’est surtout vrai pour de telles apps qui contiennent des données confidentielles et sensibles, non ?

avatar 0MiguelAnge0 | 

@yd29021976

Moi je ne fais confiance qu’à moi-même: mes PWDs sont chez moi…

avatar pagaupa | 

@0MiguelAnge0

👏👏

avatar Chris K | 

@yd29021976

La sauvegarde iCloud (qui comprend également la sauvegarde du Trousseau) emmène avec elle les clés de sauvegardes (les serveurs de sauvegarde iCloud d’Apple ont donc les clés pour déchiffrer). C’est un compromis afin de faciliter les restaurations.

Il me semble que le trousseau bénéficie d’une sécurité supplémentaire au niveau de la sauvegarde mais suis pas certain.

avatar yd29021976 | 

@Chris K

Merci, on pourrait résumer en disant qu’il n’existe de toute façon pas de solution 100% sûre. Sauf… de ne stocker aucun id/mdp 🤓

avatar Chris K | 

@yd29021976

Ben tu peux les stocker sur une feuille de papier 😁 . Difficile à hacker mais pas pratique.

avatar yd29021976 | 

@Chris K

J’en connais qui font ça. Souvent les 65+ 😉 apres ils ont 5/6 mdp, donc gerable

avatar pocketalex | 

@yd29021976

5-6 mots de passe , ça veut dire des mots de passe utilisés plein de fois partout, donc niveau sécurité c’est la cata

avatar yd29021976 | 

@pocketalex

Non, 5/6 mdp pour 5/6 comptes 😉

avatar pocketalex | 

@yd29021976

j'utilise Keepass passwaord safe. Son seul inconvénient est de ne pas être un service en ligne, et donc utilisable sur tous les appareils, mais c'est tout

pour le reste il est gratuit et très sécurisé (encryptage fort, mot de passe + sélection d'un fichier pour se loguer, etc), mais surtout, je crée un compte par service en ligne ou par site web, c'est à dire qu'avec un usage normal d'Internet, je dois stocker dedans plus de 500 comptes, donc une bonne cinquantaine de "majeurs" (sncf, impots, banque, google, mail, apple, etc)

Donc 5-6 comptes j'ai du mal à y croire, ou alors la personne ne va sur Internet que 5 minutes par mois

avatar yd29021976 | 

@pocketalex

Mais pourquoi donc toujours ramener son utilisation a une généralité, je ne comprends pas.
Si je dis 5/6 comptes (aller : 10), donc c’est le cas, et donc pas besoin d’avoir a gérer une centaine de mdp.
De plus c’est principalement sur 1 seul device, donc encore moins besoin d’avoir une app de gestion.

Pour le temps passé sur internet, je n’en sais rien, mais je ne suis pas certain qu’il existe une corrélation entre le nb de compte et le temps passé sur internet.
Exemple : 0 compte et je peux passer plusieurs heures sur youtube 😉

avatar pocketalex | 

@yd29021976

"Mais pourquoi donc toujours ramener son utilisation a une généralité"

ah mais je ne généralise pas mon cas, je ne fais que le donner en exemple, et dans mon cas, qui est celui d'un utilisateur "standard", la moindre commande sur un site e-commerce, la moindre utilisation "administrative" d'Internet, etc, c'est des centaines de comptes ici et là au final

Et je ne suis pas un "power user", je cotoie des gens qui sont à fond dans le digital, qui installent des tonnes d'app sur leur smartphones, et qui sont inscrit à masse de sites et de services, moi à coté, je suis petit joueur ... avec mes 300 et quelques comptes

Mon propos était donc simple : 5 comptes, j'ai du mal à entrevoir.
Mais je te crois hein

avatar yd29021976 | 

@pocketalex

Ha ok, j’avais mal compris. Pour être plus clair, dans mon cas, toute la partie administrative, site e-commerce etc, c’est moi qui gère a 90% pour des personnes qui le savent pas faire. D’où leur nombre de compte très limité 😉
Moi par contre… j’en ai effectivement quelques centaines !

avatar Bouledeneige | 

Keepassdx mais il faut être chez aosp

avatar yd29021976 | 

@Chris K

Ok mais c’est la clef publique qui est embarquée dans le cloud. La clef privée pour décrypter reste sur la machine locale j’espère 🤞

avatar Chris K | 

@yd29021976

Attention, je parlais bien de la sauvegarde iCloud. Dans ce cas, toutes les clés sont sauvegardées chez Apple.
Je suppose que les serveurs Apple sont extrêmement sécurisés et n’y entre pas qui veut comme il veut.

avatar yd29021976 | 

@Chris K

C’est sur ça ? Ça me semble tellement peu sécurisé…

avatar Chris K | 

@yd29021976

Oui c’est sûr. C’est marqué noir sur blanc dans le document « Sécurité des plateformes Apple » fournit par Apple, un truc de 250 pages à digérer :

« La sauvegarde est stockée dans le compte iCloud de l’utilisateur et comprend une copie des fichiers de l’utilisateur et du conteneur de clés de la sauvegarde iCloud. Ce dernier est protégé par une clé aléatoire également stockée avec la sauvegarde »

avatar yd29021976 | 

@Chris K

Yep, voir ma réponse postée en // de la tienne.
Sinon c’est aussi résumé dans une courte doc apple : https://support.apple.com/en-us/HT202303

avatar Chris K | 

@yd29021976

Et voila la version longue … :

https://help.apple.com/pdf/security/fr_CA/apple-platform-security-guide-c.pdf (dont sont tirées mes citations).

avatar yd29021976 | 

@Chris K

J’ai cherché vite fait, reponse ici : https://blog.elcomsoft.com/2021/01/apple-scraps-end-to-end-encryption-of-icloud-backups/

Cryptage des données sur icloud : les clefs sont stockées sur les serveurs apple a cupertino. Les données sur des services cloud (amazon, microsoft etc..)

Encryptage end-to-end (imessage, passwords etc…) : pour les données dites « sensibles », les données sont encryptees avec un mot de passe connu uniquement de l’utilisateur et donc non stockées ailleurs que… sur le device de l’utilisateur. Dans ce cas, même apple ne peut pas déchiffrer les données.

avatar Chris K | 

@yd29021976

Sauf pour la sauvegarde iCloud (je me répète, je parle de la sauvegarde). Pour iMessage, du coup :

« Lorsque Messages est activée dans iCloud, iMessage, Apple Messages for Business
ainsi que les messages texte et MMS sont supprimés de la sauvegarde iCloud de l’utilisateur pour être plutôt stockés dans un conteneur CloudKit chiffré de bout en bout pour Messages. La sauvegarde iCloud de l’utilisateur conserve une clé de ce conteneur » (i.e. doc Apple que j’ai mentionnée plus haut).

avatar pagaupa | 

@Chris K

« Je suppose que les serveurs Apple sont extrêmement sécurisés et n’y entre pas qui veut comme il veut »
Avec des «si », on met Paris en bouteille.

avatar Bouledeneige | 

La clef privée est ni plus ni moins votre mot de passe icloud !

avatar yd29021976 | 

@Bouledeneige

Exact

avatar Jeckill13 | 

« la brèche venait du compte d'un développeur, et l'attaquant avait eu accès aux systèmes internes pendant 4 jours »… il serait intéressant de savoir comment ledit développeur a eu son compte compromis ! Le gars travail comme développeur, dans une structure faisant commerce de la sécurité informatique… si le gars n’est pas apte à sécuriser ses propres identifiants et accès et à ne pas adopter une conduite à risque sur son lieu de travail… c’est pas très rassurant !

avatar Sgt. Pepper | 

@Jeckill13

Il a pu « malencontreusement » clické sur une PJ

avatar iPop | 

@Jeckill13

« L’erreur est humaine » 🤓

avatar magic.ludovic | 

Si je ne m'abuse, le problème de icloud et le trousseau d'Apple, c'est quant on sort des idevices, pas moyen de l'utiliser ...

avatar bidibout | 

@magic.ludovic

Pour moi c'est un avantage même si c'est copieusement gonflant quand on a pas accès aux idevices, pas d'application donc un risque/faille de moins.

avatar Bouledeneige | 

Si je devais hacker votre trousseau icloud n'effectuerait sur vous une attaque par social ingenering.

avatar cecile_aelita | 

@magic.ludovic

« c'est quant on sort des idevices, pas moyen de l'utiliser ... »

C’est sur que ça doit être problématique en effet. Mais quand on n’a que des produits Apple, ce problème n’en est plus un du coup 🙂.

avatar r e m y | 

Ça le devient le jour où tu as envie d'acheter autre chose qu'un appareil Apple...
Pour éviter cet enfermement je choisis au maximum des solutions apolitiques.

avatar occam | 

@cecile_aelita

> "Mais quand on n’a que des produits Apple, ce problème n’en est plus un du coup"

🐭
« Ah, dit la souris, le monde se fait toujours plus étroit. Au début, il était si large qu’il me faisait peur ; j’avançais, et j’étais enfin heureuse de percevoir au loin des murs, à droite et à gauche. Mais maintenant ces longs murs se rapprochent si vite que je me trouve déjà dans la dernière pièce, et là-bas, au coin, il y a le piège vers lequel je cours ».
« Il te suffit de changer de direction », dit le chat, et la mangea. »
😸
——Franz Kafka : Petite fable. In : La Muraille de Chine et autres récits, 1917

avatar cecile_aelita | 

@occam

C’est joli!
Même si mon commentaire reste vrai 😅.

avatar occam | 

@cecile_aelita

"Même si mon commentaire reste vrai"

Non. 😺

avatar cecile_aelita | 

@occam

Ah bah si 😅.
Si on reste chez Apple, il n’y a aucun problème.
En effet si on veut quitter Apple c’est là que le problème arrive ça je ne le nie absolument pas. Mais si on reste chez eux, il n’y a pas le moindre problème 😅.

Pages

CONNEXION UTILISATEUR