LastPass attaqué : des données compromises, mais pas les mots de passe
LastPass, un gestionnaire de mot de passe, a annoncé avoir été touché par un incident de sécurité récemment. Ce n'est pas la première fois cette année : en août, la société notifiait avoir détecté une attaque, en indiquant qu'une partie du code et des informations techniques avaient été compromis. Un peu plus tard, quelques détails avaient été fournis : la brèche venait du compte d'un développeur, et l'attaquant avait eu accès aux systèmes internes pendant 4 jours, sans pouvoir atteindre les données des clients ni les mots de passe stockés par ces derniers.
Plus récemment, donc, la société a détecté une activité inhabituelle sur un service de stockage externe, partagé avec GoTo. GoTo est en fait le nouveau nom de LogMeIn, qui avait racheté LastPass en 2015, avant que LastPass reprenne son indépendance en 2021.

Ce second incident est lié au premier, mais cette fois les attaquants ont pu accéder à des données sur les clients. La société n'indique pas les données en question, mais nous pouvons supposer qu'il s'agit des adresses e-mail, ce qui risque d'amener des vagues d'hameçonnage chez ces clients. LastPass rappelle par contre que les mots de passe sont protégés : ils sont chiffrés et la clé nécessaire au déchiffrement n'est pas connue du service, elle ne se trouve que sur les périphériques des utilisateurs.
Bien évidemment, ces annonces sont un coup dur pour l'image de la société et les utilisateurs risquent de prendre peur et se tourner vers d'autres gestionnaires de mot de passe, qui sont parfois gratuits (l'offre de LastPass est limitée à un seul type de périphérique si vous ne payez pas).
Je n’avais jamais été convaincu par les apps de centralisation des mdp. Vu cette news, ca ne va pas me prouver le contraire, et je me demande de combien d’autres attaques sur ce type d’app ont eu lieu et dont on a jamais entendu parler.
Est ce que le stockage des mdp via trousseau/icloud est plus secure ou pas ? (Ce que j’utilise depuis des années)
@yd29021976
Pour les mèmes raisons j'utilise également le trousseau iCloud, j'espère aussi ne jamais le regretter.
@yd29021976
Le trousseau iCloud est chiffré en local avec la Secure Enclave de l’iPhone (ou Mac,…)
Ni Apple ni un hacker ne peut accéder au contenu
Oui, comme en 2019 quand une faille a été trouvée dans le trousseau permettant d'accéder aux identifiants et aux mots de passe. Les identifiants iCloud n'étaient pas touchés cette fois-là si je me souviens bien, mais ça sera peut-être pour la prochaine.
@jacoch
La Faille n’était pas chez Apple
mais entre le clavier et la chaise 🥴
avec un user qui donne tous les privilèges à une App non certifiée sur Mac.
Un argument de plus pour Apple de bien restreindre certaines fonctions systems aux seules Apps certifiées…
Celle à laquelle je pense n'avait pas besoin du mot de passe admin. Je ne crois pas que le bug avait été exploité d'ailleurs. Mais c'était un exemple parmi d'autres. Apple aussi laisse des failles. Les iPhones n'auraient jamais été jailbreakés sinon.
Pourquoi voulez-vous qu'Apple soit moins susceptible d'être attaqué que n'importe quelle autre société gérant des mots de passe?
Le trousseau iCloud est ni plus ni moins sécurisé que ces solutions tierces (l'essentiel étant le chiffrage de bout en bout pour qu'en cas d'attaque aboutissant, les mots de passe restent indéchiffrables)
@r e m y
Parce qu’Apple utilise une Secure Enclave HW pour chiffrer /déchiffrer le trousseau
Ça ne change rien à un chiffrage de bout en bout d'autant plus que le trousseau est susceptible d'être synchronisé avec des Macs n'ayant pas d'enclave sécurisée (ce qui ne les empêche pas de déchiffrer le trousseau...)
Le secure enclave ne protège rien de ce qui se trouve sur icloud. Si vous pouvez vous connecter à votre trousseau depuis un appareil ne disposant pas de secure enclave c'est que la clef de déchiffrement se trouve elle aussi sur le cloud (se qui nullifie la sécurité du trousseau). C'est pareil pour imessage et autre.
@r e m y
Pour répondre a cette question, il faudrait que je connaisse précisément les methodes de chiffrement de chacune des solutions. Ce n’est pas le cas. Vous les connaissez ?
Enfin, en première approche, j’ai plus tendance a faire confiance à apple qu’à un dev/boite de dev indépendante en ce qui concerne mes identifiants/mdp.
Peut-être que c’est complètement con et/ou naïf, mais sans avoir plus d’info, je reste sur icloud qui répond complètement a mon besoin.
@yd29021976
« Peut-être que c’est complètement con et/ou naïf, mais sans avoir plus d’info, je reste sur icloud qui répond complètement a mon besoin. »
+1
Personnellement je préfère une solution open source (BitWarden, KeePass,...) que l'on peut auditer et vérifier qu'il y a bien chiffrage de bout en bout, plutôt qu'une solution telle celle d'Apple (ou d'autres dont LastPass...) pour lesquelles on doit faire confiance absolue aux promesses marketing.
@r e m y
Avec quoi (ou qui) faire ce type d’audit ? Je ne connais pas d’outil le permettant personnellement.
Après s’il fait se taper la lecture du code et lancer les tests unitaires ou d’intégration soit même ca commence a devenir un peu lourdingue + quid de la solution (cloud j’imagine) qui stocke les data, et de son niveau de sécurité ? (Si c’est pas une solution juste locale, mais si c’est le cas : quelle intérêt d’une tel app quand on veut avoir ses id/mdp sur tous ses appareils ?)
Et enfin, concernant l’open source, il faut aussi faire bien attention du repository d’où on download le code compilé. On peut rapidement downloader un truc vérolé. C’est surtout vrai pour de telles apps qui contiennent des données confidentielles et sensibles, non ?
@yd29021976
Moi je ne fais confiance qu’à moi-même: mes PWDs sont chez moi…
@0MiguelAnge0
👏👏
@yd29021976
La sauvegarde iCloud (qui comprend également la sauvegarde du Trousseau) emmène avec elle les clés de sauvegardes (les serveurs de sauvegarde iCloud d’Apple ont donc les clés pour déchiffrer). C’est un compromis afin de faciliter les restaurations.
Il me semble que le trousseau bénéficie d’une sécurité supplémentaire au niveau de la sauvegarde mais suis pas certain.
@Chris K
Merci, on pourrait résumer en disant qu’il n’existe de toute façon pas de solution 100% sûre. Sauf… de ne stocker aucun id/mdp 🤓
@yd29021976
Ben tu peux les stocker sur une feuille de papier 😁 . Difficile à hacker mais pas pratique.
@Chris K
J’en connais qui font ça. Souvent les 65+ 😉 apres ils ont 5/6 mdp, donc gerable
@yd29021976
5-6 mots de passe , ça veut dire des mots de passe utilisés plein de fois partout, donc niveau sécurité c’est la cata
@pocketalex
Non, 5/6 mdp pour 5/6 comptes 😉
@yd29021976
j'utilise Keepass passwaord safe. Son seul inconvénient est de ne pas être un service en ligne, et donc utilisable sur tous les appareils, mais c'est tout
pour le reste il est gratuit et très sécurisé (encryptage fort, mot de passe + sélection d'un fichier pour se loguer, etc), mais surtout, je crée un compte par service en ligne ou par site web, c'est à dire qu'avec un usage normal d'Internet, je dois stocker dedans plus de 500 comptes, donc une bonne cinquantaine de "majeurs" (sncf, impots, banque, google, mail, apple, etc)
Donc 5-6 comptes j'ai du mal à y croire, ou alors la personne ne va sur Internet que 5 minutes par mois
@pocketalex
Mais pourquoi donc toujours ramener son utilisation a une généralité, je ne comprends pas.
Si je dis 5/6 comptes (aller : 10), donc c’est le cas, et donc pas besoin d’avoir a gérer une centaine de mdp.
De plus c’est principalement sur 1 seul device, donc encore moins besoin d’avoir une app de gestion.
Pour le temps passé sur internet, je n’en sais rien, mais je ne suis pas certain qu’il existe une corrélation entre le nb de compte et le temps passé sur internet.
Exemple : 0 compte et je peux passer plusieurs heures sur youtube 😉
@yd29021976
"Mais pourquoi donc toujours ramener son utilisation a une généralité"
ah mais je ne généralise pas mon cas, je ne fais que le donner en exemple, et dans mon cas, qui est celui d'un utilisateur "standard", la moindre commande sur un site e-commerce, la moindre utilisation "administrative" d'Internet, etc, c'est des centaines de comptes ici et là au final
Et je ne suis pas un "power user", je cotoie des gens qui sont à fond dans le digital, qui installent des tonnes d'app sur leur smartphones, et qui sont inscrit à masse de sites et de services, moi à coté, je suis petit joueur ... avec mes 300 et quelques comptes
Mon propos était donc simple : 5 comptes, j'ai du mal à entrevoir.
Mais je te crois hein
@pocketalex
Ha ok, j’avais mal compris. Pour être plus clair, dans mon cas, toute la partie administrative, site e-commerce etc, c’est moi qui gère a 90% pour des personnes qui le savent pas faire. D’où leur nombre de compte très limité 😉
Moi par contre… j’en ai effectivement quelques centaines !
Keepassdx mais il faut être chez aosp
@Chris K
Ok mais c’est la clef publique qui est embarquée dans le cloud. La clef privée pour décrypter reste sur la machine locale j’espère 🤞
@yd29021976
Attention, je parlais bien de la sauvegarde iCloud. Dans ce cas, toutes les clés sont sauvegardées chez Apple.
Je suppose que les serveurs Apple sont extrêmement sécurisés et n’y entre pas qui veut comme il veut.
@Chris K
C’est sur ça ? Ça me semble tellement peu sécurisé…
@yd29021976
Oui c’est sûr. C’est marqué noir sur blanc dans le document « Sécurité des plateformes Apple » fournit par Apple, un truc de 250 pages à digérer :
« La sauvegarde est stockée dans le compte iCloud de l’utilisateur et comprend une copie des fichiers de l’utilisateur et du conteneur de clés de la sauvegarde iCloud. Ce dernier est protégé par une clé aléatoire également stockée avec la sauvegarde »
@Chris K
Yep, voir ma réponse postée en // de la tienne.
Sinon c’est aussi résumé dans une courte doc apple : https://support.apple.com/en-us/HT202303
@yd29021976
Et voila la version longue … :
https://help.apple.com/pdf/security/fr_CA/apple-platform-security-guide-c.pdf (dont sont tirées mes citations).
@Chris K
J’ai cherché vite fait, reponse ici : https://blog.elcomsoft.com/2021/01/apple-scraps-end-to-end-encryption-of-icloud-backups/
Cryptage des données sur icloud : les clefs sont stockées sur les serveurs apple a cupertino. Les données sur des services cloud (amazon, microsoft etc..)
Encryptage end-to-end (imessage, passwords etc…) : pour les données dites « sensibles », les données sont encryptees avec un mot de passe connu uniquement de l’utilisateur et donc non stockées ailleurs que… sur le device de l’utilisateur. Dans ce cas, même apple ne peut pas déchiffrer les données.
@yd29021976
Sauf pour la sauvegarde iCloud (je me répète, je parle de la sauvegarde). Pour iMessage, du coup :
« Lorsque Messages est activée dans iCloud, iMessage, Apple Messages for Business
ainsi que les messages texte et MMS sont supprimés de la sauvegarde iCloud de l’utilisateur pour être plutôt stockés dans un conteneur CloudKit chiffré de bout en bout pour Messages. La sauvegarde iCloud de l’utilisateur conserve une clé de ce conteneur » (i.e. doc Apple que j’ai mentionnée plus haut).
@Chris K
« Je suppose que les serveurs Apple sont extrêmement sécurisés et n’y entre pas qui veut comme il veut »
Avec des «si », on met Paris en bouteille.
La clef privée est ni plus ni moins votre mot de passe icloud !
@Bouledeneige
Exact
« la brèche venait du compte d'un développeur, et l'attaquant avait eu accès aux systèmes internes pendant 4 jours »… il serait intéressant de savoir comment ledit développeur a eu son compte compromis ! Le gars travail comme développeur, dans une structure faisant commerce de la sécurité informatique… si le gars n’est pas apte à sécuriser ses propres identifiants et accès et à ne pas adopter une conduite à risque sur son lieu de travail… c’est pas très rassurant !
@Jeckill13
Il a pu « malencontreusement » clické sur une PJ
@Jeckill13
« L’erreur est humaine » 🤓
Si je ne m'abuse, le problème de icloud et le trousseau d'Apple, c'est quant on sort des idevices, pas moyen de l'utiliser ...
@magic.ludovic
Pour moi c'est un avantage même si c'est copieusement gonflant quand on a pas accès aux idevices, pas d'application donc un risque/faille de moins.
Si je devais hacker votre trousseau icloud n'effectuerait sur vous une attaque par social ingenering.
@magic.ludovic
« c'est quant on sort des idevices, pas moyen de l'utiliser ... »
C’est sur que ça doit être problématique en effet. Mais quand on n’a que des produits Apple, ce problème n’en est plus un du coup 🙂.
Ça le devient le jour où tu as envie d'acheter autre chose qu'un appareil Apple...
Pour éviter cet enfermement je choisis au maximum des solutions apolitiques.
@cecile_aelita
> "Mais quand on n’a que des produits Apple, ce problème n’en est plus un du coup"
🐭
« Ah, dit la souris, le monde se fait toujours plus étroit. Au début, il était si large qu’il me faisait peur ; j’avançais, et j’étais enfin heureuse de percevoir au loin des murs, à droite et à gauche. Mais maintenant ces longs murs se rapprochent si vite que je me trouve déjà dans la dernière pièce, et là-bas, au coin, il y a le piège vers lequel je cours ».
« Il te suffit de changer de direction », dit le chat, et la mangea. »
😸
——Franz Kafka : Petite fable. In : La Muraille de Chine et autres récits, 1917
@occam
C’est joli!
Même si mon commentaire reste vrai 😅.
@cecile_aelita
"Même si mon commentaire reste vrai"
Non. 😺
@occam
Ah bah si 😅.
Si on reste chez Apple, il n’y a aucun problème.
En effet si on veut quitter Apple c’est là que le problème arrive ça je ne le nie absolument pas. Mais si on reste chez eux, il n’y a pas le moindre problème 😅.
Pages