De tempêtes en naufrage : le piratage de LastPass pire qu'annoncé

Pierre Dandumont |

La saga du piratage de LastPass continue. Début décembre 2022, la société annonçait quelle avait été attaquée en août 2022 mais aussi qu'une autre offensive avait été détectée. À l'époque, GoTo indiquait que les données n'avaient pas été compromises.

Le gestionnaire de mot de passe.

Un peu plus tard dans le mois, rebondissement : finalement, les pirates avaient réussi à récupérer des données sur les clients de la société, dont certaines n'étaient pas chiffrées. Plus exactement, les URL des sites liés aux mots de passe ne le sont pas, mais les identifiants ou les mots de passe le sont. GoTo en profitait pour rappeler que le mot de passe maître des données des utilisateurs n'est connu que par ces derniers : la compagnie n'est donc pas capable de déchiffrer les données. Malgré tout, les risques existent si ce mot de passe est faible ou évident. Si vous employez souvent le même mot de passe, par exemple, il peut avoir été dévoilé lors d'une autre attaque.

Le cas de LastPass s

Le cas de LastPass s'aggrave : des mots de passe (chiffrés) sont entre les mains des pirates

Et dans un nouveau communiqué, GoTo explique que ce n'est pas fini : des données liées à plusieurs services de la société ont aussi été récupérées par les attaquants. Il s'agit de Central (un service lié à l'automatisation en entreprise), Pro — pour l'accès à distance —, join.me, qui permet l'accès à de la vidéoconférence, Hamachi (un logiciel de création de VPN) et RemotelyAnywhere, pour la prise en main à distance.

Les références à la sécurité peuvent être vues ironiquement.

Les données récupérées sont des sauvegardes, stockées chez un fournisseur de cloud, et les attaquants ont aussi obtenu une clé qui permet de déchiffrer une partie des sauvegardes en question. Elles contiennent diverses informations qui vont du nom d'utilisateur aux mots de passe (salés et hachés, donc enregistrés sous une forme illisible), en passant par des réglages personnels ou des détails sur les licences. De plus, une partie des informations liées à l'authentification à plusieurs facteurs sont de la partie, sans plus de détails.

GoTo explique que les clients touchés ont été contactés et que les différents services ont été migrés sur une infrastructure plus sécurisée. Dans les cas des mots de passe, ils ont été réinitialisés, tout comme l'authentification à plusieurs facteurs. Enfin, la société rappelle qu'elle ne stocke ni les données personnelles (nom, date de naissance, etc.) ni les données bancaires… au moins jusqu'au prochain communiqué.


Source
Destraak CC BY-SA 4.0 https://commons.wikimedia.org/wiki/File:Cadenas_cassé.jpg#/media/File:Cadenas_cassé.jpg
Tags
avatar winnipeg | 

Je pense que 1Password le savait et cela explique la sévérité de leurs propos à l’égard de LastPass (car cela peut jeter le discrédit sur tous les gestionnaires de mot de passe?)

avatar smog | 

C'est une cible de choix pour les pirates, de toute façon, non ? Il ne me vient pas à l'idée de mettre tous mes mots de passe au même endroit, pour cette raison...
Pour moi cela va à l'encontre - justement - de l'intérêt d'un mot de passe que de le stocker via une application ou un serveur...

avatar BigBen_082 | 

@smog

Le problème c'est qu'aujourd'hui, excepté Vaultwarden (Bitwarden en self-hosting), tu n'as plus trop de possibilités, sauf si tu as des anciennes versions d'applications comme 1Password 7 par exemple qui utilisaient la synchro du fichier de coffre par iCloud.

avatar McFlan | 

@smog

Au contraire c’est une bonne pratique :
- l’utilisateur doit utiliser des mots de passe forts et aléatoires ; lorsqu’il perd son coffre (téléphone par exemple) il n’a qu’à les remplacer sans coût psychologique ;
- si deux mots de passe sont compromis (ce qui doit être fréquent), le fait qu’ils soient aléatoires ne compromet pas les autres. Alors que sinon, les mdp sont souvent faciles à deviner.

En revanche, stocker dans le cloud, ça c’est plus con. Même si ça a des aspects pratiques.

avatar Change | 

@McFlan

👍

avatar smog | 

@McFlan : merci pour ton éclairage.
Mais je ne suis pas vraiment convaincu quand-même : gérer soi-même ses mdp n'est pas plus judicieux, en prenant les habituelles précautions sur la nature de ceux-ci ?

avatar McFlan | 

@smog

Ça dépend. Gérer soi-même ses mots de passe sur un petit carnet, ca peut-être bonne pratique. Mais il faut sécuriser un minimum son carnet et avoir de quoi générer des mots de passe (vraiment) aléatoires. Donc ça exclut de le transporter avec soi par exemple.

Gérer ses mots de passe dans son bloc-notes avec un petit mot de passe, ça revient un peu au même que d’utiliser une appli comme 1password. Avec la même question : passer par le cloud?

L’avantage de l’appli spécialisée, c’est qu’elle peut générer des mots de passe aléatoires (à condition de bien la paramétrer), ouvrir en un clic la page et pré-remplir le formulaire, permettre un partage en réseau local, etc.

En résumé, il y a plusieurs manières de faire, avec les mêmes précautions. Tout est ensuite question de facilité d’usage.

avatar Sometime | 

@smog

dans l’absolu c’est une question de bonnes pratiques, quel que soit le moyen utilisé.
les personnes qui ont des mots de passe maitre forts, leur 2FA sauvés dans un service indépendant, avec dans le cloud seulement des données changeables, ne sont pas forcément plus a risque, meme après l’affaire lastpass. plus embêtée pour le moment, sans doute.

tout reste une affaire de modélisation de risque.

le lambda moyen qui a ses mots de passe sur son NAS est-il moins a risque que celui qui utilise un service sérieux? difficile de répondre dans l’absolu.

avatar BabyAzerty | 

Strongbox est une excellente solution qui se repose sur iCloud et propose un achat unique, pour ceux qui détestent les abonnements et les passwords sur serveurs tiers :)

avatar charly20 | 

@BabyAzerty

StrongBox est excellent. Jai quitté 1Password pour StrongBox et j’en suis plus que satisfait.

avatar bouh | 

@charly20
Tant que 1password7(license standalone) fonctionne, je reste avec lui.
Mais dès que je serai forcé de faire assez à la v8, j’irai aussi voir ailleurs.

avatar Roro78 | 

Ça apporte quoi un gestionnaire de mot de passe par rapport à ce que propose Apple en natif ?

avatar noooty | 

@Roro78

De l’argent frais pour les boîtes de conserve informatique…

avatar guymauve | 

@Roro78

Le partage de mot de passe dans un environnement familial par exemple

avatar Roro78 | 

@guymauve

Tu peux partager tes mots de passe via AirDrop avec la solution d’Apple.
En effet ça demande de partager en amont les mdp nécessaires.

avatar sebasto72 | 

@Roro78

Pas la même chose. Avec 1Password, on a un coffre commun avec madame.

avatar thierry37 | 

@Roro78

Remonte sur les quelques News de MacG à propos des gestionnaires de mot de passe. Et/ou de 1Password.
Il y a souvent la question et plein de réponses.

Les gestionnaires font plus de choses. Pas que les mots de passe. Et sont plus facile à gérer. (Pas comme le trousseau iCloud qui est très/trop simplifié par Apple: nom / mot de passe )

avatar Derw | 

@Roro78

- stocker autre chose que les mots de passe de sites (mots de passe de box, de services fonctionnant dans d’autres apps qu’un navigateur [GIT, FTP…], code de cadenas réels, toutes les infos liées à un compte mail [serveur, ID, mdp, ports…], notes sécurisées, infos sur les logiciels [clefs de licence ! date d’achat, prix… ]…)
- stocker les mots de passes d’autres personnes. Chez nous, je stocke les mots de passe de toute ma famille (parents, beaux-parents, femme et enfants) et je ne compte plus les fois où j’ai dû dépanner quelqu’un avec…
- sur iOS, une app est plus rapide que de chercher dans le trousseau.
- sur iOS, apparemment, le trousseau ne stocke pas les mots de passe des apps. Ainsi, impossible de retrouver son mot de passe Instagram, BlaBlaCar, Netflix…).

avatar Louno | 

Tu peux y stocker bien plus que le simple couple login/mdp, donc des infos confidentielles en mode texte, et tu as également beaucoup plus de facilité pour contrôler et entretenir ta liste de mot de passe en pouvant créer des dates d'expirations, auditer ta liste pour connaitre les mots de passe faibles, ceux qui sont utilisés plusieurs fois. Entre autres choses. Et pouvoir t'en servir en dehors de l'ecosysteme apple

avatar h-de-pierre | 

"salés et hachés" ? Qu'est-ce donc ? Pas de recettes de cuisine je suppose !

avatar DG33 | 

@h-de-pierre

Une recherche du genre « mot de passe hashé et salé » me semble être un bon début… 😁

avatar Jidus | 

Keepass, stockage local crypté. Gratuit. Open-source, securisé. Pb reglé.

avatar NOTJOJO | 

@Jidus

Tout à fait ! J’utilise KeePass sur un serveur NextCloud hébergé par OVH pour ma part. J’en suis ravi !

avatar saoullabit | 

@Jidus

Problème réglés si tu es tout seul … pas quand tu dois partager avec une équipe
Lastpass (entre autre) permet de partager des mots de passe sans que les collègues ne les connaissent et c’est super pratique.
Crypté n’existe pas c’est « chiffré » plutôt :-)

avatar Stéphane83000 | 

Secrets n’est pas mal non plus

avatar Pausanias | 

Arrêtez avec l’anti stockage en cloud primaire du siècle dernier, avec 2 clés de chiffrement comme chez 1password il n’y a absolument aucun risque. (Votre mdp maître + une clé secrète relativement longue)

avatar airmac | 

@Pausanias

Jusqu’à quand ?

avatar sebasto72 | 

@airmac

Jusqu’au changement de cet algo et des clés qui iront avec en vue de toujours rester raisonnablement bien protégés. Comme quoi l’abonnement a parfois du bon: il faut bien financer cette veille permanente chez l’éditeur.

avatar Polyme | 

C’est catastrophique et probablement la chronique d’une mort annoncée.

avatar hirtrey | 

Pour les personnes intéressées, le nombre d’itération PBKDF2 est maintenant conseillé à 600000

https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html

avatar hillel | 

Voilà pourquoi je préfère faire confiance à Mozilla ou Google pour stocker mes mots de passe plutôt qu'à une société sortie de nulle part. Oui, 1password se porte plutôt bien et on peut s'auto gérer avec Keepass ou Strongbox aussi

avatar Sindanarie | 

@hillel

Confiance à Google…

Ah… bon 🤔

avatar Selestex | 

Vivement que tous les sites web et applications passent au Passkey et qu’on soit débarrassé des mots de passe

CONNEXION UTILISATEUR