Attaque de LastPass : l'ordinateur d'un développeur avait été piraté
Nouveau rebondissement dans l'affaire LastPass, le gestionnaire de mot de passe qui s'est fait pirater courant 2022. Dans un billet publié sur son site d’assistance, l'entreprise a confirmé que l'ordinateur personnel d'un employé avait été piraté. Cela a offert aux malandrins l'accès à un dossier partagé réservé à une poignée de développeurs de LastPass, qui contenait des informations précieuses. On y trouvait notamment les clés de chiffrement permettant d'accéder aux sauvegardes des coffres-forts des clients, ce qui a permis aux hackers d'en effectuer une copie.
Comment ont-ils réussi à entrer dans ce dossier surprotégé ? L'entreprise explique qu'une première attaque a visé LastPass jusqu'au 12 août, puis qu'une seconde a eu lieu jusqu'à la fin octobre. Cette deuxième intrusion a consisté en « une série d'activités de reconnaissance, de recensement et d'exfiltration » axée sur l'environnement de stockage en nuage de l'entreprise. Les pirates ont décidé de cibler les ingénieurs ayant accès aux code de sécurité les plus précieux :
Plus précisément, l'acteur de la menace a été en mesure d'exploiter les informations d'identification valides volées à un ingénieur DevOps senior pour accéder à un environnement de stockage en nuage partagé. […] Pour ce faire, il a ciblé l'ordinateur personnel d'un ingénieur et exploité un logiciel tiers vulnérable, qui permettait d'exécuter du code à distance et d'implanter un logiciel malveillant enregistreur de frappe (keylogger).
Les pirates ont pu capturer le mot de passe principal de l'employé au moment de sa saisie et accéder à son coffre-fort professionnel. LastPass précise qu'étant donné que les hackeurs ont utilisé des logins légitimes, il a été plus difficile de repérer leur activité. L'ingénieur DevOps piraté était l'un des quatre seuls employés de LastPass ayant accès au coffre-fort de l'entreprise.
LastPass a finalement détecté le comportement anormal par le biais des alertes AWS, lorsque l'acteur de la menace a tenté d'effectuer une action non autorisée. LastPass annonce qu'elle a depuis mis à jour sa stratégie de sécurité, notamment en changeant régulièrement les informations d'identification sensibles et les clés/tokens d'authentification, mais aussi en révoquant les certificats. Des alertes plus strictes ont également été mises en place.
Ce genre d’event pourrait-il survenir chez 1Password ou iCloud ?
@monsieurg33K
Non, même si la même action était faite chez 1Password, les coffres ont un chiffrement supplémentaire avec la clé unique générée automatiquement à la création du compte.
Les voleurs auraient donc les coffres et pourraient brute forcer les mots de passes mais ils ne pourraient pas récupérer la clé de chiffrement unique (une 20aine de caractère).
Sans compter que tu peux activer une double authentification
@Lameth
Comment cela se passe sur 1password quand le téléphone qui contient la clé est cassé ?
@koko256
La clé n’est pas dépendante du téléphone. Elle est livrée à la création du compte. C’est à vous de la stocker comme bon vous semble de façon sécurisée. Si le téléphone tombe en panne il suffira de reinstaller l’app sur le nouveau téléphone, remettre son identifiant et mettre la clé.
Si vous perdez la clé vous perdez accès au compte.
@Lameth
Merci pour l'info !
@monsieurg33K
c’est compliqué a dire. il s’agit ici malheureusement d’un procédé d’attaque assez classique, qui pourrait potentiellement être mené ailleurs. tout depend de ce qui se fait chez les concurrents. mais la protection des données semblait plus forte chez 1Password
@monsieurg33K
Ben on ne sait pas comment c’est organisé en interne ni les accès des employés sur les données. Pour ça que normalement il est bon que les données des utilisateurs soient chiffres en « end to end ».
Les seules solutions viables sont celles qui sont surveillées et analysées par des spécialistes de sécurité.
De mon côté c’est keepass et Bitwarden. Les deux sont des solutions open source dont le code est analysé régulièrement par des spécialistes sécurités.
heuuu... les clés de chiffrement sont dans un dossier partagé accessible depuis un ordinateur personnel ? ils sont sérieux là ?
@Laurent A
Manifestement non. C'est lamentable.
@Laurent A
la redaction est ambiguës, mais pas nécessairement. c’est peut-être qqn avec un accès, puisque l’on parle de vol d’identifiants.
pourquoi les mécanismes de 2FA n’ont pas aidé - ou s’ils ont aussi été contournés - c’est une autre question.
@Sometime
Si run keylogger permet de récupérer le mot de passe et permet de se connecter il n’y avait pas de 2fa…
Dire que moi je me fais c**** à chaque fois que je me connecte à AWS à récupérer le code sur mon téléphone avec Google Authenticator...
Pas très sérieux tout ça...
@madaniso
C’est pour la sécurité.
Oui mais ce devops senior n'en avait visiblement pas...
Le pire dans cette histoire, c'est la confiance brisée avec les utilisateurs
@madaniso
Si tu savais ce que je voyais au quotidien et le combat permanent que c’est de maintenir de bonnes pratiques de sécurité en entreprise.
De manière générale, il y a deux solutions qui s’offrent aux entreprises qui ont vécu un événement de sécurité:
l’ignorer et continuer tout comme avant
*changer de manière radicale en renforçant comme des dingues tout ce qui allait pas.
LastPass en a clairement rien à faire. Je ne les considérais déjà pas comme sérieux depuis plusieurs années, pour des raisons que j’ai oublié depuis, et les derniers événements ont renforcé mon avis négatif.
@eX0
la raison c’est que ce n’est pas la première fois qu’ils ont des soucis du genre même si là ça semble encore plus grave…
C'est assez absurde que ces informations ne soient pas stockées sur Lastpass lui-même avec un accès restreint à une connexion + 2FA...
En même temps, les variables et identifiants utilisés dans un contexte de développement ne se prêtent pas trop à l'utilisation d'un gestionnaire de mots de passe. Il faut les laisser accessibles à un traitement automatisé. Mais de là à les conserver en clair sur un dossier partagé...
Sauriez-vous pourquoi des sites ne proposent pas la double authentification, s’il vous plait ?
Mais juste un identifiant et un mot de passe
Y a-t-il mieux que la double authentification ?
Mis à part ne pas utiliser internet , du tout .
@scanmb
Je vais me répéter ici mais je ne comprends toujours pas que des sites comme Netatmo ne proposent toujours pas la double authentification 😡 sachant que des données sensibles y sont disponibles comme l'accès aux caméras ou aux données de santé ! Ça m'énerve !!!
@powergeek
Mettez un mot de passe solide (30 caractères tirés au hasard) et, s'il est stocké correctement chez netatmo, aucun soucis.
@koko256
" s'il est stocké correctement chez Netatmo"
vu les stratégies de sécurité défaillantes dans énormément d'entreprises, je ne crois plus en cette possibilité par défaut malheureusement.
@koko256
Le mot de passe peut bien faire 50 caractères, s’il fuite directement depuis une faille de sécurité du serveur ça ne servira pas à grand chose. L’idéal c’est la double authentification ou l’utilisation d’un accessoire de sécurité qui le permet.
@Bounty23
Si le mot de passe est stocké haché, avec ou sans graine, et qu'il fait 50 caractères aléatoires, je souhaite bonne chance aux voleurs pour retrouver le mot de passe original...
Si en plus c'est haché avec PBKDF2 et 1000000 itérations, ce n'est même plus de la chance qu'il faut.
Et si le mot de passe est stocké en clair, normalement la cnil doit leur tomber dessus pour non respect du rgpd.
Pour ce faire, il a ciblé l'ordinateur personnel d'un ingénieur et exploité un logiciel tiers vulnérable
Moralité, ne jamais utiliser un appareil personnel pour le travail, même pas un iPhone (bien que certaines entreprises exigent presque d'utiliser son téléphone personnel pour les authentifications double facteur - ce que j'ai refusé.)
Et côté entreprise, au contraire de ce qui est souvent pratiqué, il faudrait interdire l'usage d'appareils personnels pour le travail - ce qui va à l'opposé des campagnes "bring your own device".
@marc_os
Le bring your own device ne doit pas être du « free for all » non plus.
Si ils avaient déjà du 2FA avec une application qui délivre un code pour se connecter ou un Yubikey, ils auraient déjà eu un accès limité qui aurait empêché aux pirates d’aller aussi loin.
Après il y a des prerequis qui peuvent être mis à l’établissement d’une connexion (que le device soit à jour, avec une solution antivirus, etc).
Ensuite une politique de sécurité réelle c’est aussi ne pas mettre des clefs d’accès sur un partage … désolé mais c’est inacceptable ça encore et ça n’a rien à voir avec du BYOD. C’est dommage qu’ils n’aient pas une solution qui peut stocker ds manière sécurisée là encore des informations critiques et qui peut être partagé entre utilisateurs…
BYOD ou pas la culture de la sécurité informatique est inexistante chez eux et un ordi d’entreprise aurait été corrompu pareil.
"l'entreprise a confirmé que l'ordinateur => personnel <= d'un employé avait été piraté. Cela a offert aux malandrins l'accès à un dossier partagé réservé à une poignée de développeurs de LastPass, qui contenait des informations précieuses
Oh putain, le summum de la connerie pour une entreprise censée garantir un haut niveau de sécurité. Qu'un développeur puisse héberger du contenu pro de la plus haute importance sur son pc personnel, c'est inacceptable. Moi, Président, euhhh non, moi patron d'la boîte je licencie pour faute grave, ce n'est pas pardonnable à ce niveau. Alors oui l'erreur est humaine, mais les conséquences ont ou auraient pu d'une gravité sans précédent si les hackers avaient fini par pénétrer dans les coffres et se connecter à tous les comptes.
100% d'accord... Sur mon ordi perso je fais ce que je veux et si je reçois une email vérolé ou que je vais sur un site douteux c'est mon problème... Je mets pas la boite en danger
LastPass est un gruyère avec des pratiques de sécurité douteuse que ce soit aux niveaux des employés comme de la solution.
Chaque fois que je lis un article les concernant ils repoussent les limites du manque de sérieux en sécurité.
C’est pitoyable.
Le développeur installé en Thaïlande 🤣
C'est comme dans 98% des cas, l’interface entre le siège et le clavier est la source du dysfonctionnement, ici particulièrement grave compte tenu de la nature des droits accordés à un individu au comportement pour le moins léger.
Nous le voyons à chaque fois qu’un problème de fuite de données est publié : ce qu’il faut comprendre c’est qu’aucun système n’est fiable à 100%.
Nous ne savons pas comment est géré la sécurité dans toutes ces entreprises.
Et surtout comment CHAQUE personne applique les règles de sécurité. C’est tellement plus facile et plus rapide de stocker quelques données en clair sur son ordi ou sur son iPhone, plutôt que d’appliquer des contraires de sécurité chronophages et fastidieuses… (vous ne le faites jamais, vous ?)
Et bien sûr, ce qui attire le plus les malandrins, ce sont vos sous… auxquels ils pourront accéder facilement une fois qu’ils auront récupéré vos mots de passe… qui sont tous stockés sur les serveurs de 1Password, de Lastpass ou d’autres entreprises de ce type.
Moralité : ne PAS stocker ses mots de passe en ligne.
Tien, pour la petite histoire, mon père laissait toujours son nº de CB sur son compte Amazon (et chez d’autres commerçants aussi…). A son décès, j’ai supprimé toutes ses coordonnées bancaires de tous ses comptes commerçants.
Coup de bol, car 15 j après, toute une série de comptes Amazon ont été piratés, dont celui de mon père. A la place de son adresse mail, il y avait une adresse en .ru donc russe.
Je vous laisse imaginer le sac de noeuds s’il avait fallu gérer en même temps une succession et des arnaques sur le compte en banque de mon père…
Hallucinant !!
Ils ont un accès à des données hyper sensibles pour leur boîte, et il n'y a pas de 2FA avec clé supplémentaire !??
Ça achève encore plus la perte de crédibilité qui avait déjà fait son chemin à l'annonce du piratage.