Le service de gestion des mots de passe LastPass a été piraté en août 2022 et l’attaquant a volé les mots de passe chiffrés des utilisateurs, selon une déclaration du 23 décembre de la société. Cela signifie que l’attaquant peut être en mesure de déchiffrer certains mots de passe de site Web des utilisateurs de LastPass en devinant par force brute.
Avis d’incident de sécurité récent – The LastPass Blog#lastpasshack #pirater #Dernier passage #infosec https://t.co/sQALfnpOTy
– Thomas Zickell (@thomaszickell) 23 décembre 2022
LastPass a révélé la violation pour la première fois en août 2022, mais à ce moment-là, il est apparu que l’attaquant n’avait obtenu que le code source et des informations techniques, pas de données client. Cependant, l’entreprise a enquêté et découvert que l’attaquant avait utilisé ces informations techniques pour attaquer l’appareil d’un autre employé, qui a ensuite été utilisé pour obtenir les clés des données client stockées dans un système de stockage en nuage.
En conséquence, les métadonnées client non chiffrées ont été révélé à l’attaquant, y compris « les noms de société, les noms d’utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass ».
De plus, les coffres-forts chiffrés de certains clients ont été volés. Ces coffres contiennent les mots de passe du site Web que chaque utilisateur stocke avec le service LastPass. Heureusement, les coffres sont cryptés avec un mot de passe principal, ce qui devrait empêcher l’attaquant de pouvoir les lire.
La déclaration de LastPass souligne que le service utilise un cryptage de pointe pour qu’il soit très difficile pour un attaquant de lire les fichiers du coffre-fort sans connaître le mot de passe principal, déclarant :
« Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l’aide de notre architecture Zero Knowledge. Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass.
Même ainsi, LastPass admet que si un client a utilisé un mot de passe principal faible, l’attaquant peut être en mesure d’utiliser la force brute pour deviner ce mot de passe, lui permettant de déchiffrer le coffre-fort et d’obtenir tous les mots de passe du site Web des clients, comme l’explique LastPass :
« Il est important de noter que si votre mot de passe principal n’utilise pas le [best practices the company recommends], cela réduirait considérablement le nombre de tentatives nécessaires pour le deviner correctement. Dans ce cas, comme mesure de sécurité supplémentaire, vous devriez envisager de minimiser les risques en modifiant les mots de passe des sites Web que vous avez stockés.
Les hacks du gestionnaire de mots de passe peuvent-ils être éliminés avec Web3 ?
L’exploit LastPass illustre une affirmation que les développeurs Web3 font depuis des années : que le système traditionnel de connexion par nom d’utilisateur et mot de passe doit être abandonné au profit des connexions au portefeuille blockchain.
Selon les défenseurs de la connexion au portefeuille cryptographique, les connexions par mot de passe traditionnelles sont fondamentalement non sécurisées car elles nécessitent la conservation de hachages de mots de passe sur des serveurs cloud. Si ces hachages sont volés, ils peuvent être piratés. De plus, si un utilisateur utilise le même mot de passe pour plusieurs sites Web, un mot de passe volé peut entraîner une violation de tous les autres. D’autre part, la plupart des utilisateurs ne se souviennent pas de plusieurs mots de passe pour différents sites Web.
Pour résoudre ce problème, des services de gestion de mots de passe comme LastPass ont été inventés. Mais ceux-ci s’appuient également sur des services cloud pour stocker des coffres-forts de mots de passe cryptés. Si un attaquant parvient à obtenir le coffre-fort de mots de passe à partir du service de gestion de mots de passe, il peut être en mesure de casser le coffre-fort et d’obtenir tous les mots de passe de l’utilisateur.
Les applications Web3 résolvent le problème d’une manière différente. Ils utilisent des portefeuilles d’extension de navigateur comme Metamask ou Trustwallet pour se connecter à l’aide d’une signature cryptographique, éliminant ainsi le besoin de stocker un mot de passe dans le cloud.
Mais jusqu’à présent, cette méthode n’a été standardisée que pour les applications décentralisées. Les applications traditionnelles qui nécessitent un serveur central n’ont actuellement pas de norme convenue sur la façon d’utiliser les portefeuilles cryptographiques pour les connexions.
En rapport: Facebook écope d’une amende de 265 millions d’euros pour fuite de données clients
Cependant, une récente proposition d’amélioration d’Ethereum (EIP) vise à remédier à cette situation. Appelée « EIP-4361 », la proposition tente de apporter une norme universelle pour les connexions Web qui fonctionne à la fois pour les applications centralisées et décentralisées.
Si cette norme est acceptée et mise en œuvre par l’industrie Web3, ses partisans espèrent que l’ensemble du Web mondial finira par se débarrasser complètement des connexions par mot de passe, éliminant ainsi le risque de violation du gestionnaire de mots de passe comme celle qui s’est produite chez LastPass.