LastPass a un doozy d’un annonce mise à jour à propos d’une récente violation de données : l’entreprise – qui promet de conserver tous vos mots de passe dans un seul endroit sécurisé – dit maintenant que les pirates ont pu « copier une sauvegarde des données du coffre-fort client », ce qui signifie qu’ils ont théoriquement désormais accès à tous ces mots de passe s’ils peuvent casser les coffres volés (via Tech Crunch).
Si vous avez un compte que vous utilisez pour stocker des mots de passe et des informations de connexion sur LastPass, ou si vous en aviez un et que vous ne l’aviez pas supprimé avant cet automne, votre coffre-fort de mots de passe peut être entre les mains de pirates. Pourtant, la société affirme que vous pourriez être en sécurité si vous avez un mot de passe principal fort et ses paramètres par défaut les plus récents. Cependant, si vous avez un mot de passe principal faible ou moins de sécurité, la société indique que « comme mesure de sécurité supplémentaire, vous devriez envisager de minimiser les risques en modifiant les mots de passe des sites Web que vous avez stockés ».
Cela peut signifier changer les mots de passe pour chaque site Web que vous avez fait confiance à LastPass pour stocker.
Bien que LastPass insiste sur le fait que les mots de passe sont toujours sécurisés par le mot de passe principal du compte, il est difficile de se fier à sa parole à ce stade, compte tenu de la manière dont il a géré ces divulgations.
Lorsque la société a annoncé qu’elle avait été violée en août, elle a déclaré qu’elle ne croyait pas que les données des utilisateurs avaient été consultées. Puis, en novembre, LastPass a déclaré avoir détecté une intrusion, qui reposait apparemment sur des informations volées lors de l’incident d’août (il aurait été agréable d’entendre parler de cette possibilité entre août et novembre). Cette intrusion a permis à quelqu’un « d’accéder à certains éléments » des informations client. Il s’avère que ces « certains éléments » étaient, vous savez, les choses les plus importantes et les plus secrètes que LastPass stocke. La société affirme qu’il n’y a « aucune preuve que des données de carte de crédit non cryptées aient été consultées », mais cela aurait probablement été préférable à ce que les pirates ont fait. Au moins, il est facile d’annuler une carte ou deux.
Une sauvegarde des coffres-forts des clients a été copiée à partir du stockage cloud
Nous verrons comment tout cela s’est passé dans un instant, mais voici ce que le PDG de LastPass, Karim Toubba, dit à propos des coffres-forts pris :
L’auteur de la menace a également pu copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage crypté qui est stocké dans un format binaire propriétaire qui contient à la fois des données non cryptées, telles que des URL de sites Web, ainsi que des champs sensibles entièrement cryptés tels que les noms d’utilisateur et les mots de passe du site Web, les notes sécurisées et les données remplies par formulaire.
Toubba dit que la seule façon pour un acteur malveillant d’accéder à ces données cryptées, et donc à vos mots de passe, serait avec votre mot de passe principal. LastPass dit qu’il n’a jamais eu accès aux mots de passe principaux.
C’est pourquoi il dit, « il serait extrêmement difficile d’essayer de deviner par force brute des mots de passe principaux », tant que vous aviez un très bon mot de passe principal que vous ne réutilisiez jamais (et tant qu’il n’y avait pas de défaut technique dans la manière LastPass a crypté les données – bien que la société ait fait quelques erreurs de sécurité assez basiques avant). Mais quiconque possède ces données pourrait essayer de les déverrouiller en devinant des mots de passe aléatoires, c’est-à-dire le brute-forcing.
LastPass dit que l’utilisation de ses valeurs par défaut recommandées devraient vous protéger contre ce type d’attaque, mais il ne mentionne aucune sorte de fonctionnalité qui empêcherait quelqu’un d’essayer à plusieurs reprises de déverrouiller un coffre-fort pendant des jours, des mois ou des années. Il est également possible que les mots de passe principaux des utilisateurs soient accessibles par d’autres moyens – si quelqu’un réutilise son mot de passe principal pour d’autres connexions, il peut avoir fui lors d’autres violations de données.
Il convient également de noter que si vous avez un compte plus ancien (avant un nouveau paramètre par défaut introduit après 2018), un processus de renforcement de mot de passe plus faible peut avoir été utilisé pour protéger votre mot de passe principal. Selon LastPass, il utilise actuellement « une implémentation plus forte que la normale de 100 100 itérations de la fonction de dérivation de clé basée sur le mot de passe », mais lorsqu’un Bord membre du personnel a vérifié son ancien compte en utilisant un lien la société inclut dans son blog, elle leur a dit que leur compte était défini sur 5 000 itérations.
Les données non cryptées sont peut-être les plus préoccupantes – étant donné qu’elles incluent des URL, cela pourrait donner aux pirates une idée des sites Web avec lesquels vous avez des comptes. S’ils décidaient de cibler des utilisateurs particuliers, cela pourrait être une information puissante lorsqu’elle est combinée avec du phishing ou d’autres types d’attaques.
Si j’étais un client LastPass, je ne serais pas satisfait de la façon dont l’entreprise a divulgué cette information
Bien que rien de tout cela ne soit une bonne nouvelle, c’est quelque chose qui pourrait, en théorie, arriver à n’importe quelle entreprise stockant des secrets dans le cloud. En cybersécurité, le nom du jeu n’est pas d’avoir un bilan parfait à 100 % ; c’est la façon dont vous réagissez aux catastrophes lorsqu’elles se produisent.
Et c’est là que LastPass a, à mon avis, absolument échoué.
N’oubliez pas qu’il fait cette annonce aujourd’hui, le 22 décembre, trois jours avant Noël, une période où de nombreux services informatiques seront en grande partie en vacances et où les gens ne prêteront probablement pas attention aux mises à jour de leur gestionnaire de mots de passe.
(De plus, l’annonce n’aborde pas la partie sur les coffres copiés jusqu’à ce que cinq paragraphes dans. Et bien que certaines informations soient en gras, je pense qu’il est juste de s’attendre à ce qu’une annonce aussi importante soit tout en haut.)
LastPass indique que la sauvegarde du coffre-fort n’a pas été initialement compromise en août ; au lieu de cela, son histoire est que l’acteur de la menace a utilisé les informations de cette violation pour cibler un employé qui avait accès à un service de stockage en nuage tiers. Les coffres ont été stockés et copiés à partir de l’un des volumes accessibles dans ce stockage en nuage, ainsi que des sauvegardes contenant « des informations de base sur le compte client et les métadonnées associées ». Cela inclut des éléments tels que « les noms des entreprises, les noms des utilisateurs finaux, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass », selon LastPass.
Toubba dit que l’entreprise prend toutes sortes de précautions à la suite de la violation initiale et de la violation secondaire qui a exposé les sauvegardes, y compris l’ajout de plus de journalisation pour détecter les activités suspectes à l’avenir, la reconstruction de son environnement de développement, la rotation des informations d’identification, etc.
C’est très bien, et cela devrait faire ces choses. Mais si j’étais un utilisateur de LastPass, j’envisagerais sérieusement de quitter l’entreprise à ce stade, car nous envisageons ici l’un des deux scénarios suivants : soit l’entreprise ne savait pas que les sauvegardes contenant les coffres des utilisateurs étaient activées le service de stockage en nuage lorsqu’il a annoncé qu’il y avait détecté une activité inhabituelle le 30 novembre, ou il a fait savaient et ont choisi de ne pas informer les clients de la possibilité que des pirates y aient eu accès. Ni l’un ni l’autre n’est un bon look.