LastPass, l’un des principaux gestionnaires de mots de passe, a déclaré que les pirates ont obtenu une multitude d’informations personnelles appartenant à ses clients ainsi que des mots de passe cryptés et cryptographiquement hachés et d’autres données stockées dans les coffres-forts des clients.
La révélation, publiée jeudi, représente une mise à jour spectaculaire d’une brèche que LastPass a révélée en août. À l’époque, la société a déclaré qu’un acteur de la menace avait obtenu un accès non autorisé via un seul compte de développeur compromis à des parties de l’environnement de développement du gestionnaire de mots de passe et « avait pris des parties du code source et certaines informations techniques propriétaires de LastPass ». La société a déclaré à l’époque que les mots de passe principaux des clients, les mots de passe cryptés, les informations personnelles et les autres données stockées dans les comptes clients n’étaient pas affectés.
Données sensibles, cryptées ou non, copiées
Dans la mise à jour de jeudi, la société a déclaré que les pirates avaient accédé aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d’utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux services LastPass. Les pirates ont également copié une sauvegarde des données du coffre-fort client qui comprenait des données non cryptées telles que des URL de sites Web et des champs de données cryptés tels que des noms d’utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires.
« Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l’aide de notre architecture Zero Knowledge », a écrit le PDG de LastPass, Karim Toubba, faisant référence au schéma de cryptage avancé et un peu taux considéré comme fort. Zero Knowledge fait référence à des systèmes de stockage impossibles à décrypter pour le fournisseur de services. Le PDG a poursuivi :
Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local. Pour plus d’informations sur notre architecture Zero Knowledge et nos algorithmes de chiffrement, veuillez cliquer ici.
La mise à jour indique que dans l’enquête de la société jusqu’à présent, rien n’indique que des données de carte de crédit non cryptées ont été consultées. LastPass ne stocke pas les données de carte de crédit dans leur intégralité, et les données de carte de crédit qu’il stocke sont conservées dans un environnement de stockage en nuage différent de celui auquel l’acteur de la menace a accédé.
L’intrusion révélée en août qui a permis aux pirates de voler le code source de LastPass et des informations techniques propriétaires semble liée à une violation distincte de Twilio, un fournisseur de services d’authentification et de communication à deux facteurs basé à San Francisco. L’auteur de la menace dans cette brèche a volé les données de 163 des clients de Twilio. Les mêmes hameçonneurs qui ont frappé Twilio ont également violé au moins 136 autres entreprises, dont LastPass.
La mise à jour de jeudi a indiqué que l’acteur de la menace pourrait utiliser le code source et les informations techniques volés à LastPass pour pirater un employé de LastPass distinct et obtenir des informations d’identification et des clés de sécurité pour accéder et décrypter les volumes de stockage au sein du service de stockage basé sur le cloud de l’entreprise.
« À ce jour, nous avons déterminé qu’une fois la clé d’accès au stockage en nuage et les clés de déchiffrement du conteneur de stockage double obtenues, l’acteur malveillant a copié des informations à partir de la sauvegarde contenant des informations de base sur le compte client et les métadonnées associées, y compris les noms de société, les noms d’utilisateur final, la facturation. adresses, adresses e-mail, numéros de téléphone et adresses IP à partir desquelles les clients accédaient au service LastPass », a déclaré Toubba. « L’acteur de la menace a également pu copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage crypté, qui est stocké dans un format binaire propriétaire qui contient à la fois des données non cryptées, telles que les URL de sites Web, ainsi que des champs sensibles entièrement cryptés, tels que noms d’utilisateur et mots de passe de site Web, notes sécurisées et données remplies par formulaire.
Les représentants de LastPass n’ont pas répondu à un e-mail demandant combien de clients avaient leurs données copiées.
Renforcez votre sécurité maintenant
La mise à jour de jeudi a également répertorié plusieurs solutions que LastPass a prises pour renforcer sa sécurité suite à la violation. Les étapes comprennent la mise hors service du développement piraté et sa reconstruction à partir de zéro, la conservation d’un service géré de détection et de réponse des terminaux et la rotation de toutes les informations d’identification et certificats pertinents susceptibles d’avoir été affectés.
Compte tenu de la sensibilité des données stockées par LastPass, il est alarmant qu’un si large éventail de données personnelles ait été obtenu. Le fait que les coffres-forts des utilisateurs sont désormais entre les mains de l’auteur de la menace est également préoccupant. Alors que déchiffrer les hachages de mot de passe nécessiterait des quantités massives de ressources, ce n’est pas hors de question, en particulier compte tenu de la méthode et de l’ingéniosité de l’acteur de la menace.
Les clients LastPass doivent s’assurer qu’ils ont changé leur mot de passe principal et tous les mots de passe stockés dans leur coffre-fort. Ils doivent également s’assurer qu’ils utilisent des paramètres qui dépassent la valeur par défaut de LastPass. Ces paramètres hachent les mots de passe stockés à l’aide de 100 100 itérations de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2), un schéma de hachage qui peut rendre impossible le déchiffrage de mots de passe principaux longs, uniques et générés de manière aléatoire. Les 100 100 itérations sont terriblement en deçà du seuil de 310 000 itérations recommandé par l’OWASP pour PBKDF2 en combinaison avec l’algorithme de hachage SHA256 utilisé par LastPass. Les clients LastPass peuvent vérifier le nombre actuel d’itérations PBKDF2 pour leurs comptes ici.
Qu’ils soient utilisateurs de LastPass ou non, tout le monde devrait également créer un compte sur Have I been Pwned? pour s’assurer qu’ils sont informés dans les plus brefs délais de toute violation les concernant.
Les clients de LastPass doivent également être très attentifs aux e-mails et appels téléphoniques de phishing prétendument de LastPass ou d’autres services à la recherche de données sensibles et d’autres escroqueries qui exploitent leurs données personnelles compromises. La société propose également des conseils spécifiques aux clients professionnels qui ont mis en œuvre les services de connexion fédérée LastPass.