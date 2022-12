LastPass confirme que des pirates ont volé son coffre-fort de mots de passe, ce que vous devez savoir.



En août dernier, le gestionnaire de mots de passe LastPass a été victime d'une violation de sécurité qui a entraîné le vol d'informations techniques exclusives et de parties du code source de l'entreprise. Les pirates ont ensuite utilisé les informations volées pour violer à nouveau LastPass à la fin du mois de novembre. Peu après cette nouvelle violation, la société a révélé que des acteurs menaçants avaient volé des informations sur ses clients, sans toutefois préciser lesquelles. Aujourd'hui, le PDG de LastPass, Karim Toubba, a publié une mise à jour révélant que les pirates ont réussi à accéder aux coffres-forts de mots de passe des clients.







La violation du mois d'août a touché l'environnement de développement de LastPass, qui ne contenait aucune information sur les clients. Cependant, la cible de la violation la plus récente était un service de stockage en nuage contenant des sauvegardes hors site des données des clients. Les pirates ont utilisé les informations volées lors de la violation du mois d'août pour cibler un employé de LastPass, probablement dans le cadre d'une attaque par hameçonnage, et obtenir les clés d'accès et de déchiffrement du conteneur de stockage en nuage de l'entreprise. Grâce à ces clés, les acteurs de la menace ont pu obtenir un accès non autorisé au conteneur de stockage et faire des copies des données de sauvegarde qui y sont stockées.



Les données volées comprennent des informations sur les comptes clients et des métadonnées, telles que des noms d'entreprise, des noms d'utilisateur, des adresses de facturation, des adresses électroniques, des numéros de téléphone et des adresses IP, ainsi que des données de coffre-fort. Ces chambres fortes sont celles où sont stockés les mots de passe et autres informations d'identification des clients. Bien que les acteurs de la menace possèdent désormais des copies de ces coffres, tous les mots de passe, noms d'utilisateur, notes sécurisées et données remplies dans les formulaires restent chiffrés. Cependant, contrairement aux coffres-forts de certains gestionnaires de mots de passe comme Bitwarden, les coffres-forts des clients de LastPass contiennent certaines données non cryptées, notamment les URL des sites Web associés à chaque entrée du coffre-fort. Ces informations non cryptées pourraient permettre aux acteurs de la menace de déterminer les sites Web sur lesquels les utilisateurs de LastPass ont des comptes.



Cependant, la menace ne s'arrête pas là. Il est important de noter que les acteurs de la menace disposent désormais de leur propre copie des coffres-forts des clients de LastPass. Plutôt que de tenter d'accéder aux informations cryptées contenues dans les coffres des clients directement sur les serveurs de LastPass, où les mesures de sécurité pourraient repousser les tentatives répétées d'accès non autorisé, les acteurs de la menace sont libres d'employer toutes sortes de méthodes pour percer le cryptage selon leurs propres termes. Les acteurs de la menace peuvent s'efforcer de décrypter les données des coffres-forts des clients hors ligne, sans qu'aucune piste ne permette de remonter jusqu'à eux, et les clients ne recevront aucune notification d'accès non autorisé, si les acteurs de la menace parviennent à décrypter les données des coffres-forts volés.







Les clients de LastPass doivent immédiatement changer les mots de passe principaux de leurs comptes, car les acteurs de la menace vont très probablement commencer à mener des attaques de phishing contre les clients de LastPass en utilisant les adresses électroniques et les numéros de téléphone volés dans la brèche. Leur objectif sera de tromper les clients de LastPass pour qu'ils donnent leurs mots de passe principaux. Les acteurs de la menace peuvent ensuite essayer d'utiliser les mots de passe ainsi volés pour déterminer les clés de chiffrement qui protègent les données cryptées des coffres-forts des utilisateurs. Cependant, les mots de passe maîtres volés lors d'attaques de phishing seront inutiles à cette fin si les mots de passe volés sont de nouveaux mots de passe mis en place après le vol des données de la chambre forte. Les acteurs de la menace peuvent également essayer d'utiliser des mots de passe volés lors d'autres violations de données. Toutefois, tant que les clients de Last Pass ont utilisé des mots de passe uniques comme mots de passe principaux, cette technique ne fonctionnera pas.



Si les auteurs de menaces parviennent à obtenir les mots de passe principaux des clients de LastPass, ils n'auront pas immédiatement accès aux données cryptées des clients. Les données cryptées du coffre-fort de chaque client sont protégées par une clé dérivée du mot de passe principal de l'utilisateur. LastPass génère cette clé en appliquant la fonction de dérivation de clé PBKDF2 à un mot de passe principal un nombre déterminé de fois. La norme actuelle de LastPass pour la génération de la clé est de 100 100 itérations de la fonction de dérivation, ce qui rend assez difficile pour les acteurs de la menace de déterminer la clé de chiffrement d'un utilisateur par l'application de la puissance de calcul de la force brute.



Cela dit, le nombre de 100 100 itérations est nettement inférieur aux 310 000 itérations recommandées par l'Open Web Application Security Project (OWASP). En outre, même la norme des 100 100 itérations est quelque peu nouvelle pour LastPass, et certains comptes LastPass plus anciens sont encore protégés par des clés générées en utilisant seulement 5 000 itérations de la fonction de dérivation. En pratique, ces anciens comptes seront beaucoup plus faciles à craquer.



L'ouverture de données cryptées n'est pas une question de savoir si cela peut arriver, mais quand. Dans le meilleur des cas pour les utilisateurs de LastPass, il faudra peut-être des milliers d'années aux acteurs de la menace pour percer le cryptage à l'aide des outils de décryptage actuellement disponibles. Cependant, la puissance de calcul augmente avec le temps, ce qui signifie que le temps nécessaire pour décrypter les données volées dans le coffre-fort diminuera également avec le temps. Bien que cela puisse être pénible, les utilisateurs de LastPass devraient non seulement changer leurs mots de passe principaux, mais aussi tous les mots de passe stockés dans leurs coffres. Les acteurs de la menace ne seront peut-être pas en mesure de briser le cryptage des données des coffres-forts des utilisateurs et d'accéder à leurs mots de passe stockés demain, mais maintenant que les données sont disponibles, cela pourrait se produire à tout moment dans le futur, et les utilisateurs de LastPass devraient donc prendre des mesures dès maintenant.



HOTHARDWARE