LastPass piraté : finalement, c'est du sérieux

Des données volées à LastPass en août ont permis à des tiers de remonter jusqu’aux coffres-forts de mots de passe des utilisateurs finaux.

Une alerte cyber pour rien, vraiment ? Ainsi avions-nous réagi, fin août, aux déclarations de LastPass. L’entreprise américaine – filiale de GoTo, qui entend l’émanciper – avait fait part d’un incident sur son environnement de développement. Détecté deux semaines en amont, il avait entraîné le vol de code source et d’informations techniques.

À la mi-septembre, LastPass avait mis à jour son post. Il assurait, en particulier, ne pas avoir de preuves d’accès indésirables à des données de clients, y compris leurs coffres-forts des mots de passe.

Fin novembre, changement de ton : il y a effectivement eu des accès à des données de clients. Pas lors de l’incident d’août, mais grâce aux informations récupérées à cette occasion. La cible : un service tiers de stockage cloud partagé avec GoTo.

Les coffres-forts LastPass exposés

On en sait davantage depuis ce 22 décembre. Et les nouvelles ne sont pas bonnes. Dans les grandes lignes, les informations en question, récupérées en compromettant le poste d’un développeur, ont servi à attaquer un autre employé. Elles ont permis le vol de credentials et de clés, utilisés pour accéder au service tiers de stockage cloud et pour y déchiffrer des volumes.

Ces volumes consistaient en des sauvegardes de données de prod. L’attaquant a pu, affirme LastPass, copier des « informations basiques » relatives à des comptes d’utilisateurs. Ainsi que des métadonnées associées. Parmi lesquelles des noms d’entreprises, des adresses de facturation, des mails, des numéros de téléphone et des IP.

Le butin ne s’arrête pas là. Il englobe aussi des données stockées dans les coffres-forts des clients. Certaines en clair, comme des URL de sites. D’autres « complètement chiffrées »… comme les identifiants, les mots de passe, les notes sécurisées et les données de formulaires. Par « complètement chiffrées », il faut entendre « en AES-256, avec hachage, et déchiffrables uniquement avec une clé dérivée du mot de passe maître de l’utilisateur ». Mot de passe que LastPass ne connaît ni ne stocke.

Mot de passe maître : avez-vous respecté les bonnes pratiques ?

Vu le niveau de protection mis en œuvre, il est peu probable que des tiers pourront déchiffrer les données en usant de la force brute, rassure LastPass. Mais à une condition : avoir respecté les bonnes pratiques de définition du mot de passe maître. À défaut, mieux vaut, en résumé, changer, sur les sites et applications correspondants, tous les mots de passe que vous avez stockés.

Une particularité pour les clients Business : ceux qui ont implémenté la fédération d’identité n’ont, officiellement, pas à s’inquiéter. Cette fonctionnalité implique effectivement un mot de passe maître caché. Il résulte de la combinaison de plusieurs chaînes aléatoires (de 256 bits ou 32 caractères). L’attaquant n’a pas eu accès à ces fragments, qu’il fussent stockés chez des fournisseurs d’identité tiers ou sur l’infrastructure LastPass. En outre, ils ne figuraient pas dans les sauvegardes.

Lire aussi : Piratage de LastPass : la situation en trois points