Une alerte cyber pour rien, vraiment ? Ainsi avions-nous réagi, fin août, aux déclarations de LastPass. L’entreprise américaine – filiale de GoTo, qui entend l’émanciper – avait fait part d’un incident sur son environnement de développement. Détecté deux semaines en amont, il avait entraîné le vol de code source et d’informations techniques.
À la mi-septembre, LastPass avait mis à jour son post. Il assurait, en particulier, ne pas avoir de preuves d’accès indésirables à des données de clients, y compris leurs coffres-forts des mots de passe.
Fin novembre, changement de ton : il y a effectivement eu des accès à des données de clients. Pas lors de l’incident d’août, mais grâce aux informations récupérées à cette occasion. La cible : un service tiers de stockage cloud partagé avec GoTo.
On en sait davantage depuis ce 22 décembre. Et les nouvelles ne sont pas bonnes. Dans les grandes lignes, les informations en question, récupérées en compromettant le poste d’un développeur, ont servi à attaquer un autre employé. Elles ont permis le vol de credentials et de clés, utilisés pour accéder au service tiers de stockage cloud et pour y déchiffrer des volumes.
Ces volumes consistaient en des sauvegardes de données de prod. L’attaquant a pu, affirme LastPass, copier des « informations basiques » relatives à des comptes d’utilisateurs. Ainsi que des métadonnées associées. Parmi lesquelles des noms d’entreprises, des adresses de facturation, des mails, des numéros de téléphone et des IP.
Le butin ne s’arrête pas là. Il englobe aussi des données stockées dans les coffres-forts des clients. Certaines en clair, comme des URL de sites. D’autres « complètement chiffrées »… comme les identifiants, les mots de passe, les notes sécurisées et les données de formulaires. Par « complètement chiffrées », il faut entendre « en AES-256, avec hachage, et déchiffrables uniquement avec une clé dérivée du mot de passe maître de l’utilisateur ». Mot de passe que LastPass ne connaît ni ne stocke.
Vu le niveau de protection mis en œuvre, il est peu probable que des tiers pourront déchiffrer les données en usant de la force brute, rassure LastPass. Mais à une condition : avoir respecté les bonnes pratiques de définition du mot de passe maître. À défaut, mieux vaut, en résumé, changer, sur les sites et applications correspondants, tous les mots de passe que vous avez stockés.
Une particularité pour les clients Business : ceux qui ont implémenté la fédération d’identité n’ont, officiellement, pas à s’inquiéter. Cette fonctionnalité implique effectivement un mot de passe maître caché. Il résulte de la combinaison de plusieurs chaînes aléatoires (de 256 bits ou 32 caractères). L’attaquant n’a pas eu accès à ces fragments, qu’il fussent stockés chez des fournisseurs d’identité tiers ou sur l’infrastructure LastPass. En outre, ils ne figuraient pas dans les sauvegardes.
Photo d’illustration © Rawpixel.com – Adobe Stock
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement de BNP Paribas utilise l'IA pour proposer des stratégies d’investissement individualisées, en…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…