« Incidents » LastPass : données personnelles et mots de passe chiffrés dans la nature

Jusqu'au prochain épisode
Internet 5 min
« Incidents » LastPass : données personnelles et mots de passe chiffrés dans la nature

En août dernier, LastPass révélait une brèche dans ses défenses. Le mois suivant, on apprenait que le pirate avait réussi à voler du code source et des données utilisateurs, mais sans rien de grave. Hier, l’entreprise a cependant apporté de nouveaux détails, et la situation est en fait bien plus sérieuse que prévu.

On savait depuis cet été que LastPass s’était fait voler du code source et des informations techniques propriétaires. Au moment de cette annonce, les mots de passe maîtres, mots de passe chiffrés, informations personnelles et autres étaient épargnés. Il se trouve que la situation est loin d’être aussi simple.

Fin novembre, les données récupérées par les pirates étaient utilisées pour accéder à « un service tiers de stockage dans le cloud », avec cette fois-ci des conséquences directes pour les clients : les pirates avaient en effet pu « accéder à certaines informations », sans plus de précisions sur l’étendue des dégâts. 

Dans une mise à jour publiée hier soir – la troisième depuis cet été –, LastPass avertit que des données des clients ont bien été atteintes, tant les informations personnelles que les métadonnées : nom et prénom, nom de l’entreprise, adresse de facturation, email, numéro de téléphone ou encore IP. Autant d’informations qui permettent de mettre en place des campagnes de phishing, la prudence reste donc de mise. 

Des données chiffrées et en clair dans la nature

Encore plus grave, des coffres-forts de clients se trouvaient dans des « conteneurs chiffrés » – stockés dans « un format binaire propriétaire », sans autre précision – qui ont pu être copiés par le pirate. On y retrouve à la fois des informations non chiffrées classiques telles que des URL, mais surtout les données chiffrées très sensibles composant le cœur du service : identifiants, mots de passe, notes sécurisées et éléments de remplissage pour les formulaires.

Karim Toubba, PDG de LastPass, a repris la plume pour apporter les mauvaises nouvelles. Il a vite précisé que « ces champs chiffrés restent en sécurité avec un chiffrement AES 256 bits », qui « ne peut être déchiffré qu’avec une clé de chiffrement dérivée du mot de passe maître de chaque utilisateur, en utilisant notre architecture Zero Knowledge ». Cette dernière signifie que l’entreprise n’a pas de visibilité sur les données des utilisateurs.

Ce que redit d’ailleurs Toubba : « Pour rappel, le mot de passe maître n’est jamais connu de LastPass et n’est pas stocké ou maintenu par LastPass. Le chiffrement et le déchiffrement des données sont réalisés uniquement en local par le client LastPass ». 

Tout n’est pas encore clair

LastPass ajoute que rien ne permet de supposer que les données non chiffrées des cartes bancaires ont été accédées, ces informations étant partielles et stockées dans l’instance cloud à laquelle le pirate a eu accès. 

En outre, même si les données chiffrées des utilisateurs ne peuvent a priori pas être lues, l’opération n’est pas impossible en théorie, mais elle n’est pas réalisable dans la pratique, sauf à découvrir une faille dans l’algorithme… ou à récupérer le mot de passe maitre de l’utilisateur. Si le mot de passe maitre est trop facilement devinable ou s’il a été utilisé sur d’autres services, il faut le changer sans attendre.

On ne sait pas non plus combien de personnes ont vu leurs données copiées par le pirate, ni de quand datent ces informations. La situation reste dans tous les cas beaucoup plus grave qu’escompté, au vu de la quantité significative de données récupérées. Rien ne dit qu’une prochaine mise à jour de la situation ne viendra pas noircir encore le tableau.

Officiellement, aucune action recommandée

Selon LastPass, il n’y a pas d’actions recommandées à ce stade, si ce n’est faire preuve de prudence face aux attaques par phishing et si votre mot de passe maitre est trop faible et/ou utilisé plusieurs fois.

LastPass rappelle quelques règles de bon sens : la société « ne vous appellera jamais, ne vous enverra jamais d’e-mail ou de SMS pour vous demander de cliquer sur un lien pour vérifier vos informations personnelles. Sauf lorsque vous vous connectez à votre coffre-fort à partir d’un client LastPass, la société ne vous demandera jamais votre mot de passe principal ».

L’éditeur recommande également que les mots de passe maîtres fassent au moins 12 caractères de long avec des différents caractères. Ils sont également protégés, entre autres, par 100 100 itérations de Password-Based Key Derivation Function (PBKDF2). Nombre que les utilisateurs peuvent d’ailleurs augmenter dans les options du compte. Ce ne serait d’ailleurs pas un mal, car le NIST américain recommande 310 000 itérations pour le SHA256 qu’utilise LastPass (120 000 pour SHA512).

LastPass affirme qu’il faudrait – avec un mot de passe maitre respectant les recommandations – des millions d’années pour récupérer le mot de passe maître avec les outils communément utilisés, l’entreprise dit réaliser régulièrement des tests contre ses propres infrastructures. Si vous ne l’avez pas encore activé, nous vous recommandons aussi d’activer l’authentification à deux facteurs. Vous pouvez aussi utiliser une connexion sans mot de passe, avec LastPass Authenticator, de la biométrie ou une clé de sécurité.

L’entreprise dit avoir procédé à de nombreux travaux depuis août. L’environnement de développement qui avait été attaqué – en piégeant l’un des développeurs de LastPass pour rappel – a été « entièrement décommissionné » et rebâti depuis zéro. Les mécanismes d’authentification, processus et machines de développement ont été remplacés et leur sécurité renforcée. Cela n’a pour autant pas empêché une nouvelle attaque fin novembre. 

L’analyse est toujours en cours

Concernant les derniers développements, LastPass indique qu’une « analyse exhaustive » est faite pour tous les comptes présentant une activité inhabituelle. Cette analyse étant en cours, cela explique sans doute pourquoi on ne connait pas encore le nombre de personnes concernées. Un peu moins de 3 % des clients professionnels ont en tout cas déjà été contactés pour agir sur la configuration de leur compte, quand elle est jugée trop légère.

LastPass souligne encore une fois que toutes les autorités compétentes ont été averties et que d’autres informations seront publiées par la suite. Les éventuelles personnes concernées seront contactées s’il y a des actions à entreprendre.

Il n’en reste pas moins que la situation est compliqué pour LastPass, surtout pour son image de marque. Le vol des coffres-forts de ses clients avec les mots de passes chiffrés est un vrai coup dur. La société joue sur la transparence pour rassurer ses clients, mais le manque de précisions sur certains points et les incidents à répétitions ne sont pas rassurants. 

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !