Depuis l’annonce initiale du grand vol de données chez LastPass il y a un an, les mauvaises nouvelles s’enchainent pour l’entreprise. Aujourd’hui, un faisceau d’indices laisse entendre que les informations dérobées auraient été exploitées pour cibler des détenteurs de vastes portefeuilles de cryptomonnaies.
L’année écoulée a été complexe pour LastPass. Une importante brèche de sécurité a été révélée en août dernier. Depuis, les informations publiées vont presque toutes dans un seul sens : la sécurité n’était pas au niveau que l’on s’attend à avoir d’un gestionnaire de mots de passe, d’autant plus quand on considère l’extrême sensibilité des données hébergées par le service.
Or, Brian Krebs (spécialiste en cybersécurité) a publié mardi un nouveau billet sur son blog KrebsOnSecurity consacré aux potentielles conséquences de cette brèche. De nombreux signes pointeraient en direction d’un vol organisé de cryptoactifs.
Plusieurs enquêtes, des résultats identiques
Krebs raconte comment Taylor Monahan, la responsable produit chez l’éditeur de portefeuille de cryptomonnaie MetaMask, mène l’enquête depuis plusieurs mois. Elle fait partie d’un groupe de chercheurs récoltant des indices sur plusieurs vols très importants de cryptomonnaies ayant eu lieu depuis fin décembre 2022, affectant plus de 150 personnes pour un total dépassant les 35 millions de dollars.
Selon Monahan, qui suit de près la situation et a été en contact avec de nombreuses victimes, un fil conducteur a rapidement émergé. Toutes étaient des investisseurs de longue date dans les cryptoactifs, toutes raisonnablement formées en sécurité, et donc peu susceptibles de tomber dans les pièges courants, voire grossiers.
Surtout, et toujours selon elle, aucune de ces personnes n’a subi précédemment certains types d’attaques perpétrés pour préparer le terrain, comme la compromission d’un compte email. Autre élément commun, les victimes étaient toutes profondément impliquées dans les écosystèmes des cryptomonnaies, particulièrement Ethereum. Certaines sont mêmes employées par des entreprises du secteur. Surtout, toutes les personnes interrogées étaient utilisatrices de LastPass.
Les suites du grand casse chez LastPass ?
En conséquence, dans sa série de tweets du 28 août, elle en vient à formuler une hypothèse : les personnes concernées ont vu leurs comptes de cryptoactifs être vidés par une ou plusieurs personnes possédant la clé privée, c’est-à-dire une longue phrase de passe, qui a peut-être été obtenue dans les coffres-forts dérobés à LastPass l’année dernière.
Cette clé privée est bien sûr au centre de tout. Aucune protection n’est réellement efficace si un pirate réussit à s’en emparer.
L’analyse est identique pour Nick Bax, directeurs des analyses chez Unciphered, spécialisée dans la récupération des portefeuilles de cryptoactifs après incident. « Si vous avez ma phrase de base, vous pouvez la copier et la coller dans votre portefeuille, et vous pourrez alors voir tous mes comptes. Et vous pouvez transférer mes fonds ».
Il indique que c’est « l'une des enquêtes les plus vastes et les plus complexes sur les cryptomonnaies » qu’il ait pu voir. « J'ai effectué ma propre analyse à partir de leurs données et je suis arrivé à la même conclusion que Taylor. L'acteur malveillant a transféré les fonds volés à plusieurs victimes vers les mêmes adresses de la blockchain, ce qui a permis d'établir un lien étroit entre ces victimes et l'acteur de la menace ».
C’est l’un des points forts en effet de ces enquêtes : il semble que tous les transferts aient été réalisés vers un très petit nombre d’adresses sur la blockchain Ethereum. Selon Brian Krebs qui a interrogé Monahan, Bax et d’autres chercheurs/experts, toutes les enquêtes évoquent le même faisceau d’indices : tous les vols porteraient une signature unique, signe d’une opération préparée, très bien orchestrée et totalisant plus de 35 millions de dollars de gains.
Brian Krebs dit avoir lui-même analysé cette signature. Cependant, à la demande des chercheurs interrogés, il n’a pas publié le fruit de ses découvertes. Le danger est que les acteurs malveillants pourraient modifier leur méthode d’attaque en se basant sur les détails techniques récoltés pendant les enquêtes.
L’éléphant dans la pièce semble ainsi être LastPass, et plus particulièrement la brèche de l’été 2022. Nick Bax en est d’ailleurs persuadé : « En plus des indicateurs de compromission qui se recoupent, il existe des modèles de comportement et des techniques plus circonstanciels qui sont également cohérents entre les différents vols et qui soutiennent [cette] conclusion. Je suis suffisamment convaincu qu'il s'agit d'un vrai problème pour inciter mes amis et ma famille qui utilisent LastPass à changer tous leurs mots de passe et à migrer toutes leurs cryptos qui pourraient avoir été exposées, même si je sais parfaitement à quel point c'est fastidieux ».
LastPass : l'enquête est toujours en cours
Brian Krebs a bien sûr demandé à LastPass de réagir sur les dernières trouvailles des chercheurs. Mais la société a botté en touche, préférant rappeler que l’enquête était en cours.
« L'incident de l'année dernière fait toujours l'objet d'une enquête par les forces de l'ordre et d'un litige en cours. Depuis l'attaque de LastPass l'année dernière, nous sommes restés en contact avec les forces de l'ordre et continuons à le faire. »
LastPass a également indiqué que de très nombreuses informations avaient été partagées avec les forces de l’ordre, dont des renseignements techniques de compromission et des données sur les tactiques, techniques et procédures de l’acteur malveillant. Même les informations obtenues par les enquêtes internes et externes ont été communiqués, selon l’éditeur.
LastPass recommande aux chercheurs qui auraient des renseignements à partager à se rapprocher de son équipe Threat Intelligence, que l’on peut contacter à l’adresse [email protected].
La société n'a pas davantage communiqué, la dernière mise à jour concernant le vol de données remontant à décembre 2022.
La brèche de sécurité et ses vastes conséquences
Depuis l’incident de l’été dernier, la communication de LastPass a été largement fustigée par les chercheurs et experts en sécurité. Wladimir Palant, qui a participé au développement d’Adblock Pro, critiquait ainsi une communication « pleine d’omissions, demi-vérités et purs mensonges ».
La déclaration faisait suite à la configuration, le 22 décembre 2022, de ce dont on se doutait largement déjà : les données dérobées l’été précédent étaient dans la nature. Elles comprenaient à la fois des informations chiffrées (identifiants, mots de passe, cartes bancaires, notes sécurisées et éléments de remplissage des formulaires) et non chiffrées (comme les URL).
Karim Toubba, PDG de LastPass, avait voulu éteindre rapidement l’incendie en rappelant que les informations chiffrées des coffres-forts l’étaient en AES 256. Leur déchiffrement ne pouvait se faire « qu’avec une clé de chiffrement dérivée du mot de passe maître de chaque utilisateur, en utilisant notre architecture Zero Knowledge ».
Quoi qu’il en soit, une partie des clients voyaient leurs données les plus sensibles dans la nature. Mêmes chiffrées, il existe toujours la possibilité que les pirates arrivent à leurs fins. Les recherches sur les victimes de vols de cryptomonnaies pourraient indiquer qu’ils y sont parvenus, d’une manière ou d’une autre. Il pourrait toutefois s’agir d’une autre explication, que l’on ne connaitrait pas.
Si la récupération des clés Ethereum était avérée, il s’agirait d’une catastrophe pour LastPass. Cela signifierait que la société n’a non seulement pas été capable d’empêcher l’accès à ces données, mais qu’en plus les pirates auraient pu les récupérer et les décrypter. Ce qui poserait à nouveau la question des moyens employés par l’entreprise pour protéger les informations qui lui sont confiées.
Rappelons que LastPass a entre-temps renforcé certains aspects, comme l’obligation stricte d’au moins 12 caractères dans son mot de passe maître, qui n’avait pas encore cours l’année dernière. Ces mots de passe sont protégés par 100 100 dérivations PBKDF2, là où le NIST américain en recommande 310 000. En juin dernier, LastPass a transité vers « une version renforcée de PBKDF2 ». Elle avait prévenu les utilisateurs que toutes les sessions seraient déconnectées, provoquant bien des problèmes chez les personnes ayant activé l’authentification à facteurs multiples (recommandée), puisqu’elles ne pouvaient plus se connecter.
Commentaires (41)
#1
Très instructif, merci.
#2
Très intéressant, et un peu flippant … J’ai du mal à comprendre comment les attaquants auraient pu récupérer ces clés, ou le mot de passe maître des victimes 🤔
#3
C’est pourtant indiqué dans la communication LastPass : il n’y a qu’à lire !
En traduction, cela se rapproche de :
Il faut quand même ne pas être peureux pour stocker des secrets importants (comme par exemple des clés privées) sur une machine que l’on ne contrôle pas.
Vous ai-je déjà dit que l’infonuagique n’est que l’ordinateur du voisin, chez qui vous ne stockeriez pourtant pas vos secrets les plus chers ?
Alors, carrément stocker les clés privées de monnaies virtuelles, c’est tout bonnement incroyable…
À la rigueur, je veux bien tolérer le stockage dans ce type de services de secrets permettant le déchiffrement de volumes conservés localement (ou ailleurs) : cela respecterait au moins le principe de 2 endroits physiques différents.
Qualifier le profil des victimes de “raisonnablement enclin à la sécurité” est quand même leur faire trop d’honneur : même un mot de passe en clair stocké en 2 morceaux dans 2 endroits distincts aurait été plus sécurisé que coller le mot de passe entier dans LastPass. Un comble !
#3.1
Le risque de se faire dérober une clé privée sur un cloud (chiffré) est à mettre en balance avec le risque de la perdre complètement. Un cambriolage ordinaire ou un incendie sont aussi un moyen de perdre sa fortune en cryptomonnaie. Et dupliquer les instances de clé aussi un risque de s’en faire dérober une.
#3.2
C’est sûr que c’est jamais une très bonne idée de mettre tous ses œufs dans le même panier.
Maintenant, les gestionnaires de mots de passe indiquent tous avoir du Zero Knowledge : dès lors, il est normal de s’attendre à ce que dans le pire des cas (vol de coffre fort), celui-ci ne sera pas percé malgré tout.
Après, l’hypothèse de
Maintenant, est-ce que ça serait pareil avec les autres systèmes, comme 1Password ou Bitwarden, ou est-ce inhérent à LostPass ?
#4
Je ne suis pas sur que cela soit aussi simple. De ce que j’ai compris, les attaquants ont récupéré tout le nécessaire pour une attaque : les données chiffrées, les algorithmes de chiffrement et les algorithmes de génération de clés.
Il est alors possible pour un attaquant de générer les clés de chiffrement à partir du mot de passe maitre.
En utilisant des bases de données de mot de passe issues d’autres fuites depuis de nombreuses années, et un peu de brute force, il doit bien être possible de déchiffrer les informations de certains comptes. On peut rajouter qu’il y avait également des informations non chiffrées, permettant notamment d’avoir des informations sur le titulaire d’un compte, son adresse mail, etc… Autant d’éléments qui peuvent venir enrichir une attaque par dictionnaire (je ne parle pas ingénierie sociale car a priori, nombre de comptes piratés n’ont pas subi ce genre d’attaque).
Comme il y avait des adresses e-mail, il peut très bien y avoir eu également du phishing très ciblé.
De ce que j’ai lu, il y a eu 33 millions de compte dont les données ont été piratées. 150 qui se font voler leur cryptoactif, ça peut tout à fait être concordant avec les attaques décrites ci-dessus (faible probabilité de réussite x nombre important de compte = quelques comptes piratés).
#5
:facepalm:
#6
D’ordre général, il faut se dire que tout service en ligne peut être exposé à une fuite de données. Donc le considérer comme vulnérable et prendre les précautions adéquates pour limiter le risque.
#6.1
Alors oui, mais il faut tout de même rester pragmatique : la gestion des mots de passe via ce genre d’outils est bien pratique et permet une meilleure sécurité au global, par rapport à un outil offline.
Après, on limite le risque comme on peut, et à notre échelle d’utilisateurs, c’est utiliser un outil le plus sécurisé possible.
Par exemple, j’ai l’impression que Passbolt est plus sécurisé que Bitwarden et consort, car il nécessite une clé sur son PC en plus du mot de passe principal pour déchiffrer le coffre fort, mais ça n’est pas infaillible.
Maintenant, est-ce que je m’expose aux même risques que sur LastPass en allant sur Bitwarden, ou est-ce que c’est LastPass qui s’est loupé ? Là est la question selon moi.
#7
Par rapport à un outil offline ? Heu, il me semble que Keepass ne subirait justement pas ces problèmes, comme chacun garde ces mdp.
#7.1
Alors oui, mais ça fait longtemps que Keepass existe et trop peu de monde l’utilise : c’est parce que avoir son coffre fort à un seul endroit est trop contraignant (pour pleinde raisons) pour être utilisé par la majorité.
Même moi, qui suis plutôt porté “sécurité”, je le trouve inutilisable concrètement.
Et ne me parlez pas de mettre le coffre-fort sur un cloud type OneDrive : ça revient au même que d’utiliser un service comme Bitwarden, mais avec probablement moins de sécurisation du coffre-fort au final…
#7.2
Pour moi, y’a pas de meilleur ou moins bien, juste des choix et une évaluation propre à soit-même.
Perso, je préfère KeepassXC synchro sur kDrive et cet outil le supporte à merveille. Oui, c’est la même problématique avec les mêmes risques qu’un service en ligne, on est d’accord. Cela dit, KeepassXC supporte une intégration navigateur et avec l’agent SSH qui permettent d’éviter de sauvegarder des clés privées ou des secrets dans des outils tiers. Côté smartphone, KeepassDX (un autre compatible kdbx) est capable d’utiliser un schema d’authent pour déverrouiller la base au lieu de taper la clé sur ces claviers de merde, et il s’intègre aussi en “MagicKeyboard” pour la saisie. Et comme je n’ai aucune confiance dans les smartphones qui sont trop obscurs dans leur fonctionnement, celui-ci est spécifiquement configuré pour ouvrir la BDD en lecture seule.
Mais dans tous les cas, cela fait partie d’une hygiène plus globale : le MFA est utilisé systématiquement, les données de la base Keepass régulièrement modifiées, la base est sauvegardée en 3-2-1 au même titre que le reste de mes données sur kDrive. Et j’aimerais bien qu’Infomaniak se sorte les doigts pour mettre en oeuvre le BYOK pour le chiffrement car ça commence à être un gros manque. En attendant je fais sans et les données les plus importantes et confidentielles pour lesquelles j’ai besoin d’une synchro sont sur un container VeraCrypt. Côté chiant, resynchro un container de 5GB (j’ai préféré voir large) ça prend du temps. Là aussi, c’est un choix.
L’autre différence qui fait que je n’aime pas un service en ligne spécialisé : le principe commercial du Cloud est de prendre en otage des données du client et de lui faire subir un vendor lock-in. Un changement dans les offres, une offre gratuite qui va se retrouver plus bridée subitement, perte de fonctionnalités qui demandent à payer, offre payante qui peut bouger (la mode du premium++++ chez les Cloud provider bat son plein). A l’inverse, si kDrive reste du Cloud, son seul et unique but est d’être un stockage en ligne synchronisé sur mes différentes machines. Si demain Infomaniak fait de la merde, je peux me barrer comme un rien sans rien perdre de mes usages car tout le contenu de mon kDrive est synchronisé en local.
Là où j’ignore quelles sont les capacités de réversibilité d’un LastPass et équivalent.
#7.3
Je vois que tu vas loin dans la sécurité, et c’est sûrement très bien.
Par contre, comment fais-tu pour partager un mot de passe avec ta moitié (le compte EDF, par exemple), avec ces solutions techniques ?
Dans ton cas, pourquoi n’utilises-tu pas un Bitwarden auto-hébergé (vu ton niveau) ?
Concernant la partie “lock in”, je crois que c’est pas vraiment un problème pour ce type de service car je penses que la majorité propose des outils d’exports/imports.
Justement, la question sous-jacente c’est : est-ce que si Bitwarden se fait voler les coffres forts, les mots de passe seront récupérables ?
Par exemple, est-ce que les notes sécurisées seraient récupérables/en clair ?
#7.5
Si on parle d’une attaque par force brute sur un coffre-fort et au regard des mécanismes de chiffrement adoptés par Bitwarden, cela prendrait un temps considérable même pour un supercalculateur. Je te dis ça en me basant sur différentes lectures à ce sujet qui sont plutôt unanimes à ce sujet.
Après il faut rappeler que ce n’est pas le cas de figure concernant l’affaire Lastpass, on parle d’un vol de données via le piratage d’une machine utilisée par un développeur ayant un niveau d’accréditation élevée sur des accès stockage extrêmement sensibles. Piratage ayant consisté à capter les identifiants du développeur en question ayant permis de déchiffrer son coffre-fort. Coffre-fort qui contenait lui-même les moyens d’accès à ces zones sensibles.
#7.6
Je pense que ce passage de la doc de BitWarden répond à ta question: c’est chiffré de bout en bout sur ta machine avec ta clé qu’ils ne connaissent pas.
#7.8
Mais n’était-ce pas aussi le cas de LastPass ?
#7.4
Et avec KeepassXC, tu peux aussi ajouter Windows Hello. Ça permet, après un premier déverrouillage par la phrase de passe, de ne pas la ressaisir à chaque déverrouillage, ceci jusqu’à la fermeture de la session Windows.
Perso, je mets la base sur un NextCloud hébergé sur une machine chez moi 😊
Il existe d’ailleurs une extension NextCloud pour ouvrir la base Keepass depuis le site web.
#7.7
Je l’ai sur un NAS. Si la maison brûle, je le perds, en effet, mais dans ce cas la j’ai des problèmes plus importants. Et je ne sais pas si le risque est vraiment plus élevé qu’un problème de leur côté …
Je connais pas mal de gens qui ont un NAS, donc ça reste acceptable du coté “user-friendly”.
Sans compter qu’on peut mettre en place u système de duplication (même si ça devient moins user friendly).
Sachant que je trouve, quelle que soit la solution, risqué d’avoir des services critiques dont le mdp b’est que dans un seul service. Pour ceux la, il vaut mieux les connaître, ou avoir un plan B.
#8
C’est la question que je me pose aussi, en étant chez LastPass (que je trouve un peu cher) est-ce qu’il vaudrait mieux migrer ailleurs ? Et si oui chez qui ?
#9
l’article commence par ceci :
Ca reste une opinion personnelle mais le fait que Bitwarden fonctionne en code ouvert permet d’éviter potentiellement ce type de situation et que les garanties annoncées en terme de sécurité peuvent être vérifiées librement par des personnes en capacité de le faire.
Un autre point de comparaison non négligeable à mon sens, ce sont les audits de sécurité du code proposés sur le site de Bitwarden, ces audits détaillent les failles détectées et les propositions de résolution par l’organisme à l’origine de l’audit.
Chose qu’on ne retrouve absolument pas chez Lastpass, du fait j’imagine que le code source soit fermé. La page dédiée chez Lastpass ne se contente que de lister les certificats de conformité.
Alors certes tout ne tourne pas autour du code, toute l’infrastructure qui héberge la solution est aussi partie prenante.
On peut aussi faire le choix de l’auto-hébergement, pour ma part nous sommes quelques amis à le faire sur un dédié qu’on se partage en s’appuyant sur Yunohost.
#10
Un truc que je ne comprends pas : j’utilise LastPass, et à chaque fois que je change de machine, une confirmation par mail est demandée. Je pensais que la reconnaissance de la machine était basée sur TPM.
Du coup cela veut dire que soit les personnes concernées n’ont pas réagi lorsqu’elle ont reçu le mail indiquant un accès via une autre machine, soit les pirates on contourné TPM, ce qui veut dire que TPM n’est aussi fiable qu’indiqué ?
#11
Je n’ai pas ce cas d’usage, c’est bien pour ça que je parlais d’évaluation à sa propre situation.
Dans tous les cas, le partage de mots de passes est insensé pour moi. Trop de risques de fuite et de perte de maîtrise. Le mot de passe c’est comme un slip. J’ignore si l’espace client EDF permet de créer plusieurs identités pour consulter un contrat, j’imagine que c’est possible en rattachant le contrat à l’espace personnel de plusieurs personnes. Mais j’ai de forts doutes dans la mesure où bon nombre de services en ligne ignorent les rudiments de la sécurité IT…
#11.1
J’entends bien.
Dans ton cas, pourquoi n’utilises-tu pas un Bitwarden auto-hébergé (vu ton niveau) ?
(Je repose la question que tu n’as peut être pas vue, car je l’ai ajouté par édition de mon précédent message et que j’aimerais vraiment avoir ton point de vue.)
Est-ce que ça veut dire que ce développeur avait accès aux coffres forts en clair ?
Car sinon, mis à part un problème de sécurité interne à LastPass, j’ai l’impression que ça serait le même problème si Bitwarden se faisait voler ses serveurs, non ?
#12
Je n’ai pas encore testé, mais c’est sur ma todo list (un jour) : https://cryptomator.org/
Grosso modo, si j’ai bien compris comment ça fonctionne :
Donc en gros, tu as la possibilité de stocker de manière sécurisée (d’un point de vue confidentialité) ce que tu veux, tout en bénéficiant des avantages de ton drive (syncho automatique, versionning, …)
C’est une solution open source. Mais encore une fois, je n’ai pas encore pris le temps de la tester. C’est plus pour information.
#12.1
Mmmh je pense voir le principe, ça ressemble à ce que rclone peut faire en synchronisant et chiffrant à la volée un storage en ligne, mais en mieux managé.
J’essayerai d’y jeter un oeil, merci pour le partage.
J’ai juste une crainte à vérifier, c’est si l’upload ne serait pas bloqué par une éventuelle protection anti ransomware. Je n’ai pas vu d’élément dans la FAQ Infomaniak qui en parlait, mais vu que leur backend semble très proche de Nextcloud (le client de synchro est un fork de celui de NC ou OC, je sais plus) et que celui-ci a ces options..
C’est ce que je faisais aussi à l’époque où j’avais encore NC en auto hébergé (chez moi, puis sur un serveur OVH). L’extension Keeweb était très pratique.
Mais par la suite j’ai fait le choix de passer sur kDrive pour ne plus avoir à manager Nextcloud. L’une des raisons était que le serveur OVH avait été migré dans le Cloud de manière un peu trop forcée, à Strasbourg. Même si j’ai pu jouer un DRP assez facilement (en gros : resynchro le local sur la nouvelle instance, après l’avoir upload en urgence sur un object storage chiffré “au cas où”), c’est quelque chose pour lequel je ne veux plus consacrer de temps à titre perso.
J’ai fini par tout basculer en SaaS et PaaS, majoritairement chez Infomaniak (que je connais depuis …. 20 ans et en qui j’ai confiance) et OVHCloud pour des usages ponctuels.
#12.4
J’utilise Cryptomator pour sauvegarder des dossiers importants sur mon kDrive, et je n’ai aucun soucis à l’upload ;-)
#12.5
Merci pour ces confirmations
#12.2
A ce sujet, NextInpact avait proposé un dossier vieux de quelques années maintenant mais qui demeure pertinent.
https://www.nextinpact.com/article/27037/104960-cryptomator-outil-multiplateforme-pour-chiffrer-vos-donnees-stockees-dans-cloud
En revanche la tarification des versions mobiles a évolué depuis. La version Android est devenue payante (soit par Google Play, soit par licence si F-Droid ou autre) et le tarif est passé à 14,99 € que ce soit sur Android ou iOS.
Rien de rédhibitoire en soi mais juste une précision importante.
edit : quelques petites fautes qui traînaient.
#12.3
A super merci ! Cela rajoute de la crédibilité à cet outil dont les entrailles ont été testé un peu plus en profondeur par NextINpact ;)
#13
J’adore le sous titre
#14
Oups, je n’avais pas vu la question.
Parce que le fichier kdbx synchronisé me convient amplement. Je n’ai plus envie d’avoir à maintenir d’outils auto hébergés, cf #21.
De plus, la base de passwords est un fichier critique qui requiert une très forte disponibilité. C’est la raison pour laquelle sur le smartphone elle est synchro en mode offline pour rester disponible en cas d’absence du réseau (et sur mes différents PC, c’est le dossier qui est systématiquement activé en synchro). Je ne sais pas si Bitwarden propose un cache offline.
#15
C’est moi, ou personne n’a répondu à sa question ?
#16
Non pas vraiment car à ce stade, on ne sait pas exactement comment les clés de sécurité des portefeuilles crypto ont été obtenues.
Est ce que l’attaquant a réussi à déchiffrer des coffres dérobés ?
C’est une possibilité en cas de mot de passe trop faible basé sur des données personnelles sachant que l’intrusion a permis aussi de dérober des données personnelles de clients.
Est ce que ces clés de sécurités font partie des données non-chiffrées dérobées ?
L’article mentionne les URL mais ce n’est qu’un type de données parmi un ensemble et on ne connaît pas la nature du reste.
On peut souligner que chez Bitwarden que l’ensemble des données contenues dans un coffre est chiffrée (donc les URL aussi).
Et que le nombre d’itérations a été porté à 600 000 en début d’année (contre 200 000 auparavant) ce qui renforce la protection contre les attaques par force brute.
Le problème est que ça concerne uniquement les nouveaux comptes donc à chacun de faire cette modification manuellement.
Mais bien entendu Bitwarden comme Lastpass n’est pas à l’abri d’un choix à l’origine d’une faille permettant un accès malveillant car il y a toujours le facteur humain qui entre en ligne de compte. Raison pour laquelle sans doute ils se font auditer chaque année, tout le monde peut consulter ces rapports et constater que les recommandations ne sont pas toujours suivies (voir dernier paragraphe de la section) à mettre en relation la dernière section du rapport d’audit de 2018 intitulée “BWN-01-009 Crypto: PBKDF2 iteration count configuration unnecessary” page 14.
#17
Perso je n’utilise pas Lastpass donc difficile d’avoir une réponse directe.
Question à VorkiSpigan, est ce que tu as activé la double authentification sur ton compte Lastpass ?
#17.1
Salut Gorom,
Pour ma sécurité, je ne peux pas te répondre :).
Mais si les pirates ont le mot de passe central, cela pourrait permettre de désactiver l’authentification multifacteur … mais pas l’envoi de mail en cas de changement de machine.
#17.2
Pas de problème je comprends tout à fait.
Simplement je me demandais si l’activation de la double authentification sur un compte Lastpass désactivait d’emblée la vérification automatique par email en cas de connexion depuis une machine inconnue.
En fouillant le centre d’aide de Lastpass, ça ne semble pas être le cas.
En revanche Lastpass propose la possibilité de désactiver l’envoi de l’email en question donc à voir si c’était le cas pour le compte du développeur en question.
Étant donné son haut niveau d’accréditation, son compte (de type entreprise sans doute) peut également faire partie d’un groupe avec des privilèges particuliers.
Concernant l’authentification MFA, on sait que cette dernière n’a pas été désactivée au regard du communiqué de LastPass.
Donc tout ça avec un keylogger ce qui suppose que le deuxième facteur serait potentiellement un jeton de type TOTP, bref un code à saisir au clavier et non un périphérique d’authentification.
Ce qui est un comble quand on peut lire en ce moment même dans les pages d’aide Lastpass à propos de l’intérêt d’activer l’authentification multifacteur :
Je confirme que je peux accéder à mon coffre Bitwarden même si le mobile est hors-ligne.
#18
il y a encore des fous ou bien des gens mal ou pas informés qui choississent des applications propriétaires pour stocker des informations sensibles. Je pense qu’il y a un cruel manque d’implication et d’instruction pour la “ population ” car autant les geeks sont plus ou moins au courant qu’on ne doit pas confier ses informations sensibles à des prestataires de service comme lastpass ou bien norton ou nordvpn avec son nordpass on est jamais à l’abri. A la différence de produit du libre qui sont de vraies perles en matière de sécurité. En entreprise on utilise aucune solution propriétaire on est sur du keypass depuis longtemps pour les comptes perso et pour les comptes pro on héberge bitwarden (pas dans le cloud) sur notre propre serveur non connecté au net.
#18.1
Y’a rien qui va dans ce commentaire, manque un Window$. Bref, ton état d’esprit n’est pas le bon.
#18.2
Mon état d’esprit n’est pas le bon !!! pourquoi la bien pensance est passée par là ? Et pourquoi il manqerait un windows plus qu’un linux ou un OSX
#18.3
Tu reconnaissais à une époque un type de tech info (aka “le libre c’est mieux”) si il rajoutait \( dans les noms provenant de Microsoft, du genre M\).
#19
Hmmmm.