Le 22 décembre 2022, la société de gestion de mots de passe LastPass a révélé qu'un groupe de hackers avait réussi à accéder aux coffres de leurs clients. Les hackers ont accédés à un espace de stockage cloud sur lequel se trouvaient des backups des coffres et ils ont ainsi pu copier/télécharger ces coffres en local sur leurs machines. Cette annonce fait suite à une précédente déclaration de LastPass en août 2022 selon laquelle un hacker avait réussi à accéder à un compte développeur et avait volé une partie du code source à partir d'un environnement de développement. À l'époque, LastPass avait affirmé n'avoir "vu aucune preuve que cet incident impliquait un accès aux données de clients ou aux coffres-forts de mots de passe chiffrés".
Pire, en plus du vol des coffres, certaines données étaient non chiffrées. Quelles données sont chiffrées/non chiffrées ?
Les données volées incluent les informations non chiffrées suivantes:
Noms d'entreprise
Noms d'utilisateurs finaux
Adresses de facturation
Numéros de téléphone
Adresses électroniques
Adresses IP utilisées pour accéder à LastPass
URL de sites Web du coffre-fort de mots de passe
Les données chiffrées volées incluent:
Noms d'utilisateur et mots de passe de sites Web
Notes sécurisées
Ainsi que tous les autres objets stockés dans le coffre. (Licenses, Cartes, etc)
Aujourd'hui, le 05 Janvier 2023, on ne sait toujours pas quels coffres ont été volés. Est-ce les coffres de tous les clients, uniquement certains coffres ? On ne sait pas...
Comment les hackers peuvent-ils déchiffrer les données ?
Pour déchiffrer ces données et accéder aux informations stockées dans votre coffre, les hackers doivent déterminer votre mot de passe "maître". Ils peuvent le faire par exemple en utilisant des GPU pour effectuer des attaques de type "Brute Force" avec ou sans dictionnaire sur les fichiers binaires des vaults qu'ils ont récupérés. En effet, comme les vaults ont été copiés la protection via la double authentification n'est plus présente car ils détiennent le fichier de votre coffre localement et peuvent donc utiliser une armée de GPU afin de les cracker.
LastPass recommande depuis 2018 d'utiliser un mot de passe principal de 12 caractères ou plus avec une combinaison de lettres, chiffres et symboles, mais il est probable que beaucoup d'utilisateurs de LastPass aient choisi des mots de passe principaux plus faibles, ce qui les rend plus faciles à cracker.
Que faire si vous êtes un utilisateur de LastPass ?
Si vous êtes un utilisateur de LastPass, il est fortement recommandé de changer votre mot de passe "maître" et augmenter le nombre d'itérations (on y vient plus tard). Il est également vivement recommandé de changer les mots de passe de tous les comptes associés à votre compte LastPass et mettre en place de la double authentification dès que possible. Surveillez attentivement vos comptes pour détecter tout comportement suspect.
Il est recommandé de ne pas utiliser LastPass pour stocker des informations sensibles, telles que des informations de carte de crédit ou des informations de sécurité sociale. Si vous avez déjà stocké ces types d'informations dans votre coffre, il est recommandé de les supprimer et de trouver un autre moyen de les stocker de manière sécurisée. En effet, cet incident de sécurité a exposé certaines informations non chiffrées, telles que les noms d'entreprise, les noms d'utilisateurs finaux, les adresses de facturation, les numéros de téléphone et les adresses électroniques. Bien que ces informations en elles-mêmes ne soient pas nécessairement sensibles, elles peuvent être utilisées par des hackers pour essayer de vous phisher et de récupérer d'autres informations sensibles. Par conséquent, il est important de prendre des mesures pour protéger vos informations sensibles.
Changer de gestionnaire de mots de passe
A la découverte de ces informations ainsi que celles que je m'apprête à vous révéler je pense que LastPass n'est plus une entreprise à qui il faut accorder sa confiance c'est pourquoi je pense qu'il faut envisager sérieusement de changer de gestionnaire et de changer tous vos mots de passes.
Voici quelques alternatives :
Bitwarden => Open Source avec une version gratuite qui fait le café. Il est même possible de le selfhost. Afin de le selfhost je vous recommande de jeter un coup d'oeil au projet Vaultwarden. Le plan premium coute seulement 10$ par an.
1Password => UI/UX intuitive et facile à utiliser mais pas de plan "Gratuit".
Keepass => Open Source et gratuit. C'est un petit programme qui tourne en local sur votre machine, il génère un fichier .kdbx pour le coffre et vous pouvez stocker ce fichier en local ou sur un cloud de type OneDrive/Dropbox.
Chiffrement et itérations : comment LastPass protège vos données
LastPass utilise un chiffrage AES-256 de grade militaire pour protéger vos données MAIS , il y a eu une assez grosse polémique car en 2018 LastPass a augmenté le nombe d'itérations à 100'100 sauf qu'ils ont échoués à appliquer cette modification à tous les utilisateurs.
L'itération dans LastPass fait référence au nombre de fois où le processus de "chiffrement-déchiffrement" est effectué. Plus le nombre d'itérations est élevé, plus il est difficile pour un attaquant de cracker votre mot de passe maître en utilisant des techniques de type brute force.
LastPass utilise un nombre d'itérations qui devraient être à 100'100 itérations afin de garantir que le temps nécessaire pour déchiffrer vos données est suffisamment long pour dissuader les attaques de type brute force ou les rendre très couteuses. Malheureusement, une bonne partie des"anciens" utilisateurs, avant 2018, ont une valeure d'itération inférieure et ne savaient pas qu'ils pouvaient l'augmenter dans les paramètres.
Image tirée de cet article que je vous recommande, en anglais : LastPass breach: The significance of these password iterations | Almost Secure (palant.info)
Voici le lien de l'aide de LastPass afin d'augmenter le nombre d'itérations : How do I change my password iterations for LastPass? - LastPass Support
D'après l'image ci-dessous tirées de l'excellent article "LostPass: after the LastPass hack, here’s what you need to know" , nous pouvons estimer le temps ou l'argent que cela couterai afin de casser un mot de passe relativement robuste selon la quantité d'itérations. Beaucoup d'utilisateurs de LastPass étaient à 1 , 500, 1000, 5000, 10'000 itérations seulement.
Source de l'image : LostPass: after the LastPass hack, here’s what you need to know • Graham Cluley => source originale : Snippet from Wladimir Palant’s blog post.
Communication désastreuse et manque de transparence : LastPass critiqué pour sa gestion de cet incident de sécurité
En plus des problèmes de sécurité soulevés par cet incident de sécurité, LastPass a également été critiquée pour sa communication désastreuse et son manque de transparence dans la gestion de cet incident.
En effet, lors de la première annonce de cet incident en août 2022, LastPass a affirmé n'avoir "vu aucune preuve que cet incident impliquait un accès aux données de clients ou aux coffres-forts de mots de passe chiffrés". Cependant, lors de l'annonce de la violation réelle en décembre 2022, il est devenu clair que cette affirmation était erronée et que les hackers avaient en fait accédés aux coffres de clients et volés des coffres. Tous ? Peut-être bien.
Ce manque de transparence a suscité de fortes critiques au sein de la communauté des spécialistes en sécurité informatique, qui a accusé LastPass de cacher la vérité et de minimiser l'importance de cet incident de sécurité. Beaucoup ont également critiqué la société pour son manque de communication claire et de mise à jour régulière concernant l'état de la situation et les mesures prises pour protéger les utilisateurs.
Cet épisode a mis en lumière l'importance de choisir un fournisseur de confiance et de veiller à la sécurité de vos données.
Historique des incidents de sécurité de LastPass : une longue liste de problèmes
Cet incident de sécurité récent n'est pas le premier à laquelle la société de gestion de mots de passe a été confrontée. Depuis sa création en 2008, LastPass a connu une série d'incidents de sécurité qui ont mis en cause la sécurité de ses utilisateurs et la confiance dans le service.
Voici un aperçu de certains des incidents de sécurité les plus marquants de LastPass :
2011 :
Un anomalie dans le trafic réseau entrant et sortant a été découverte par LastPass. Les administrateurs n'ont trouvé aucun des signes d'une faille de sécurité classique, mais ils n'ont pas non plus pu déterminer la cause de ces anomalies. Comme il était théoriquement possible que des données comme les adresses e-mail, le sel du serveur et les hashes de mots de passe salés aient été copiées de la base de données de LastPass, l'entreprise a décidé de mettre hors ligne les serveurs "piratés" afin de les reconstruire et a demandé à tous les utilisateurs de changer leur mot de passe principal le 4 mai 2011.
2015 :
Le 15 juin 2015, LastPass a publié un billet sur son blog indiquant qu'il avait découvert et arrêté une activité suspecte sur son réseau la semaine précédente. Leur enquête a révélé que les adresses e-mail de compte LastPass, les rappels de mot de passe, les sels de serveur par utilisateur et les hashes d'authentification avaient été compromis, mais les données de coffre-fort chiffrées des utilisateurs n'avaient pas été affectées.
2016 :
En juillet 2016, un billet publié par une entreprise de sécurité en ligne indépendante, Detectify, a détaillé une méthode pour lire les mots de passe en clair pour des domaines arbitraires à partir du coffre-fort d'un utilisateur LastPass lorsque cet utilisateur visite un site Web malveillant. Cette vulnérabilité était rendue possible par un code de traitement d'URL mal écrit dans l'extension LastPass. La faille n'a pas été rendue publique par Detectify jusqu'à ce que LastPass soit averti en privé et puisse corriger leur extension de navigateur.
2017 :
Le 20 mars, Tavis Ormandy a découvert une vulnérabilité dans l'extension Chrome de LastPass. L'exploit s'appliquait à tous les clients LastPass, y compris Chrome, Firefox et Edge. Ces vulnérabilités ont été désactivées le 21 mars et corrigées le 22 mars.
Le 25 mars, Ormandy a découvert une faille de sécurité supplémentaire permettant l'exécution de code à distance en fonction de la navigation de l'utilisateur sur un site Web malveillant. Cette vulnérabilité a également été corrigée.
2019 :
Le vendredi 30 août 2019, Tavis Ormandy a signalé une vulnérabilité dans l'extension de navigateur LastPass dans laquelle des sites Web avec du code JavaScript malveillant pouvaient obtenir un nom d'utilisateur et un mot de passe insérés par le gestionnaire de mots de passe sur le site précédemment visité. Le 13 septembre 2019, LastPass a annoncé publiquement la vulnérabilité, reconnaissant que le problème était limité aux extensions Chrome et Opera uniquement ; néanmoins, toutes les plateformes ont reçu le correctif de vulnérabilité.
2020 :
Le 6 avril 2020, une vulnérabilité a été découverte concernant le stockage du mot de passe principal dans l'extension Web. LastPass stockait le mot de passe principal dans un fichier local lorsque l'option "Se souvenir du mot de passe" est activée.
2022 :
Le 25 août 2022, LastPass a annoncé qu'un hacker avait réussi à accéder à un compte de développeur et avait volé une partie de son code source d'un environnement de développement. LastPass a déclaré qu'il n'avait "vu aucune preuve que cet incident a impliqué un accès aux données des clients ou aux coffres-forts de mots de passe chiffrés". Cependant, juste avant Noël, LastPass a confirmé que les informations volées dans l'attaque d'août 2022 avaient été "utilisées pour cibler un autre employé, obtenir des informations d'identification et des clés qui ont été utilisées pour accéder et déchiffrer certains volumes de stockage...". Ces informations volées incluaient les noms d'entreprises, les noms d'utilisateurs finaux, les adresses de facturation, les numéros de téléphone, les adresses e-mail, les adresses IP utilisées pour accéder à LastPass et les URLs de sites Web de votre coffre-fort. De plus, des données client chiffrées ont également été volées, y compris les noms d'utilisateur et mots de passe de sites Web, les notes sécurisées et les autres types de données présents dans les coffres. Les hackers doivent encore déterminer votre mot de passe maître pour accéder aux joyaux de la couronne, c'est-à-dire aux noms d'utilisateur et aux mots de passe de tous vos comptes. LastPass a recommandé aux utilisateurs de changer leur mot de passe principal et de revoir leurs informations de sécurité.
Source : LastPass - Wikipedia
Conclusion
En conclusion, il est clair que LastPass a connu plusieurs incidents de sécurité au cours des dernières années, allant de vulnérabilités dans ses extensions de navigateur aux violations de données. Bien que LastPass ait pris des mesures pour protéger les données de ses utilisateurs, comme le chiffrage et les itérations, il est évident que ces incidents ont eu lieu et que les données de ses utilisateurs n'ont pas été totalement protégées. En conséquence, je pense qu'il faut vraiment se poser la question de quitter ce service et de trouver une alternative plus fiable pour stocker vos informations sensibles. Il y a de nombreuses options de gestionnaire de mots de passe sur le marché qui offrent une meilleure sécurité et une communication transparente en cas d'incidents de sécurité. Prenez le temps de faire des recherches et de choisir un service qui répond à vos besoins. Protégez vos données et ne prenez pas de risques inutiles en utilisant un service qui a démontré être vulnérable et non digne de confiance.