Le PDG de LastPass, Karim Toubba, a annoncé que la société de gestion des mots de passe a subi une faille de sécurité en dernier mois, les attaquants s’enfuyant avec des données de compte client non cryptées et des coffres-forts client contenant des noms d’utilisateur et des mots de passe cryptés.
Cela pourrait être une situation cauchemardesque pour LastPass, mais la plupart des utilisateurs ne devraient pas être exposés à un risque important car l’architecture de sécurité Zero Knowledge de l’entreprise l’empêche d’avoir accès ou de connaître le mot de passe principal d’un utilisateur. les données volées ne contiennent aucun mot de passe principal. Cette protection devrait empêcher les attaquants de déchiffrer les noms d’utilisateur et mots de passe volés.
LastPass a été assez transparent sur la violation, en publiant quand cela s’est produit et en faisant un suivi cette semaine avec des détails supplémentaires. Bien que l’environnement de production sur site de LastPass n’ait pas été piraté, l’attaquant a pu exploiter les informations capturées lors d’une précédente violation du compte d’un développeur en août 2022 pour cibler le compte d’un autre employé afin de voler des données du stockage basé sur le cloud que LastPass utilisait pour la sauvegarde.. (On peut dire que ces événements font tous partie d’une seule violation.)
Cet incident met en évidence les faiblesses de l’approche de LastPass en matière de sécurité. Les données volées comprenaient des informations de compte client non cryptées (noms, adresses et numéros de téléphone, mais pas les détails de la carte de crédit) et des données de coffre-fort client cryptées. LastPass sécurise les noms d’utilisateur, les mots de passe, les notes sécurisées et les données remplies par formulaire à l’aide du cryptage AES 256 bits, et ils ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur. Dans les coffres-forts des utilisateurs, cependant, les URL de site Web associées aux entrées de mot de passe n’étaient pas chiffrées. C’est problématique.
Plus sérieusement, LastPass s’appuie entièrement sur ce mot de passe principal sélectionné par l’utilisateur pour sécuriser les données chiffrées. Même si la société a renforcé les exigences minimales pour la définition des mots de passe, les utilisateurs peuvent définir des mots de passe principaux suffisamment faibles pour être vulnérables aux tentatives de piratage. Porte-clés iCloud d’Apple, Le stockage basé sur le cloud de 1Password et certaines autres solutions associent des clés basées sur l’appareil à des mots de passe principaux ou à des identifiants de compte pour une bien plus grande résistance : un attaquant doit obtenir et déverrouiller un appareil en plus de compromettre un coffre-fort ou un mot de passe de compte.
Quelles actions les utilisateurs de LastPass doivent-ils entreprendre ?
Tant que vous avez utilisé votre mot de passe principal LastPass uniquement chez LastPass et que vous avez conservé les paramètres par défaut de l’entreprise, LastPass ne recommande aucune action pour le moment. (Les valeurs par défaut nécessitent un minimum de mots de passe principaux de 12 caractères et spécifient un nombre élevé d’itérations (100 100) dans l’algorithme de renforcement de mot de passe PBKDF2.)
Un déchiffrement par force brute peut réussir contre votre mot de passe principal si vous l’avez réutilisé sur un autre site qui avait été compromis, définissez-en un de moins de 12 caractères (ne faites jamais cela !) ou réduisez les paramètres de renforcement du mot de passe par défaut. (Certains utilisateurs de longue date ont trouvé qu’ils avaient des paramètres beaucoup plus bas de 500 ou 5000 pour l’algorithme PBKDF2—voici comment vérifier.) Si l’un de ces éléments est vrai, modifiez immédiatement votre mot de passe principal et activez l’authentification multifacteur. (Utilisez l’application LastPass Authenticator : pour obtenir des instructions, cliquez sur Fonctionnalités et outils, puis sur Authentification multifacteur dans le portail d’assistance LastPass.)
Parce que les coffres ont été volés, rien de ce que vous faites ne peut protéger l’intégrité de ces données, qui sont déjà entre les mains des voleurs. LastPass suggère aux personnes risquant de voir leur mot de passe principal piraté d’envisager de changer de mot de passe sur les sites Web stockés. Commencez par les comptes cruciaux qui pourraient être utilisés pour usurper votre identité, comme les e-mails, les téléphones portables et les réseaux sociaux, ainsi que ceux qui contiennent des données financières. Si vous êtes inquiet, modifiez les mots de passe de manière plus générale. (Généralement, vous n’avez jamais besoin de changer des mots de passe uniques et forts, mais ici vos secrets de base ont été volés, même s’ils restent cryptés.)
Ceux qui ont des mots de passe principaux faibles devraient également les changer et activer l’authentification multifacteur pour leur Comptes LastPass. Même si le cheval est sorti de l’écurie, vous pouvez obtenir un nouveau cheval et sécuriser la porte derrière: d’éventuelles brèches futures sont moins susceptibles de vous affecter si vous avez mis à jour les mots de passe stockés dans votre coffre-fort et les avez sécurisés avec un nouveau mot de passe fort. , mot de passe unique.
Indépendamment de la force de leurs mots de passe principaux, les utilisateurs de LastPass doivent désormais être particulièrement attentifs aux attaques de phishing ciblées. Étant donné que les sauvegardes du coffre-fort LastPass n’ont pas crypté les URL des sites Web, les hameçonneurs peuvent les combiner avec une adresse e-mail associée à vos informations de compte non cryptées.
Si vous n’êtes pas certain qu’un e-mail ou un SMS renvoyant à une page de connexion n’est pas légitime, accédez au site Web directement dans votre navigateur et connectez-vous en utilisant des liens sur le site. Ne faites pas confiance aux aperçus d’URL-il est trop facile de falsifier des noms de domaine d’une manière presque impossible à identifier. Faites particulièrement attention aux avertissements relatifs aux cartes de crédit et aux alertes de suivi des colis : les deux sont des voies toutes faites pour les hameçonneurs dans le meilleur des cas et encore plus susceptibles de tromper les utilisateurs pendant la période des fêtes.
Questions et préoccupations
De toute évidence, LastPass a fait des erreurs ici, mais au moins l’entreprise est transparente sur ce qui s’est passé. Il ne semble pas que LastPass ait été cavalier en matière de sécurité-cela ressemble à une attaque sophistiquée à plusieurs volets qui a mis des mois à se réaliser. C’est une leçon valable pour toutes les organisations de réaliser que les attaques ciblées sur un employé, puis sur un autre, ont finalement permis la violation de quantités massives de données. Néanmoins, le résultat soulève des questions et des inquiétudes.
Les utilisateurs de LastPass devraient-ils envisager de passer à une autre solution de gestion des mots de passe ?
Oui, pour deux raisons. Tout d’abord, il est troublant que LastPass n’utilise pas de clé secrète enchevêtrée avec le mot de passe principal pour se protéger contre des vols comme celui-ci. Deuxièmement, les attaquants pourraient être en mesure d’exploiter les informations volées pour compromettre à nouveau les systèmes de LastPass. LastPass a renforcé ses systèmes en réponse à la violation du compte d’un développeur en août, mais cela n’a pas suffi à contrecarrer l’attaque de novembre contre le deuxième employé.
À l’inverse, à notre connaissance, l’architecture Zero Knowledge de LastPass reste sécurisé, donc si vous êtes à l’aise avec la force de votre mot de passe principal et que vous faites confiance à l’architecture globale de LastPass, vous devriez pouvoir continuer à l’utiliser sans souci supplémentaire.
En tant que personne qui a utilisé LastPass pendant de nombreuses années comme ma solution principale—Tonya utilise 1Password, et nous partageons un coffre-fort familial avec Tristan—je ne prévois pas de changer en me basant uniquement sur cette violation. Cependant, j’ai souffert d’autres irritations avec LastPass-son authentification multifacteur échouant sur l’Apple Watch, son incapacité à se souvenir que je veux que les mots de passe générés incluent des symboles et soient longs de 20 caractères, et son extension Chrome est fréquemment corrompue (voir”Chrome Disparition des extensions ? Cliquez sur Réparer”, 24 août 2021). J’ai donc décidé de passer à 1Password lorsque j’en trouverai le temps.
Cette violation est-elle une mise en accusation de l’ensemble du concept de services de gestion de mots de passe basés sur le cloud ? ?
Bien que certains diront sans aucun doute oui, arguant que les mots de passe gérés localement ne sont pas susceptibles d’être attaqués par une entreprise, le problème a davantage à voir avec la manière dont les données basées sur le cloud sont sécurisées. Bien que LastPass ne détienne pas les clés de cryptage de vos données, sa méthode de cryptage n’est pas aussi solide qu’elle pourrait l’être car toute la puissance de cryptage est verrouillée dans un seul mot de passe principal qui peut être saisi n’importe où, plutôt que de nécessiter plusieurs composants, certains ou qui sont tous détenus séparément.
Renoncer au stockage basé sur le cloud en faveur de mots de passe gérés localement suppose également que vous ne serez pas la proie du phishing ou d’autres attaques qui vous ciblent au hasard plutôt que spécifiquement. La violation de LastPass a nécessité des attaques directes sur des employés spécifiques, mais les attaques par dispersion peuvent être automatisées ou largement diffusées via des logiciels malveillants : les attaquants ne savent pas ou ne se soucient pas de qui sont leurs victimes.
De plus, les systèmes basés sur le cloud fournissent deux fonctionnalités intéressantes : synchronisation entre plusieurs appareils et plates-formes et partage de mots de passe particuliers avec d’autres utilisateurs du même système. La synchronisation est assez facile à reproduire à l’aide d’iCloud, de Dropbox, etc., mais le partage de mots de passe avec d’autres personnes nécessite un compte partagé.
Les autres gestionnaires de mots de passe sont-ils vulnérables à des attaques similaires ?
Je ne le pense pas. La violation de LastPass reposait sur des informations précédemment volées qui permettaient d’accéder à un stockage de sauvegarde secondaire grâce à des informations d’identification et des informations volées lors d’attaques ciblant des employés individuels. Il s’agissait d’une attaque personnalisée et ne pouvait pas être utilisée contre d’autres entreprises. Et la dépendance de LastPass à un seul mot de passe principal expose également les données de ses utilisateurs à un risque unique.
Cela dit, je dois supposer que tous les services de gestion de mots de passe sont soumis à des attaques quasi constantes car, pour paraphraser le braqueur de banque Willie Sutton, c’est là que se trouvent les mots de passe. Ces entreprises peuvent considérer ces attaques comme d’habitude, ou elles peuvent utiliser l’incident de LastPass comme excuse pour réexaminer leurs pratiques de sécurité afin de s’assurer qu’elles n’ont rien manqué. LastPass ne pensait probablement rien avoir manqué avant août 2022.
Quand les clés de sécurité élimineront-elles des problèmes comme celui-ci ?
Je ne sais pas avec certitude, mais la transition ne peut pas se produire assez tôt. Voir « Pourquoi les clés d’accès seront plus simples et plus sécurisées que les mots de passe » (27 juin 2022).