Une alerte cyber pour rien, vraiment ? Ainsi avions-nous réagi, fin août, aux déclarations de LastPass. L’entreprise américaine – filiale de GoTo, qui entend l’émanciper – avait fait part d’un incident sur son environnement de développement. Détecté deux semaines en amont, il avait entraîné le vol de code source et d’informations techniques.
À la mi-septembre, LastPass avait mis à jour son post. Il assurait, en particulier, ne pas avoir de preuves d’accès indésirables à des données de clients, y compris leurs coffres-forts des mots de passe.
Fin novembre, changement de ton : il y a effectivement eu des accès à des données de clients. Pas lors de l’incident d’août, mais grâce aux informations récupérées à cette occasion. La cible : un service tiers de stockage cloud partagé avec GoTo.
On en sait davantage depuis ce 22 décembre. Et les nouvelles ne sont pas bonnes. Dans les grandes lignes, les informations en question, récupérées en compromettant le poste d’un développeur, ont servi à attaquer un autre employé. Elles ont permis le vol de credentials et de clés, utilisés pour accéder au service tiers de stockage cloud et pour y déchiffrer des volumes.
Ces volumes consistaient en des sauvegardes de données de prod. L’attaquant a pu, affirme LastPass, copier des « informations basiques » relatives à des comptes d’utilisateurs. Ainsi que des métadonnées associées. Parmi lesquelles des noms d’entreprises, des adresses de facturation, des mails, des numéros de téléphone et des IP.
Le butin ne s’arrête pas là. Il englobe aussi des données stockées dans les coffres-forts des clients. Certaines en clair, comme des URL de sites. D’autres « complètement chiffrées »… comme les identifiants, les mots de passe, les notes sécurisées et les données de formulaires. Par « complètement chiffrées », il faut entendre « en AES-256, avec hachage, et déchiffrables uniquement avec une clé dérivée du mot de passe maître de l’utilisateur ». Mot de passe que LastPass ne connaît ni ne stocke.
Vu le niveau de protection mis en œuvre, il est peu probable que des tiers pourront déchiffrer les données en usant de la force brute, rassure LastPass. Mais à une condition : avoir respecté les bonnes pratiques de définition du mot de passe maître. À défaut, mieux vaut, en résumé, changer, sur les sites et applications correspondants, tous les mots de passe que vous avez stockés.
Une particularité pour les clients Business : ceux qui ont implémenté la fédération d’identité n’ont, officiellement, pas à s’inquiéter. Cette fonctionnalité implique effectivement un mot de passe maître caché. Il résulte de la combinaison de plusieurs chaînes aléatoires (de 256 bits ou 32 caractères). L’attaquant n’a pas eu accès à ces fragments, qu’il fussent stockés chez des fournisseurs d’identité tiers ou sur l’infrastructure LastPass. En outre, ils ne figuraient pas dans les sauvegardes.
Photo d’illustration © Rawpixel.com – Adobe Stock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…