Les utilisateurs professionnels et personnels de la solution de gestion des mots de passe LastPass sont avisés de prendre des mesures défensives après que l’entreprise eut reconnu que des informations client et des données cryptées qu’elles avaient stockées dans le coffre-fort numérique du service ont été copiées par un pirate informatique lors d’une attaque de la chaîne d’approvisionnement.
« Les utilisateurs doivent se méfier des attaques de hameçonnage sophistiquées visant à voler leur mot de passe principal », a déclaré Mike Walters, vice-président de la recherche sur les vulnérabilités et les menaces chez Action1, un fournisseur de solutions de gestion des correctifs. « Un attaquant peut se faire passer pour LastPass, les autorités réglementaires et d’autres organisations et inciter les utilisateurs à partager leurs informations d’identification. N’oubliez pas que le hameçonnage moderne peut aller au-delà des courriels habituels et combiner différents canaux de communication, tels que les appels téléphoniques, les SMS, les messageries privées et autres.
« Je recommande à tous les utilisateurs de changer leur mot de passe principal et d’appliquer les meilleures pratiques en matière de sécurité des mots de passe. Cela comprend la création d’un mot de passe principal fort d’au moins 30 caractères, le rechiffrement du coffre-fort de mots de passe et l’activation de l’authentification multifacteur (MFA). »
Son conseil survient après que le PDG de LastPass, Karim Toubba, eut reconnu que la violation de données d’août dernier était pire que ce qu’il avait décrit plus tôt ce mois-ci. Un pirate a accédé à un service de stockage tiers basé sur le nuage que LastPass utilise pour stocker des sauvegardes archivées de ses données de production à l’aide des informations obtenues lors d’une attaque en août.
Après une enquête plus approfondie, l’entreprise s’est rendu compte qu’une fois la clé d’accès au stockage infonuagique et les doubles clés de déchiffrement du conteneur de stockage obtenues, le cybercriminel copiait des informations à partir de sauvegardes contenant des informations de base sur le compte client et les métadonnées associées, notamment les noms de l’entreprise, les noms des utilisateurs finaux, la facturation. les adresses et adresses de courriel, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass.
En outre, le pirate a également copié une sauvegarde cryptée des données du coffre-fort client à partir du conteneur de stockage crypté. « Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur en utilisant notre architecture Zero Knowledge », a déclaré Karim Toubba dans un article de blog. « Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local d’un utilisateur. »
« En raison des méthodes de hachage et de cryptage que nous utilisons pour protéger nos clients, il serait extrêmement difficile d’essayer de forcer brutalement les mots de passe maîtres pour les clients qui suivent nos meilleures pratiques en matière de mot de passe », a-t-il affirmé.
« Cet incident montre qu’un attaquant expérimenté peut exploiter les vulnérabilités de sécurité d’une entreprise et voler des données clients sensibles même s’il n’a initialement eu accès qu’à une certaine partie de l’infrastructure de l’entreprise qui n’est pas directement liée à ces données sensibles », a-t-il déclaré.
Adaptation et traduction française par Renaud Larue-Langlois.
