LastPass : une gueule de bois qui n'en finit plus

Alexandre Schmid

09 septembre 2023 à 13h00

Le piratage de LastPass serait à l'origine du vol de dizaines de millions de dollars en crypto-monnaie.

LastPass est dans la tourmente. Le populaire gestionnaire de mots de passe a été victime de plusieurs incidents de sécurité majeurs au cours de ces derniers mois, et l'on commence à constater les dégâts chez plusieurs utilisateurs.

Deux attaques liées

Les déboires de la société ont commencé il y a un peu plus d'un an. En août 2022, Karim Toubba, le PDG de LastPass, faisait savoir que des pirates avaient réussi à pénétrer leur système. Une partie du code source et des informations techniques importantes avaient alors été dérobées. Trois semaines plus tard, la plateforme rassurait en assurant que les attaquants n'avaient accédé à aucune donnée client ni à aucun coffre-fort de mots de passe.

Le répit sera toutefois de courte durée. Dès novembre 2022, nouveau coup dur : LastPass communique une autre violation de données, permise par les éléments subtilisés lors de la première attaque. Bien plus grave, cet épisode concerne la compromission de copies chiffrées de certains coffres-forts de mots de passe, ainsi que d'autres informations personnelles de clients.

Une vulnérabilité dans Plex, sur le PC personnel d'un ingénieur

En février 2023, nous obtenons de nouveaux détails qui n'arrangent pas les affaires de LastPass. Il est révélé que la première attaque a permis aux pirates de voler des informations d'identification des serveurs à un ingénieur DevOps, qui fait partie des quatre seuls employés à pouvoir accéder à un système critique du réseau.

« Cela a été accompli en ciblant l'ordinateur personnel de l'ingénieur DevOps et en exploitant un progiciel multimédia tiers vulnérable, qui a permis l'exécution de code à distance et a permis à l'acteur malveillant d'implanter un logiciel malveillant d'enregistrement de frappe », nous explique-t-on alors. « L'acteur malveillant a pu capturer le mot de passe principal de l'employé au moment de sa saisie, après que l'employé s'est authentifié par double facteur, et accéder au coffre-fort d'entreprise LastPass de l'ingénieur DevOps », indique l'entreprise. Nous apprendrons plus tard que c'est une faille de sécurité dans Plex qui a été exploitée.

Grâce à ces accès, les pirates ont pu mener durant des semaines une série d'activités de reconnaissance et d'exfiltration sur les serveurs de LastPass pour préparer leur attaque finale. Ils ont finalement pu récupérer les clés de déchiffrement servant à déverrouiller le stockage cloud de LastPass, et ainsi parvenir à voler des données clients, certaines d'entre elles étant chiffrées, mais d'autres affichées en clair.

Des millions de dollars de crypto-monnaies envolés

Face à cette situation, LastPass a logiquement perdu la confiance de ses utilisateurs. On ne commence à mesurer que maintenant l'impact causé par cette fuite de données, qui pourrait aller bien plus loin que ce à quoi l'on s'attendait.

Constatant une anormale hausse des vols de crypto-monnaie, un certain Taylor Monahan, cadre chez MetaMask, un portefeuille logiciel de crypto-monnaie fonctionnant avec la blockchain Ethereum, lance une enquête pour tenter d'identifier un dénominateur commun entre toutes les victimes.

Ses recherches restent vaines pendant bien longtemps. Les utilisateurs qui ont vu leurs crypto-monnaies se volatiliser sont dans la plupart des cas des investisseurs de longue date, bien au fait des mesures de sécurité à prendre pour protéger ses actifs. Alors, comment un si grand nombre d'entre eux ont-ils pu se faire voler ?

Twitter tweet

Il aura fallu de longs mois de travail pour enfin relier les vols entre eux. « Un ensemble d’indices très fiables » tend à désigner LastPass comme le coupable de toutes ces affaires. Le point commun entre la quasi-totalité des victimes est en effet qu'elles ont, à un moment donné, stocké la phrase de départ de récupération de leur portefeuille crypto au sein du gestionnaire de mots de passe. En accédant à cette clé privée, les pirates ont alors pu accéder aux crypto-monnaies et déplacer les fonds.

Taylor Monahan prétend qu'au moins 150 personnes ont perdu un total de plus de 35 millions de dollars en crypto-monnaie de cette manière. Les adresses blockchain utilisées pour l'opération confirment que les vols ont été réalisés par le même réseau de pirates.

Voir l'offre

Lire l'avis 6

LastPass

Stockage illimité des mots de passe
Surveillance du dark web (Premium)
Interface

LastPass est très facile à maîtriser. Tout est intuitif et bien organisé, que ce soit avec la version à installer sur ordinateur ou les applications mobiles. Comme d’autres gestionnaires en ligne, la version desktop offre plus de possibilités de réglages. Disponible gratuitement ou en version Premium (et Famille), LastPass répondra à tous vos besoins. Cependant, avec une année 2022 marquée par les problèmes de sécurité rencontrés par l'entreprise, la réputation de LastPass est désormais ternie, et il sera nécessaire pour le gestionnaire de redoubler d'efforts pour regagner la confiance des utilisateurs.

Source : Krebs On Security

Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles

Gestionnaire de mot de passe

Commentaires (28)

yabadabado

il faut etre inconscient pour stocker ses MDP’s dans des cloud …

Blap

Il faut être inconscient pour ne pas le faire. Et il y a cloud et cloud

Pernel

Un bon stockage local ^^

sylvebarbe78

Il n’existe aucun « cloud » inviolable. La seule vraie sécurité est de stocker en local et surtout sur support papier ses informations sensibles. Évidemment ça demande un effort supplémentaire mais c’est le prix à payer de la tranquillité.

ar-s

Pourquoi ton stockage local serait moins infaillible qu’un DevOP dans du Cloud ? Ce raisonnement n’est pas du tout fiable. Une machine local, à moins qu’elle ne soit strictement dédiée et hors reseau peut tout à fait avoir un soft avec une faille, qu’elle soit 0day ou pas…

Biggs

J’aimerais que tu développes la notion de « il faudrait être inconscient pour ne pas stocker des données ultra-sensibles telles que des mots de passe sur un cloud ». Parce que moi, je suis plutôt d’accord à 1000% avec mon VDD @rasleboldevotre censure, c’est une erreur monumentale (et l’affaire Lastpass le confirme). Donc je suis intéressé par ton avis contraire.

Pernel

Parce que je les stocke sur une clé USB (enfin 3 clés), que je n’installe pas n’importe quoi de vérolé, que je fais attention et donc je limite au max les risques. Un cloud c’est bien mais ils sont beaucoup plus sujets aux attaques que mes machines, forcément c’est pas intéressant d’attaquer un particulier quand tu peux attaquer un cloud avec des millions d’utilisateurs, même si c’est plus difficile, c’est hautement plus rentable.

ar-s

Ton comportement est le bon, mais tu n’es pas à l’abri d’une faille sur un soft, je ne parle pas de vérole. Il est vrai qu’une personne ne sera pas une cible prioritaire. Quand tu dis clés usb tu parles de Ledger ou clé dédiée ?

Blap

Parce qu’il vaut mieux ca que d’utiliser les memes mots de passe partout, ou noter ca sur papier. Deux énormes conneries. Pareil pour le local pas chiffré Tu peux aussi très bien te faire un cloud perso avec des solutions open sources comme Keypass ou Bitwarden, il faudra tomber sur quelqu’un qui te vise spécifiquement plutôt que des attaques de masse, et surtout avant que quelqu’un arrive a peter un container chiffré faut y aller (pareil avec les solutions clef en main bien foutu comme Bitwarden qui a pas accès a tes données). Ta machine perso sera le point d’entree au hacker, pas ton conteneur de mots de passe. Il aura accès a bien plus de truc intéressant qu’un conteneur chiffré rempli de mots de passe illisibles.

Pernel

Le risque zéro n’existe pas (comme la cuillère), mais le fait d’être en local limite quand même pas mal ce risque. Clé USB, des clés USB 2.0 (j’avais pris un lot pour mes PW et ma voiture, 16 clés a 10 balles, en France). J’ai pas besoin de plus, ça me sert sur le gsm, l’iPad, les PC, certes moins pratique qu’un cloud (et encore un cloud peut tomber en panne ou on peut ne plus avoir de réseau), mais ça prend quelques secondes, c’est pas la mort.

ayaredone

On ne pourra jamais me voler mes cryptodevises car j’ai la meilleure des protections : pas de crypto

LeChien

Pour en revenir à la news (non pas que vos positions individuelles soient inintéressantes), il y a une chose qui m’étonne à chaque fois que cette histoire de LastPass revient : on dirait qu’ils n’ont pris aucune mesure de renforcement, réinitialisation d’accès (en credz et en méthodes) suite à la première compromission de annoncée en 2022.

arnaques_tutoriels_aide_informatique_tests

Mais trop et pire :les mettre là où publiquement il est dit que c’est un endroit où stock des password ! Ya 3 ou 4 ans, j’avais préconisé déjà qu’on Pas utilise ce genre de lieu pour stocker des mot de passe…

arnaques_tutoriels_aide_informatique_tests

Exact et surtout lastpass et alternatives c juste l’endroit où on sait où sont les secrets…

phoenix2

Des usuriers qui se font voler bof, disons qu’il faut avoir l’esprit Coubertin, sinon ils ont bien choisi le nom 'LAST PASS" traduit dernière passe et c’est le terminus tout le monde descends LOL !!

DETOMINE

Et du coup clubic vous attendez quoi pour baisser la note de lastpass de 8/10 à 0/10?

BernardB

Les innocents ; Tous mes mots de passe sont sur une clé USB et carte Mem. & que j’ insert après avoir allumé l’Ordi. Il faut être innocent pour confier ses mots de passe important à qui que se soit ou un Cloud ! Un secret n’est plus un secret si deux personnes le possèdent ! Pour certains sites, une double sécurité envoyé sur mon Tel, c’est l’empreinte digitale ou un code. De plus, j’ai 3 logiciels qui suppriment les cookies, après chaque visite sur un site Web, je les lances une fois sorti du site. Ce sont, Nero TuneItUp, AVS Registry Cleaner et CCleaner, je préfère perde 2 minutes et effacée toute trace. En plus, les cookies prennent de la place sur le disk dur quand même, parfois plusieurs Mo.

Werehog

La seule leçon à retenir en tout cas, c’est l’employé qui mélangeait le perso et le pro sur un même poste …

ovancantfort

Ce qui m’avait fait tiquer chez LastPass, c’est qu’ils avaient un système de récupération de mot de passe, ce qui veut dire que la clef de chiffrement principale était stockée quelque part sans être chiffrée par le mot de passe. Bitwarden est on ne peut plus clair. Si vous perdez votre mot de passe et la clef de récupération que l’on vous suggère d’imprimer et de conserver en lieu sûr, il n’existe aucun moyen de récupérer le contenu de votre coffre-fort.

MattS32

BernardB: Un secret n’est plus un secret si deux personnes le possèdent ! Le fait que certains gestionnaires de mot de passe stockent les données en ligne n’implique pas que le secret soit partagé. La base de données est stockée avec une clé de chiffrement dérivée du mot de passe maître, sans ce mot de passe maître il est impossible d’accéder aux données. Ceux qui ont été affectés par ce piratage de LastPass sont sans doute des gens qui avaient soit un mot de passe maître trop faible, qui n’a pas résisté à une attaque par force brute, soit qui était aussi utilisé sur un autre service, lui même victime d’une fuite des mots de passe. Ce sont là les deux erreurs fondamentales (mot de passe trop faible ou mot de passe dupliqué), pas le fait de stocker la base sur un serveur. BernardB: En plus, les cookies prennent de la place sur le disk dur quand même, parfois plusieurs Mo. Tu te rends compte qu’à l’heure où les espaces disque se comptent en To, gagner quelques Mo c’est un gain de l’ordre de un millionième ? C’est un peu comme passer du temps pour tenter de gagner 2 cts sur un livret avec 10 000€ de dépôt… Mais surtout, si tu fais systématiquement le ménage des cookies, pourquoi n’utilises pas plutôt la navigation privée, dont le but est justement d’automatiser ça, plutôt que de perdre du temps avec non pas un, non pas deux, mais carrément TROIS logiciels (qui prennent sans doute bien plus que quelques Mo sur ton disque…) pour faire le ménage ? Surtout que ces logiciels sont loin d’être des chevaliers blancs… ovancantfort: Ce qui m’avait fait tiquer chez LastPass, c’est qu’ils avaient un système de récupération de mot de passe, ce qui veut dire que la clef de chiffrement principale était stockée quelque part sans être chiffrée par le mot de passe. Non, la récupération du mot de passe ne fonctionne que depuis un navigateur sur lequel tu as l’extension LastPass préalablement connectée à ton compte. C’est comme ça qu’il récupère la base de données, car sur les clients elle n’est pas forcément chiffrée (dépend du paramétrage de l’extension). image720×674 16.1 KB

Caramel34

Tout à fait. Les sites de ce genre sont une proie facile car c’est justement leur domaine. C’est comme quand mettre deux portes fermées, l’une nue, l’autre avec une pancarte « accès interdit ». La porte avec la pancarte sera plus sollicitée que l’autre.

Palou

ayaredone: On ne pourra jamais me voler mes cryptodevises car j’ai la meilleure des protections : pas de crypto Fais comme moi, j’ai un crypto-Monet Cryptomonnaie ou crypto Monet526×579 57.4 KB

hellraisercom

J’étais chez eux a un moment, a l’époque l’abonnement était a 1€ par mois sans aucune promo. au bout de 5 ans je me suis retrouver a ~50€ par an… j’ai fais ciao ! Ce sont des pratique de voleur je trouve, vu que tu as tout tes mots de passes chez eux et que j’utilisais le générateur avec 25 caractères pour chaque site, ils te tiennent en laisse et tu dois cracher… jusqu’à ce que bitwarden accepte les fichiers de save lastpass, j’étais aux anges.

bmustang

ce qui est triste, c’est la perte de millions € pour les victimes en lien avec lastpass, société qui a essuyé de nombreuses attaques et qui n’a rien fait pour protéger ses clients !? pire de voir que tout part d’une faille humaine avec un soft dont on se demande le lien avec son poste ?

OL556B3C4

Keepass et Bitwarden sont parfaits, pourquoi vouloir payer pour Lastpass ? L’autre problème de payer pour un gestionnaire, c’est que le jour ou on arrête de payer (problème de carte par ex.), l’accès risque d’être restreint. Je parle en connaissance de cause : cela m’est arrivé et c’est excessivement gênant.

BernardB

Drôle de comparaison sur la Tune ; Désoler, les 25 Mo ou 30 Mo voir + de cookie à chaque connexion, qui en fin de journée représentent quelque centaines de Mo, x pas nombre de jour, semaine, mois, accumuler, arrive à X Go sur le disk dur. & dans une année, 250€ ??? Je reste sur mon avis des mots de passe, aucune confiance à ces Clouds. Merci de ta solitude.

MattS32

BernardB: Désoler, les 25 Mo ou 30 Mo voir + de cookie à chaque connexion, qui en fin de journée représentent quelque centaines de Mo, x pas nombre de jour, semaine, mois, accumuler, arrive à X Go sur le disk dur. Alors déjà, non, tu n’auras jamais 30 Mo de cookies après une connexion à un site… Pour rappel, les cookies d’un site sont intégralement envoyés au site à chaque requête faite vers ce site… Si un site avec une page d’accueil contenant quelques feuilles de style, quelques js et une vingtaine d’images avait 30 Mo de cookies associés, tu devrais envoyer vers le site plus d’1 Go de données rien que pour afficher la page d’accueil… Les cookies d’un site ne font généralement que quelques dizaines ou centaines d’octets, pas plus. Voilà par exemple la taille des cookies de forum.clubic.com chez moi : 1.2 Ko de cookies de session (automatiquement supprimés lors de la fermeture du navigateur), 0.6 Ko de cookiees persistants. Ensuite, les cookies d’un site ne se cumulent pas dans le temps. Aujourd’hui j’ai 1.8 Ko de cookies de Clubic. Demain, la semaine prochaine ou dans six mois, sauf changement technique sur le site, ça sera toujours du même ordre de grandeur. Et voilà l’espace qu’occupent sur mon disque TOUS les cookies stockés par mon Firefox en 3 ans de navigation sans jamais faire le ménage. Moins de 2 Mo… Après, tu as aussi le « local storage » de JavaScript où les sites peuvent stocker des données, mais ça n’a plus rien à voir avec les cookies. Et là encore, ça ne grossit pas perpétuellement, l’espace occupé par les données de chaque site est relativement stable dans le temps. Dans mon profil Firefox, ce local storage atteint 500 Mo au bout de trois ans. Répartis sur plusieurs centaines de sites. Et le gros de cet espace, c’est du cache, pour accélérer la navigation sur les sites… Par exemple dans mon local storage, forum.clubic.com occupe 28 Mo dont 27.5 Mo de cache.

BernardB

Tu as raison les cookies ne prennent pas beaucoup de place. Il y a aussi des fichiers indésirables, et se sont eux qui prennent de la place !! & eux, on ne les voit pas mais s’incrustent sournoisement. image1758×844 36 KB

MattS32

Ce que ton logiciel appel fichiers « indésirables », c’est sans doute du cache pour accélérer les visites ultérieures sur le même site… Mais bon, c’est clair que pour « vendre » du logiciel de nettoyage, c’est plus efficace de dire « indésirable » que de dire « cache pour accélérer la navigation »

Voir tous les messages sur le forum

LastPass : une gueule de bois qui n'en finit plus

Deux attaques liées

Une vulnérabilité dans Plex, sur le PC personnel d'un ingénieur

Des millions de dollars de crypto-monnaies envolés

A découvrir en vidéo

Commentaires (28)

Top gestionnaires de mot de passe

Top app & logiciels

Sur le même sujet