Piratage de LastPass : c'est encore plus grave que ce que l'on imaginait

Alexandre Boero
Chargé de l'actualité de Clubic
28 février 2023 à 13h00
22
© Shutterstock
© Shutterstock

LastPass a publié une nouvelle note sur certains des incidents de sécurité dont son gestionnaire de mots de passe a été victime l'an dernier.

Après la mise au point du mois de janvier, est arrivée celle du mois de février. LastPass, qui a subi plusieurs attaques majeures en 2022, continue de communiquer autour de ces incidents. Cette semaine, l'entreprise a livré de nouvelles informations sur l'origine de ces attaques. Elle a ainsi indiqué que les pirates ont pu infiltrer l'ordinateur d'un ingénieur DevOps lors d'une première attaque et se sont servi des données récoltées pour en lancer une seconde.

Les hackers ont transité par l'ordinateur d'un ingénieur DevOps

En marge du premier incident de sécurité, survenu le 12 d'août et qui avait permis aux hackers de dérober des données sur les serveurs cloud d'Amazon Web Services (AWS), LastPass nous apprend que ces informations d'identification des serveurs ont été volées à un ingénieur DevOps.

L'ingénieur avait accès, depuis son ordinateur personnel, à un environnement de stockage cloud partagé. La machine de ce dernier a été piratée grâce à une vulnérabilité trouvée sur la plateforme multimédia Plex. Quelques jours après l'attaque, le logiciel qui permet d'accéder à des films, musiques et séries annonçait justement avoir subi une attaque, avec le vol de 15 millions de mots de passe à la clé.

Concernant l'ingénieur DevOps, les hackers ont implanté dans son ordinateur un enregistreur de frappe qui a permis de récupérer le mot de passe du technicien une fois celui-ci authentifié avec MFA. Cela leur a ensuite donné accès au coffre-fort de l'entreprise LastPass. Tout ceci a rendu plus difficilement détectable l'activité suspecte.

Des attaques qui étaient liées entre elles

LastPass nous aide à mieux comprendre le fil des événements, puisque la seconde attaque était très clairement liée à la première. L'entreprise ne s'en est pas aperçue tout de suite, en raison de techniques et de procédures différentes.

Les pirates ont en effet exploité les informations volées lors du premier incident pour lancer une deuxième attaque coordonnée. Cette dernière a pris la forme d'une série d'activités de reconnaissance, d'exfiltration et de dénombrement, toutes alignées sur le stockage en nuage de l'entreprise, entre le 12 août et le 26 octobre 2022.

Lors du second incident, révélé à la fin du mois de novembre, les pirates ont ciblé l'un des ingénieurs DevOps qui avaient accès aux clés de déchiffrement nécessaires pour déverrouiller le stockage cloud de l'entreprise. Ils ne pouvaient pas faire autrement, puisque les contrôles de sécurité protégeant et sécurisant les installations du data center rattaché à LastPass leur avaient barré la route.

LastPass
Voir l'offre
Lire l'avis 6
LastPass
  • Stockage illimité des mots de passe
  • Surveillance du dark web (Premium)
  • Interface

LastPass est très facile à maîtriser. Tout est intuitif et bien organisé, que ce soit avec la version à installer sur ordinateur ou les applications mobiles. Comme d’autres gestionnaires en ligne, la version desktop offre plus de possibilités de réglages. Disponible gratuitement ou en version Premium (et Famille), LastPass répondra à tous vos besoins. Cependant, avec une année 2022 marquée par les problèmes de sécurité rencontrés par l'entreprise, la réputation de LastPass est désormais ternie, et il sera nécessaire pour le gestionnaire de redoubler d'efforts pour regagner la confiance des utilisateurs.

LastPass est très facile à maîtriser. Tout est intuitif et bien organisé, que ce soit avec la version à installer sur ordinateur ou les applications mobiles. Comme d’autres gestionnaires en ligne, la version desktop offre plus de possibilités de réglages. Disponible gratuitement ou en version Premium (et Famille), LastPass répondra à tous vos besoins. Cependant, avec une année 2022 marquée par les problèmes de sécurité rencontrés par l'entreprise, la réputation de LastPass est désormais ternie, et il sera nécessaire pour le gestionnaire de redoubler d'efforts pour regagner la confiance des utilisateurs.

Source : LastPass

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (22)

a-snowboard
Donc si je comprends bien, un ordi personnel a été utilisé pour le travail de l’ingénieur.<br /> Du coup, ça serait cool d’avoir des infos complémentaires. Est-ce que l’entreprise avait sécurisé l’ordinateur de l’employé ?<br /> Avait-elle fourni un ordinateur de travail à l’employé ?<br /> Selon la réponse, ça peut très très vite changer de responsable. Et tel que c’est présenté, tout laisse penser que c’est uniquement la faute de l’ingénieur.<br /> Avec le covid et la multiplication du télétravail, les entreprise n’ont pas toujours joué le jeu en fournissant un ordinateur de qualité pour le travail à domicile. (et je ne parle même pas de l’espace de travail qui doit pouvoir se fermer en fin de journée, dans le droit du travail en france).
Werehog
Ingénieur DevOps : traduction un mec qui n’est ni assez bon développeur, ni assez bon admin. Ou un bon développeur qui se prend pour un admin, alors qu’admin c’est un métier qui n’a rien à voir.<br /> Coffre fort pro dans un pc perso : traduction faute grave.<br /> Serveur Plex : traduction le guignol utilisait le même poste pour accéder à un réseau sécurisé d’entreprise que pour mater ses divx.<br /> Moralité : donner trop d’accès à des postes transverses c’est une idée pire que de créer ces postes transverses. Enfin c’est ma vision toute personnelle du marasme que devient l’informatique.
Baxter_X
Ta vision personnelle est un superbe ramassis de raccourcis de facilité et de « ya qu’a faire autrement ».<br /> Rien que ta vision du Devops est absolument magique.
ayaredone
J’ai lu ça :<br /> fr.wikipedia.org<br /> Devops<br /> Cet article ne cite pas suffisamment ses sources (avril 2018).<br /> Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références » <br /> En pratique : Quelles sources sont attendues ? Comment ajouter mes sources ?<br /> et je suis toujours aussi bête <br /> Pour en revenir au piratage, je pense que nombreuses sont les personnes à se dire : ça n’arrive qu’aux autres.
Werehog
Ce qui est absolument magique, c’est qu’une boîte se dise « on va embaucher un seul mec pour faire du dev et de l’admin, ça sera mieux que d’embaucher un dev qui fasse vraiment du dev et un admin qui sache vraiment ce qu’il fait sur le serveur. On va le payer à coups de lance pierre (faut pas se leurrer, devops c’est rarement bien payé) mais pour le consoler on l’appellera ingénieur-devops, titre qui n’existe pas officiellement mais c’est pas grave, comme ça tout le monde sera content »<br /> Et quand ça pète, ça tombe sur le devops qui, le pauvre, était peut-être meilleur en dev qu’en admin (en même temps on ne pouvait pas lui reprocher)<br /> Jouer avec le feu en mettant des gens insuffisamment formés sur des postes aussi critiques que de l’admin, ça ne peut qu’amener des catastrophes et j’ai pu le constater dans ma carrière pas mal de fois. J’estime ma vision plutôt réaliste et sans langue de bois.<br /> Les seuls coupables sont ceux qui créent ce genre d’emplois, les moutons à 5 pattes que les recruteurs veulent pour réduire les coûts.<br /> Un « devops » dans une startup de 5 personnes, ok ça se comprend tout à fait, mais dans une grosse boîte comme LastPass, désolé ça ne devrait pas y exister…
Couscous78150
Merci, j’avais l’impression d’être seul
Baxter_X
Le gars démontre une nouvelle fois sa méconnaissance totale du sujet avec une insistance qui force l’admiration.<br /> Juste pour info: Je suis Devops. Et très bien payé. Et à des années lumières de ce que tu décris.
a-snowboard
Avant de traiter de gignol, comme je l’ai dit, on manque d’info.<br /> Est-ce l’employé qui à vraiment fait le gignol ? Ou l’entreprise qui à fait des économies de bout de chandelle en donnant pas d’ordi de travail à ce type ? (et un ordi qui tient la route, pas une bouse).
Blackalf
Et il est tout à fait possible d’expliquer quelque chose sans donner dans le sarcasme, l’insulte gratuite (message supprimé) et l’arrogance. <br /> 5. Restez courtois<br /> Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.<br /> 6. Publiez des messages utiles<br /> Chaque participation a vocation à enrichir la discussion, aussi les partages d’humeurs personnelles ne doivent pas venir gêner le fil des échanges.<br />
mrassol
pfff en tant que vrai DevOps, je te crois pas, Werehog te dit que t’es un mauvais dev et un mauvais admin payé au lance pierre, c’est que c’est vrai, c’est écrit sur internet …
Baxter_X
<br /> Pardon… J’avoue tout… Dis moi comment je peux me punir.
dieselpub
Les gens tapent sur baxter à cause de son trolling gratuit du devops, mais pour le reste, il a raison :<br /> Comment est ce possible d’avoir un truc comme plex qui sert aussi à accéder à un cloud d’entreprise, avec visiblement du privilège élevé ?<br /> Et si je ne prétends pas être meilleur que le type en question, j’ai du mal à comprendre pourquoi il a pu accepter une situation pareille. Soit il a Plex installé sur un poste pro, et les gens qui gèrent les postes sont des guignols pour accepter ça ou ne pas le voir, et le type est en faute pour l’avoir installé, soit Ila accédé au cloud de l’entreprise avec un compte privilégié à partir d’un poste perso, et c’est presque pire.<br /> Une politique moderne de gestion des accès, en place dans n’importe quelle PME digne de ce nom aurait bloqué cette attaque à la source.
Baxter_X
Tout le monde semble lancer des hypothèses concernant Plex et son installation ou son accès. Mais le problème semble concerner la fuite de donnée dont ils ont été victime.<br /> Il suffit que le salarié en question ai eu ses accès qui ont fuité lors de cette attaque et qu’il réutilise sont mot de passe pour d’autres accès pour que le tour soit joué.
louchi
hmm…il bosse sous Windows, le Devops ?<br /> → un enregistreur de frappes…ça me rappelle de très lointains souvenirs de keyloggers sous Windows. Mais alors sous Linux ? faut le vouloir ou pas
LeChien
Si je comprends bien la vision qu’ont certains de la sécurité en entreprise, tout réside donc côté endpoint et de son utilisateur qu’il faut mettre au bûcher ?<br /> Moi qui croyais bêtement qu’une supervision côté ressources était aussi indispensable, notamment pour repérer au plus tôt les accès/comportements anormaux (quand bien même ils proviennent d’hôtes et de credz connus).<br /> On dirait bien qu’il n’y avait pas le minimum syndical là non plus.<br /> De là à dire que cette boîte pratiquait le bluff sécurité, il n’y a qu’un pas que je ne franchirai pas.
Agima
Comment se fait-il que LastPass n’ait pas informé tous ses utilisateurs des attaques pour que ces derniers ailleurs vite changer tous leurs mots de passe ?<br /> Attendre sans rien dire est encore plus grave et surtout dommageable pour les utilisateurs.
a-snowboard
Tu sais, lire un article ça demande pas mal de ressources.<br /> Alors prendre du recul et analyser… je ne t’en parle même pas ^^
Baxter_X
Les experts 2.0 sont de sorties en ce moment ! Ce doit être la saison.
Baxter_X
Pas d’enregistreur de frappe. La fuite de données chez Plex a du suffire.
Jetto
Les informations dont nous, les lecteurs, disposons sont bien trop lacunaires pour pouvoir en tirer des conclusions valides. C’est un peu comme conclure sur les responsabilités d’un crash d’avion après avoir regardé une vidéo.
adnstep
Effectivement, ce qui saute aux yeux dans cet article, c’est : utilisation d’un poste pro pour les loisirs.<br /> Donc : possibilité d’installer ce que je veux sur mon poste pro. (A moins que Plex soit utile à son boulot ?)<br /> Donc : mauvaise administration du parc de postes de l’entreprise.<br /> Quand au devops, n’oublions pas que ça a été inventé pour accélérer les cycles de livraison des versions. De là à s’affranchir d’un certain nombre de contrôles de sécurité…
Laurent_Marandet
Au final, je n’aimerais pas être actionnaire de la boîte, elle va partir en fumée.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Piratage de LastPass : c'est encore plus grave que ce que l'on imaginait Piratage de LastPass : c'est encore plus grave que ce que l'on imaginait
LastPass : le piratage de novembre est bien plus large que ce qu'on croyait LastPass : le piratage de novembre est bien plus large que ce qu'on croyait
LastPass piratée pour la 2e fois cette année, vos mots de passe toujours en sécurité ? LastPass piratée pour la 2e fois cette année, vos mots de passe toujours en sécurité ?
Oups ! Vous utilisez LastPass ? Des hackers ont sans doute des informations vous concernant... Oups ! Vous utilisez LastPass ? Des hackers ont sans doute des informations vous concernant...
Piratage de LastPass : quand les gestionnaires de mots de passe se tirent dans les pattes Piratage de LastPass : quand les gestionnaires de mots de passe se tirent dans les pattes