Vol de données chez LastPass, la gestion centralisée des mots de passe fragilisée

La plateforme de gestion de mots de passe LastPass affronte un vol de données confidentielles de ses clients. Les informations diffusées il y a quelques jours par Karim Touba, DG de LastPass sont extrêmement préoccupantes. Stocker l’ensemble de ses mots de passe chez un seul prestataire apparaît soudain bien fragile.

Environ 3% des clients professionnels ont été informés de prendre des mesures

A ce stade, LastPass a informé certains de ses clients professionnels, moins de 3 %, pour leur recommander de prendre des mesures en fonction de leurs configurations de compte spécifiques. Cela reste une enquête en cours.  Un hacker a accédé à des sauvegardes des données de production de LastPass placées sur un service de stockage situé dans le Cloud.

Le hacker a ainsi copié des informations sur le compte client et les métadonnées associées. C’est-à-dire les noms de société, les noms d’utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass.  

Le hacker a aussi copié une sauvegarde des données du coffre-fort du client à partir du conteneur de stockage crypté qui est stocké dans un format binaire propriétaire. Ce conteneur contient à la fois des données non cryptées, telles que les URL de sites Web. Il y a aussi des champs sensibles cryptés tels que les noms d’utilisateur de sites Web et les mots de passe, les notes sécurisées et les données remplies par formulaire. 

La clé de cryptage est issue du mot de passe unique connu seulement du client

Point positif, ces champs cryptés restent pour leur part sécurisés avec un cryptage AES 256 bits. Ils ne peuvent être décryptés qu’avec une clé de cryptage unique. Cette clé est dérivée du mot de passe principal de chaque utilisateur. Ce mot de passe principal est la clé de voute de la solution. Il n’est connu que du client. LastPass ne connaît pas ce mot de passe, ne le stocke pas et ne le conserve pas. LastPass rappelle qu’il exige de ses clients d’utiliser des mots de passe de 12 caractères depuis 2018. Ce mot de passe principal n’est demandé au client que pour se connecter à son coffre-fort LastPass depuis un logiciel client LastPass.

Point négatif, il ne faut pas que ce mot de passe soit employé par ailleurs sur d’autres sites Web. Cela peut permettre à un hacker d’y accéder. Dès lors, LastPass recommande de minimiser les risques en modifiant les mots de passe des sites Web que le client utilise. Par ailleurs, LastPass déclare qu’il n’y a aucune preuve que des données de carte de crédit non cryptées aient été consultées. LastPass ne stocke pas les numéros de carte de crédit au complet et les informations de carte de crédit ne sont pas archivées dans cet environnement de stockage sur le Cloud.

LastPass a supprimé tout accès potentiel supplémentaire à l’environnement de développement LastPass. Il a désactivé cet environnement dans son intégralité et a reconstruit un nouvel environnement à partir de zéro. « Nous avons également remplacé et renforcé les machines, les processus et les mécanismes d’authentification des développeurs » indique Karim Touba.

Une journalisation et des alertes supplémentaires pour détecter une activité non autorisée

LastPass a ajouté des capacités de journalisation et d’alerte supplémentaires pour aider à détecter toute autre activité non autorisée. La sosicété a ajouté une deuxième ligne de défense avec un fournisseur spécialisé dans la détection et la réponse des terminaux gérés pour compléter sa propre équipe. LastPass effectue l’analyse de chaque compte présentant des signes d’activité suspecte au sein de son service de stockage dans le Cloud. L’objectif est également de comprendre à quoi le hacker a accédé.