Le gestionnaire de mots de passe LastPass fait l’objet de critiques suite à une récente violation de données qui a exposé les informations des utilisateurs, y compris les URL de sites Web non cryptées.
LastPass, une filiale de GoTo (anciennement LogMeIn), a révélé le mois dernier qu’un acteur malveillant avait volé des informations personnelles importantes sur les clients, notamment des noms, des numéros de téléphone, des adresses de facturation, etc.
Le gestionnaire de mots de passe a publié le 22 décembre une mise à jour de son article de blog révélant La faille de sécurité d’août. Le 25 août, le PDG de LastPass, Karim Toubba, a écrit qu’une “partie non autorisée” avait eu accès à l’environnement de développement de LastPass en compromettant un compte de développeur. En conséquence, “des portions de code source et certaines informations techniques propriétaires de LastPass” ont été volées.
Une mise à jour du 15 septembre a fourni des détails techniques supplémentaires, tandis qu’une mise à jour du 30 novembre pour la poste faisait référence à un récent “incident de sécurité” qui faisait actuellement l’objet d’une enquête. À l’époque, Toubba avait seulement déclaré qu’une partie non autorisée avait exploité les informations obtenues lors de la violation d’août 2022 pour accéder à “certains éléments des informations de nos clients”. C’est cet incident qui a été détaillé dans la mise à jour du blog du 22 décembre.
Selon le PDG, un acteur de la menace anonyme a utilisé le code source volé et les données techniques de la violation d’août pour cibler un autre employé et voler des informations d’identification et des clés. Ces clés, qui comprenaient des clés de déchiffrement de conteneur de stockage double et une clé d’accès au stockage en nuage, ont été utilisées pour accéder et copier les informations client à partir de la sauvegarde.
Ces données client, a écrit Toubba, comprenaient “les noms des entreprises, les noms des utilisateurs finaux, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass”. L’auteur de la menace a également obtenu une sauvegarde des données du coffre-fort client qui comprenait des noms d’utilisateur et des mots de passe de site Web cryptés ainsi que des données non cryptées telles que des URL de site Web.
Bien que le vol de mot de passe soit généralement considéré comme le pire scénario pour un gestionnaire de mots de passe, Toubba a déclaré qu’il faudrait “des millions d’années” pour déchiffrer le mot de passe principal LastPass d’un client, ce qui est nécessaire pour déchiffrer les connexions cryptées au site Web.
“Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu’avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur en utilisant notre architecture Zero Knowledge”, a-t-il écrit. “Pour rappel, le mot de passe principal n’est jamais connu de LastPass et n’est ni stocké ni conservé par LastPass.”
Même encore, les données non chiffrées obtenues auprès des clients professionnels et personnels de LastPass peuvent être utilisées dans des attaques d’ingénierie sociale et de phishing, ce que Toubba a reconnu dans le message.
“Il est important de savoir que LastPass ne vous appellera, n’enverra jamais d’e-mail ou de SMS pour vous demander de cliquer sur un lien pour vérifier vos informations personnelles”, a-t-il écrit. “En dehors de la connexion à votre coffre-fort à partir d’un client LastPass, LastPass ne vous demandera jamais votre mot de passe principal.”
Critique de LastPass
Malgré la tentative de LastPass de rassurer les utilisateurs, certains acteurs de l’industrie de l’infosec ont publiquement critiqué la réponse de l’entreprise ainsi que sa posture de sécurité.
Lorsqu’on lui a demandé si la violation de LastPass était le pire scénario pour un gestionnaire de mots de passe, le PDG de 1Password, Jeff Shiner, a confirmé.
“Le défi de prendre une copie de la base de données signifie que [the threat actor has] cette copie de ces informations hors ligne”, a-t-il déclaré. “Ainsi, non seulement ils peuvent tenter de la forcer brutalement à leur guise, mais malheureusement, des choses comme changer le mot de passe principal du compte – bien que toujours évidemment recommandé – ne vont pas avoir un impact sur la capacité de l’auteur de la menace à déchiffrer sa copie du compte.”
Certains experts de l’infosec ont également demandé pourquoi LastPass avait choisi de laisser les URL des sites Web des utilisateurs non cryptées. Dans un article de blog plus tôt ce mois-ci, Pieter Arntz, chercheur sur les logiciels malveillants chez Malwarebytes, a écrit que les chercheurs en sécurité étaient préoccupés par les URL non chiffrées.
“Il est en effet difficile de comprendre pourquoi LastPass ne considère pas les champs sensibles des URL de sites Web et cela vous amène à vous demander quelles sont les autres données non chiffrées”, a écrit Arntz, ajoutant que les attaques de phishing ciblées pourraient faire des utilisateurs de LastPass des “proies juteuses”.
John Scott-Railton, chercheur principal au Citizen Lab de l’Université de Toronto, est allé plus loin en notant que les URL de sites Web peuvent parfois contenir des jetons de compte d’utilisateur, des clés API et des données d’identification. “[The] dernière violation de LastPass est peut-être pire que vous ne le pensez », a-t-il déclaré sur Twitter.
Les clients ont également exprimé leur frustration. Plus tôt ce mois-ci, un client LastPass anonyme basé dans le Massachusetts a déposé un recours collectif contre la société. L’individu a déclaré avoir stocké les clés privées Bitcoin dans son compte LastPass et a affirmé qu’un acteur malveillant avait accédé au compte et volé 53 000 $ en crypto-monnaie autour de Thanksgiving.
Dernier #Dernier passage La violation peut être pire que vous ne le pensez.
L’attaquant n’a pas seulement obtenu des mots de passe cryptés.
Ils ont obtenu des URL non chiffrées.
Pensez : des URL avec des jetons de compte, des clés d’API et des informations d’identification, etc.
1/https://t.co/rahrJDk0gf pic.twitter.com/wiuNXJEFiO
– John Scott-Railton (@jsrailton)
23 décembre 2022
Les concurrents pèsent
D’autres sociétés de gestion des identités et des accès ont pesé sur la violation de LastPass.
1Mot de passe a publié un article de blog le 28 décembre intitulé “Pas dans un million d’années : il faut beaucoup moins pour déchiffrer un mot de passe LastPass”. Le message soutient que l’argument “des millions d’années” de LastPass est erroné car il “semble reposer sur l’hypothèse que le mot de passe à 12 caractères de l’utilisateur LastPass a été généré par un processus complètement aléatoire”, mais les mots de passe maîtres LastPass sont générés par les utilisateurs eux-mêmes .
“Les mots de passe créés par les humains sont loin de répondre à cette exigence”, a écrit Jeffrey Goldberg, auteur de l’article et architecte principal de la sécurité de 1Password. “Les humains ne peuvent tout simplement pas créer de mots de passe à haute entropie. Des schémas apparemment intelligents pour créer des mots de passe avec un mélange de lettres, de chiffres et de symboles font plus de mal que de bien.”
Goldberg a déclaré que les systèmes de craquage de mots de passe sont conçus pour donner la priorité aux mots de passe probables en premier, et que dix milliards de suppositions contre un mot de passe principal LastPass “coûteraient moins de 100 $”. LastPass n’est pas le seul gestionnaire de mots de passe avec un système axé sur le mot de passe principal ; de nombreux autres gestionnaires de mots de passe le font également.
Goldberg a comparé le système de mot de passe principal de LastPass au système “Secret Key” de 1Password, qui est une clé de 34 caractères générée par une machine séparée par des tirets qui fonctionne avec le mot de passe du compte de l’utilisateur. Goldberg a déclaré que, comme la clé secrète ne peut pas être devinée et n’est jamais transmise aux systèmes 1Password ou via les systèmes 1Password, les données des clients 1Password seraient entièrement protégées en cas de violation.
Shiner a déclaré que 1Password avait décidé de publier le billet de blog en partie pour apaiser les inquiétudes des clients.
“Les violations qui frappent près de chez nous comme celle-ci amènent les clients à avoir des inquiétudes avec les gestionnaires de mots de passe en général ou à se poser des questions à ce sujet”, a-t-il déclaré. “Et nous recevons également des questions sur la façon dont nous sommes différents de [competitors] et notre approche de la sécurité. Nous pouvons dire avec confiance que si nos données étaient violées, elles resteraient sécurisées. C’est quelque chose sur lequel je pense qu’il est important pour nous de rassurer nos clients.”
TechTarget Editorial a interrogé LastPass sur les affirmations du message, mais la société a refusé de commenter.
JD Sherman, PDG de la société de gestion de mots de passe Dashlane, a déclaré à TechTarget Editorial que son organisation était confiante quant à sa sécurité. Cependant, il a déclaré qu’ils essaieraient d’apprendre de la brèche et de “tester au combat les précautions et les mesures de sécurité que nous prenons”.
Lorsqu’on lui a demandé s’il était préoccupé par ce que la violation signifiait pour l’industrie de la gestion des mots de passe et la confiance des consommateurs, Sherman a déclaré qu’il était initialement préoccupé, mais ces inquiétudes se sont révélées infondées.
“La sensibilisation à des menaces comme celle-ci a augmenté”, a-t-il déclaré. “Et si vous regardez la croissance des abonnements et le nombre de demandes que nous recevons des entreprises, nous avons constaté une augmentation vraiment spectaculaire. Maintenant, une partie de cela pourrait simplement changer sur le marché normal des acheteurs. Mais je pense que cela, dans l’ensemble , va être un vent arrière où les gens sont [going to feel that they have] commencer à prêter attention à cet aspect de la sécurité, qui a été largement ignoré.”
Passer à la technologie sans mot de passe ?
On ne sait pas quel effet la violation de LastPass peut avoir à long terme sur le marché des gestionnaires de mots de passe. Une technologie d’authentification qui pourrait aider à limiter les dommages causés par des violations comme celle-ci est authentification sans mot de passesouvent vu sous la forme de FIDOclés de sécurité physiques conformes.
David Strauss, CTO de la société d’hébergement Web et de gestion de contenu Pantheon, a déclaré à TechTarget Editorial qu’il espère que les mots de passe seront un jour remplacés par de meilleures alternatives.
“J’espère que nous finirons par retirer les mots de passe au profit de méthodes supérieures telles que les clés de passe de FIDO. Jusque-là, l’option la plus sûre consiste à utiliser un gestionnaire de mots de passe qui génère et synchronise des mots de passe uniques pour chaque site Web”, a-t-il déclaré.
Dashlane a lancé la prise en charge des clés d’accès l’année dernière et a annoncé mardi qu’il avait nommé un nouveau chef de produit, Donald Hasson, pour diriger la campagne sans mot de passe de l’entreprise. 1Password, quant à lui, annoncé en novembre il avait acquis la société de technologie d’authentification Passage pour accélérer la poussée de la première vers l’adoption des clés de sécurité.
LastPass l’été dernier, de la même manière, a lancé le Authentificateur LastPass, une option qui permet aux utilisateurs d’accéder en un clic à leur coffre-fort de mots de passe après avoir vérifié une fois chaque appareil de confiance avec leur mot de passe principal. L’intégration biométrique et passe-partout est prévue pour l’avenir.
Shiner de 1Password a déclaré que même si cela prendra beaucoup de temps, cela vaut la peine de pousser les gens et les entreprises vers l’authentification sans mot de passe pour des raisons de sécurité et de facilité d’utilisation.
“Nous essayons de conduire les gens et les entreprises vers ce chemin sans mot de passe. Et je pense que même s’il s’agit d’un chemin pluriannuel, c’est quelque chose qui, à long terme, peut continuer à aider à la fois du point de vue de la sécurité et de la commodité – ce qui est finalement ce que nous essayons d’accomplir.”
“Je pense que c’est notre travail en tant que gestionnaires de mots de passe d’aider à inaugurer cette ère sans mot de passe”, a déclaré Sherman.
Alexander Culafi est un écrivain, journaliste et podcasteur basé à Boston.
