Les clients LastPass victimes d’une attaque par phishing orchestrée grâce à un kit clé en main
Le progrès < 3
Les clients LastPass ont récemment été victimes d’une vague de phishing assez bien conçue pour tromper la vigilance des personnes aguerries. Cette action s’inscrit dans une campagne plus vaste ayant visé d’autres services. Elles ont pour point commun l’utilisation d’une suite d’outils malveillants spécialisés dans l’ingénierie sociale.
Le 19 avril à 16h53
9 min
Sécurité
Sécurité
En août 2022, LastPass révélait avoir été victime d’une série d’attaques. Bien que l’entreprise ait dans un premier temps caché l’ampleur de l’affaire, la réalité était sombre. Un très grand nombre d’informations avaient été volées, y compris des coffres-forts d’utilisateurs. Des données normalement chiffrées, mais les normes appliquées par LastPass n’étaient alors pas celles recommandées pour des informations aussi sensibles que les mots de passe. Un comportement largement critiqué par les chercheurs en sécurité.
En début d’année dernière, LastPass informait qu’une autre attaque avait eu lieu. Ciblant cette fois l’un des membres du personnel, elle avait permis l’infiltration de sa machine et le vol d’un coffre-fort d’entreprise. L’attaque était basée sur l’ingénierie sociale. Plus récemment, en février, une fausse application LastPass a été supprimée par Apple sur l’App Store. La semaine dernière, l’un des employés de LastPass a été victime d’un appel audio utilisant un deepfake de la voix du PDG de l’entreprise, Karim Toobba.
LastPass reste une cible de choix. Et pas seulement la société : ses clients aussi.
Nouvelle campagne visant les utilisateurs
Les 15 et 16 avril, une partie des clients a été ciblée par une campagne tablant largement sur l’ingénierie sociale.
La victime est d’abord appelée par un numéro commençant par 888. Là, un message lui annonce que son compte a été consulté depuis un nouvel appareil. Il peut faire « 1 » pour autoriser l’accès ou « 2 » pour le bloquer. Dans l’espoir, bien sûr, qu’elle fasse « 2 », en réaction à la crainte engendrée d’un piratage de ses mots de passe.
Lorsqu’elle presse « 2 », la victime se voit informée qu’un conseiller de clientèle va la rappeler. Peu après, le téléphone sonne, avec une personne se présentant effectivement comme un conseiller. L’appel est passé depuis un numéro usurpé, avec une voix dont l’accent était décrit comme américain. La victime se voit alors expliquer qu’elle va recevoir un email qui contiendra un lien de réinitialisation du compte.
L’email arrive bientôt, avec le fameux lien. La victime clique dessus et arrive sur un site se finissant par « help-lastpass[.]com ». Il s’agit d’un site frauduleux, conçu pour copier l’apparence du vrai. Si la personne entre son mot de passe, le ou les pirates le récupèrent et s’en servent pour accéder au compte. De là, ils peuvent modifier toutes les informations, dont le mot de passe bien sûr, mais également le téléphone de contact et l’adresse email.
Dans son annonce, LastPass indique avoir « travaillé dur » pour mettre fin à cette campagne de phishing, notamment en intervenant sur les domaines liés. Les utilisateurs sont invités à transmettre tout ce qui leur parait louche à l’adresse [email protected], qu’il s’agisse d’appels, de SMS ou d’emails.
En arrière-plan, un kit de piratage bien conçu
L’aspect particulier de cette campagne est qu’elle est alimentée par un kit d’hameçonnage nommé CryptoChameleon. Il a été découvert en février par la société de sécurité Lookout. C’est d’ailleurs elle qui a averti LastPass de la campagne en cours.
LastPass rappelle qu’un kit d’hameçonnage « est un logiciel d'hameçonnage en tant que service qui permet aux acteurs de la menace de créer facilement de faux sites SSO [Single sign-on, ou authentification unique, ndlr] ou d'autres sites de connexion à partir d'une marque frauduleuse (y compris des graphiques et des logos) afin d'imiter un site ou une entreprise pour laquelle l'acteur de la menace cherche à collecter des informations d'identification ».
Il s’agit d’une solution clé en main, conçue pour faciliter le phishing, en préparant toute la chaine de ce qui correspondrait, en temps normal, à un flux d’utilisation habituel. Le schéma est toujours le même, avec pour objectif ultime de faire venir la victime sur un site ressemblant trait pour trait à ce que l’on s’attend à voir. Si les pirates réussissent, le mot de passe est volé et la galère commence.
Lookout a découvert ce site il y a quelques mois. L’éditeur en a publié un billet de blog expliquant le fonctionnant et pointant ses nouvelles capacités.
Des cibles multiples
Selon les explications de Lookout, le kit initialement découvert semble avoir été conçu pour cibler les plateformes de cryptomonnaies et la FCC (Federal Communications Commission) via des appareils mobiles. Ses cibles se sont cependant multipliées rapidement.
Selon l’entreprise, Binance et Coinbase ont été ciblées ainsi que leurs utilisateurs, ainsi que ceux de Gemini, Kraken, ShakePlay, Caleb & Brown et Trezor. Plusieurs services de courriel, de stockage des mots de passe et d’authentification unique (SSO) ont également été pris pour cibles : LastPass, AOL, Gmail, iCloud, Okta, Outlook, Twitter et Yahoo.
C’est d’ailleurs à travers l’enregistrement d’un nom de domaine suspect lié à Okta – fcc-okta[.]com – que Lookout a découvert le kit. La méthode rappelait celle d’un groupe de pirates nommé Scattered Spider, pour lequel la CISA (Cybersecurity and Infrastructure Security Agency) américaine avait lancé un avertissement peu avant.
Un kit à tout faire (et malin)
Lookout a découvert plusieurs aspects « novateurs » dans la manière dont sont conçues les campagnes automatisées. Par exemple, le site frauduleux est protégé par un captcha conçu à l’aide de hCaptcha. Pour les malandrins, l’ajout de ce mécanisme a deux bénéfices. D’abord, il bloque les tentatives automatiques d’analyse du site, ce qui ralentit sa découverte. Ensuite, il peut fournir une impression de légitimité à la victime, augmentant d’autant l’efficacité de l’attaque.
Second constat, nettement plus grave : le site est conçu pour tenir compte des méthodes modernes de connexion, notamment l’authentification multifactorielle (MFA). Les chercheurs ont ainsi découvert une console d’administration. Ils n’ont pas pu y accéder, mais ont pu voir son code JavaScript et son CSS, permettant de reconstituer « une grande partie de ses fonctionnalités ».
Ils en ont ainsi déduit que chaque fois qu’une victime arrive sur le faux site et entre des informations, une nouvelle ligne apparaît dans un tableau. Une fois l’identifiant et le mot de passe envoyés, le pirate peut alors choisir vers quelle option orienter la victime. Pendant ce temps, la page de connexion demande à cette dernière d’attendre, pendant que le pirate se connecte sur le vrai site avec les informations.
C’est là que le contournement de la MFA intervient. Si le compte est protégé, le pirate peut utiliser de multiples options pour faire afficher chez la victime un nouvel écran avec le facteur supplémentaire. Si c’est un code reçu par email ou SMS, il pourra l’entrer. Un code généré par une application de type OTP (Authenticator) ? Même tarif.
Comme avec le captcha, des informations supplémentaires sont affichées pour faire grimper le niveau de crédibilité de la demande. Dans le cas du code reçu par SMS par exemple, le pirate va montrer les quatre derniers chiffres du numéro de téléphone et demander à la victime si elle souhaite recevoir un code à six ou sept chiffres.
Dans tous les cas, le jeton de connexion est transmis au pirate, qui peut alors s’en servir pour déverrouiller le compte authentique de la victime. Notez que le kit ne semble pas être prévu pour gérer des moyens d’authentification plus sophistiqués comme la biométrie ou les clés d’accès (passkeys). Ces dernières ont justement été conçues pour éviter ce genre de problème.
Et ça marche
D’après les chercheurs, le kit CryptoChameleon a permis avec succès de dérober des informations à une centaine de personnes. Ils disent avoir pu accéder, pendant un court laps de temps, aux journaux situés sur un serveur de contrôle et de commande (C2 ou C&C). « Un pourcentage élevé des informations d'identification collectées par ces sites ressemble à des adresses électroniques légitimes, des mots de passe, des jetons OTP, des URL de réinitialisation de mot de passe, des photos de permis de conduire et bien d'autres choses encore », ajoutent-ils.
L’hébergement a également évolué. En novembre et décembre 2023, les faux sites étaient essentiellement hébergés chez Hostwinds et Hostinger. En janvier et février 2024, ils étaient surtout chez l’hébergeur russe RetnNet (213.178.155[.]194). Selon les chercheurs, les faux sites sont d’ailleurs restés plus longtemps en ligne chez RetnNet. Le 17 février, nouveau déménagement, cette fois chez QWARTA. Le 22 février, rebelote, chez OOO Westcall.
Lookout a pu discuter avec plusieurs victimes. Le schéma était toujours le même, avec une combinaison d’appels téléphoniques et de SMS pour inspirer confiance. Un rôle suffisamment travaillé pour être crédible, une situation apte à générer de la peur (« votre compte a été piraté »), une proposition d’aide. Dans la plus pure tradition de l’ingénierie sociale, comme nous l’évoquions récemment dans notre article sur les risques de détournement des projets open source, dans le sillage de l’affaire XZ Utils.
En dépit cependant des similitudes avec le groupe Scattered Spider, les chercheurs disent avoir repéré assez de différences pour ne pas leur attribuer ces attaques. Ils ont notamment relevé d’importantes différences dans l’infrastructure de contrôle. Rien d’étonnant selon Lookout, les imitations étant courantes dans ce milieu, tout particulièrement quand une méthode se révèle efficace. Et elle semble l’avoir été.
Les clients LastPass victimes d’une attaque par phishing orchestrée grâce à un kit clé en main
-
Nouvelle campagne visant les utilisateurs
-
En arrière-plan, un kit de piratage bien conçu
-
Des cibles multiples
-
Un kit à tout faire (et malin)
-
Et ça marche
Commentaires (40)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/04/2024 à 17h34
-> si je comprends bien, avoir la double authentification suffit à rendre ce genre d'attaque inopérante ? Ça devrait limiter la casse, tout de même ?
Modifié le 19/04/2024 à 18h19
une fois le mot de passe entrée, la victime est mise en attente, le temps de tester l'info en question, et si besoin de demander à la victime des infos supplémentaire, comme un numéro OTP à fournir, etc.
Modifié le 19/04/2024 à 19h22
Le 19/04/2024 à 21h23
Le 19/04/2024 à 22h32
"Notez que le kit ne semble pas être prévu pour gérer des moyens d’authentification plus sophistiqués comme la biométrie ou les clés d’accès (passkeys). Ces dernières ont justement été conçues pour éviter ce genre de problème."
Le 20/04/2024 à 02h54
Modifié le 20/04/2024 à 12h02
Et la clé privée ne sort jamais dans un formulaire web.
Le 20/04/2024 à 10h29
Le 19/04/2024 à 18h51
Modifié le 19/04/2024 à 22h33
Le 21/04/2024 à 18h59
On se méfiance d'un tel lien lorsqu'il est "inattendu", beaucoup moins lorsqu'il est attendu, et dans ce cas, très compliqué de faire autre chose que cliquer dessus. Et encore, je ne parle pas des " protections" style safelinks qui embrouillent encore plus la lecture des liens
Le 21/04/2024 à 20h39
Le 22/04/2024 à 17h05
Modifié le 19/04/2024 à 21h24
Le 20/04/2024 à 07h29
Ces gestionnaires de mots de passe cloudés, c'est une aberration totale : Un gestionnaire de mot de passe doit être local, c'est une évidence !
Le 20/04/2024 à 09h44
Le 20/04/2024 à 10h36
La différence avec LastPass ou autre est que l'authentification (par ex mdp / certificat / biométrie) est systématiquement faite en local, ce qui sort de ton PC est uniquement le coffre chiffré (a priori) sécurisé.
Le 20/04/2024 à 13h08
Ctrl v
Assez facile, on apprend ça en cours de techno en 6ème.
Le 20/04/2024 à 13h32
Le format de ta base de donnée n'étant pas forcément un fichier texte éditable, il faut que tu passes par l'interface de ton outil sur chacun des appareils. C'est tout sauf évident comme problème. Ta réponse est inutilement méprisante.
En plus, quand j'étais en sixième, l'informatique n'était pas enseignée et le copier-coller était à peine inventé (vers 4'20 : vidéo de démonstration de souris et de copie de texte par Douglas Engelbart le 9 décembre 1968 à l'institut de recherche Stanford)
Le 20/04/2024 à 16h50
Le format de ta base n'est jamais un fichier texte éditable, je prend en exemple la référence du coffre local : keepass. Tu as un fichier, c'est tout.
Donc désolé de te contredire, c'est assez évident, il y a peu de cas où tu ne peux vraiment pas faire de copier d'un appareil à l'autre. Par exemple sur iPhone, mais là si tu voulais du local t'as fais le mauvais choix de smartphone dans ce cas. Ma réponse n'est pas méprisante mais sarcastique. C'est un problème assez simple.
D'autant que, pour répondre à ton autre commentaire Next tu peux toujours créer des nouveaux comptes sur un autre appareils, c'est juste que la base y sera la plus récente et donc tu devras la copier sur ton autre appareil ensuite. Et est-ce que les gens créer vraiment beaucoup de nouveaux comptes ? J'ai vérifié chez moi, ils n'ont pas modifié leur base depuis 6 mois le plus récente, un an le plus vieux.
Il y a plus de gens aujourd'hui qui connaissent le Copier / coller que de gens qui l'ignorent.
Le 20/04/2024 à 20h48
- tu fais comment quand tu ne t'y connais pas assez en informatique pour penser à mettre ton coffre Keepass sur un service cloud ?
=> si tu passes par uniquement un copier-coller, tu perds un temps de dingue si tu n'as pas de PC, et il faut trouver un moyen sécurisé pour partager ton coffre fort de tel à tel ou de tel à tablette
=> si tu passes par un cloud maison... tu passes par le cloud
- tu fais comment pour partager des mdp avec un proche ?
Le 22/04/2024 à 11h27
« un temps de dingue » ?!? Entre téléphone et tablette tu partages en bluetooth, ça m'a pris 20 secondes là.
Non.
Tu ne partages pas ou alors tu partages le mot de passes par un canal sécurisé.
Le 22/04/2024 à 16h24
Le Bluetooth, c'est pas sécurisé... En plus, c'est probablement plus que 20 secondes si tu comptes tout de la navigation vers le fichier à partager, le partage Bluetooth, la validation côté autre appareil, le déplacement au bon endroit, etc...
Comment ça, non ? Ou alors, pour toi, passer par un auto-hébergement est synonyme de ne pas passer par le cloud ?
Comment fais-tu pour partager les MDP des abonnements à Internet, les courses, Netflix etc avec ton/ta compagne sans galèrer stp ? Parce qu'avant que j'utilise un gestionnaire de mdp en cloud, on faisait juste pas, ce qui mettait l'autre en situation délicate en cas de problème.
Le 23/04/2024 à 15h29
Un cloud maison n'est pas un cloud. Définissons un cloud ? Le cloud c'est l'ordinateur de quelqu'un d'autre, par extension un ordinateur dont tu n'as pas la maîtrise. Donc un cloud maison n'est pas un cloud dans ce sens car tu en as la maîtrise.
Tu partages ton mdp d'abonnement Internet avec quelqu'un ? C'est très bizarre comme besoin.
Les courses ? Genre un compte Carrefour ? Pourquoi ne pas avoir chacun le sien ?
Netflix t'es pas supposé partager ton compte puisque tout le monde doit vivre dans le même foyer, sinon tu utilises l'abonné supplémentaire qui a son propre compte et donc mot de passe. Si c'est ton/ta compagne alors où est le problème ? Tu mets toi-même le mot de passe dans l'application.
Modifié le 24/04/2024 à 15h59
Justement, c'est avec ma compagne que je partages certains de mes mdps, comme celui du Drive des courses, par exemple. Avoir un compte chacun pour ça est inutile et improductif.
Le compte Netflix, on le partage puisqu'on a un compte pour le foyer.
Tout ça pour dire que les solutions de gestion de mots de passe en cloud, c'est pas si idiot que ça. 😉
Modifié le 25/04/2024 à 10h42
Donc pas besoin de partager le mot de passe, tu peux le renseigner, c'est ce que je disais. Idem pour les autres mot de passes finalement puisque visiblement vous êtes dans le même foyer.
Je n'ai pas dit le contraire, ce n'est pas moi qui ait dit que c'était une aberration
En revanche, qu'il n'y ait que trois grosses boîtes que tout le monde utilise c'est forcément une mauvaise idée. Donc là on est sur du : l'idée est bonne, la mise en place est mauvaise. D'où l'importance de ne pas choisir le gros service que tout le monde utilise, voire d'avoir son propre service d'une façon ou d'une autre (auto-hébergement, cloud associatif, ...)
Le 26/04/2024 à 00h18
Le 21/04/2024 à 17h41
-mettre en place un nextcloud sur un serveur local (un raspberry pi peut suffire)
- installer un client nextcloud sur tous les appareils qui vont utiliser Keepass
- créer un coffre fort Keepass sur un pc dans un dossier
- paramétrer nextcloud pour inclure le dossier qui contient Keepass dans les partages = synchro mise en place.
Bonus :
- possibilité de partager avec un autre compte nextcloud (sur le même serveur)
- instant un serveur wireguard sur le raspberry pi pour pouvoir synchroniser le coffre Keepass lorsque à distance
Le 21/04/2024 à 17h52
Modifié le 20/04/2024 à 13h23
Le 20/04/2024 à 13h44
Le 21/04/2024 à 09h37
Mais dans mon cas ça n'arrive jamais
Le 21/04/2024 à 13h39
Désolé mais on est selon moi, là dans un cas d’utilisation qui me paraît des plus limités et la méthode des plus artisanales. Et qui dit méthode artisanale en systèmes d’information, signifie généralement risque d’erreur amplifié.
Cas d’utilisation des plus limités car une base de secrets/informations sensibles, ça vit. Parce que des éléments s’ajoutent, parce que des éléments existants sont modifiés. Dans un domaine pro particulier ultra sécurisé et restrein en termes d’évolutions, j’imagine que cela peut se concevoir, mais de toute manière dans ce cas on adopte des outils plus adaptés de type cyberark (sans leur faire de pub).
Pour une utilisation plus banale, et vivante, je trouve ton système des plus approximatifs.
Tu indiques que les changements de coffre les plus récents datent de 6 mois sur ta base installée? Je trouve ça curieux.
N’est ce pas parce que le coffre/système n’est en réalité tout simplement pas utilisé ?
Le 21/04/2024 à 14h01
Perso le contenu de mon coffre change régulièrement, juste que 99% du temps j'ai pas besoin d'avoir une version hyper récente sur mon smartphone
Modifié le 21/04/2024 à 14h04
Modifié le 22/04/2024 à 11h36
C'est juste que visiblement, dans ma famille les utilisateurs lambdas ne créent ni ne modifient pas de données pendant de longues périodes. Ce qui pose la question « pourquoi ? »
Ma réponse : parce qu'ils n'en n'ont pas besoin. Ils ont leur mots de passe de spotify-like et netflix-like et youtube-like etc. ainsi que leurs accès administratifs (impôts, ameli, ...) leur email et voilà.
Conclusion, leur cas fonctionne très bien avec la méthode "artisanale" où l'on copie / colle son coffre si on l'a modifié. C'est un peu le meilleur cas que je peux imaginer qui convient avec le no-cloud. Parce que oui on peut mettre un nextcloud chez soi (ET NON, nextcloud chez soi n'est pas un cloud), mais aucun utilisateur lambda ne le fera et ne peut probablement pas le faire.
Le 20/04/2024 à 15h36
Me voilà rassuré.
Mais faut qu´ils donnent des nouvelles plus souvent, sinon on pourrait finir par croire qu´ils ont mis la clé sous la porte après la logique fuite ventre à terre de leur dernier client.
Le 22/04/2024 à 09h46
Le 22/04/2024 à 11h52
Le 22/04/2024 à 14h08
Les pirates, c'est les autres (pour paraphraser Jean-Paul Sartre).