En août dernier, LastPass révélait une brèche dans ses défenses. Le mois suivant, on apprenait que le pirate avait réussi à voler du code source et des données utilisateurs, mais sans rien de grave. Hier, l’entreprise a cependant apporté de nouveaux détails, et la situation est en fait bien plus sérieuse que prévu.
On savait depuis cet été que LastPass s’était fait voler du code source et des informations techniques propriétaires. Au moment de cette annonce, les mots de passe maîtres, mots de passe chiffrés, informations personnelles et autres étaient épargnés. Il se trouve que la situation est loin d’être aussi simple.
Fin novembre, les données récupérées par les pirates étaient utilisées pour accéder à « un service tiers de stockage dans le cloud », avec cette fois-ci des conséquences directes pour les clients : les pirates avaient en effet pu « accéder à certaines informations », sans plus de précisions sur l’étendue des dégâts.
Dans une mise à jour publiée hier soir – la troisième depuis cet été –, LastPass avertit que des données des clients ont bien été atteintes, tant les informations personnelles que les métadonnées : nom et prénom, nom de l’entreprise, adresse de facturation, email, numéro de téléphone ou encore IP. Autant d’informations qui permettent de mettre en place des campagnes de phishing, la prudence reste donc de mise.
Des données chiffrées et en clair dans la nature
Encore plus grave, des coffres-forts de clients se trouvaient dans des « conteneurs chiffrés » – stockés dans « un format binaire propriétaire », sans autre précision – qui ont pu être copiés par le pirate. On y retrouve à la fois des informations non chiffrées classiques telles que des URL, mais surtout les données chiffrées très sensibles composant le cœur du service : identifiants, mots de passe, notes sécurisées et éléments de remplissage pour les formulaires.
Karim Toubba, PDG de LastPass, a repris la plume pour apporter les mauvaises nouvelles. Il a vite précisé que « ces champs chiffrés restent en sécurité avec un chiffrement AES 256 bits », qui « ne peut être déchiffré qu’avec une clé de chiffrement dérivée du mot de passe maître de chaque utilisateur, en utilisant notre architecture Zero Knowledge ». Cette dernière signifie que l’entreprise n’a pas de visibilité sur les données des utilisateurs.
Ce que redit d’ailleurs Toubba : « Pour rappel, le mot de passe maître n’est jamais connu de LastPass et n’est pas stocké ou maintenu par LastPass. Le chiffrement et le déchiffrement des données sont réalisés uniquement en local par le client LastPass ».
Tout n’est pas encore clair
LastPass ajoute que rien ne permet de supposer que les données non chiffrées des cartes bancaires ont été accédées, ces informations étant partielles et stockées dans l’instance cloud à laquelle le pirate a eu accès.
En outre, même si les données chiffrées des utilisateurs ne peuvent a priori pas être lues, l’opération n’est pas impossible en théorie, mais elle n’est pas réalisable dans la pratique, sauf à découvrir une faille dans l’algorithme… ou à récupérer le mot de passe maitre de l’utilisateur. Si le mot de passe maitre est trop facilement devinable ou s’il a été utilisé sur d’autres services, il faut le changer sans attendre.
On ne sait pas non plus combien de personnes ont vu leurs données copiées par le pirate, ni de quand datent ces informations. La situation reste dans tous les cas beaucoup plus grave qu’escompté, au vu de la quantité significative de données récupérées. Rien ne dit qu’une prochaine mise à jour de la situation ne viendra pas noircir encore le tableau.
Officiellement, aucune action recommandée
Selon LastPass, il n’y a pas d’actions recommandées à ce stade, si ce n’est faire preuve de prudence face aux attaques par phishing et si votre mot de passe maitre est trop faible et/ou utilisé plusieurs fois.
LastPass rappelle quelques règles de bon sens : la société « ne vous appellera jamais, ne vous enverra jamais d’e-mail ou de SMS pour vous demander de cliquer sur un lien pour vérifier vos informations personnelles. Sauf lorsque vous vous connectez à votre coffre-fort à partir d’un client LastPass, la société ne vous demandera jamais votre mot de passe principal ».
L’éditeur recommande également que les mots de passe maîtres fassent au moins 12 caractères de long avec des différents caractères. Ils sont également protégés, entre autres, par 100 100 itérations de Password-Based Key Derivation Function (PBKDF2). Nombre que les utilisateurs peuvent d’ailleurs augmenter dans les options du compte. Ce ne serait d’ailleurs pas un mal, car le NIST américain recommande 310 000 itérations pour le SHA256 qu’utilise LastPass (120 000 pour SHA512).
LastPass affirme qu’il faudrait – avec un mot de passe maitre respectant les recommandations – des millions d’années pour récupérer le mot de passe maître avec les outils communément utilisés, l’entreprise dit réaliser régulièrement des tests contre ses propres infrastructures. Si vous ne l’avez pas encore activé, nous vous recommandons aussi d’activer l’authentification à deux facteurs. Vous pouvez aussi utiliser une connexion sans mot de passe, avec LastPass Authenticator, de la biométrie ou une clé de sécurité.
L’entreprise dit avoir procédé à de nombreux travaux depuis août. L’environnement de développement qui avait été attaqué – en piégeant l’un des développeurs de LastPass pour rappel – a été « entièrement décommissionné » et rebâti depuis zéro. Les mécanismes d’authentification, processus et machines de développement ont été remplacés et leur sécurité renforcée. Cela n’a pour autant pas empêché une nouvelle attaque fin novembre.
L’analyse est toujours en cours
Concernant les derniers développements, LastPass indique qu’une « analyse exhaustive » est faite pour tous les comptes présentant une activité inhabituelle. Cette analyse étant en cours, cela explique sans doute pourquoi on ne connait pas encore le nombre de personnes concernées. Un peu moins de 3 % des clients professionnels ont en tout cas déjà été contactés pour agir sur la configuration de leur compte, quand elle est jugée trop légère.
LastPass souligne encore une fois que toutes les autorités compétentes ont été averties et que d’autres informations seront publiées par la suite. Les éventuelles personnes concernées seront contactées s’il y a des actions à entreprendre.
Il n’en reste pas moins que la situation est compliqué pour LastPass, surtout pour son image de marque. Le vol des coffres-forts de ses clients avec les mots de passes chiffrés est un vrai coup dur. La société joue sur la transparence pour rassurer ses clients, mais le manque de précisions sur certains points et les incidents à répétitions ne sont pas rassurants.
Commentaires (34)
#1
Je n’avais pas vu l’info sur cette nouvelle brèche LastPass dans le Brief, je me doutais qu’un article plus complet était en préparation, merci
Bon, j’ai quitté LastPass pour Bitwarden en octobre 2017, mais j’ignore si j’avais effacé là-bas toutes mes entrées ou si mon container y était toujours, avec des mots de passe…
Ça va être l’occasion de faire un nettoyage numérique de sécurité - bien qu’utilisant un gestionnaire, j’ai encore trop de MdP avec une base commune et une variation personnalisée par site, il est temps de changer tout ça !
#2
Il y a une possibilité assez simple d’exportation de la base de mots de passe pour la passer chez bitwarden par exemple.
#3
C’est pas demain que je vais abandonner mon keepass en local…
#3.1
Pas mieux
#3.2
KeepassXC pour PC
KeepassDX pour Android (ne pas oublier d’utiliser le magic keyboard)
#3.3
C’est effectivement la combinaison que j’utilise aussi.
#3.4
+1, malheureusement on nous essaye de nous forcer de plus en plus à aller dans le cloud. Je hais cette tendance de l’informatique moderne du “As a service”.
#4
+1 pour Keepass.
#5
J’ai pour ma part fait LastPass > bitwarden pour le prix > dashlane pour l’ui et l’autocompletion plus efficace sur mobile.
Dans tous les cas j’ai une yubikey NFC en complément mais aucun système n’est 100% sûr si l’on veut une ergonomie au top et un backup cloud/nas..
#5.1
Un truc que j’ai jamais compris avec ces clés c’est que se passe t’il si tu la perds ? Tu risques de ne plus accéder à tes autres mots de passes non ?
Ou alors il faut une seconde clé en duplicata ?
#5.2
Oui, il faut toujours enrôler 2 (voir 3 clefs) type Yubikey. En gros, tu en as une sur toi et l’autre bien au chaud chez toi. La 3e correspond à une sauvegarde externalisée que tu peux stocker chez de la famille ou quelqu’un de confiance, en cas d’incendie où tu dois quitter en urgence ton domicile sans rien emporter.
Au pire, il y a des codes de récupération, mais il faut les stocké à un endroit suffisamment sûr.
#5.3
Comme lors de l’article du brief, les MDP sont chiffrés. Ils ont surtout volé des infos client en fait.
Sauf si certains mettaient des MDP dans des champs en clair, chose que j’ai déjà vu 😏
Au final c’est aussi contraignant que sûr.
J’ai des MDP identiques sur des boutiques en ligne qui n’enreigstrent pas la CB. Au final ça craint rien donc pas bien grave je trouve. Il faut prendre le critère risque/penibilite en compte je trouve.
#5.4
Comment c’est possible de s’authentifier avec 2 yubikhey differentes ? Je croyais qu’elles etaient uniques… J’ai du rater qqch…
#5.5
Le principe est d’associer plusieurs yubikeys au compte (au cas où une serait indisponible : volée, perdue, pas à portée de main car dans un lieu séparée) mais pour s’authentifier, cela se fait avec une seule clef. En cas de vol, il est possible de résilier spécifiquement la clef perdue, ce qui empêchera le voleur de l’utiliser (pour les comptes du propriétaire légitime).
#5.6
Merci pour ta réponse. Il faudra que je creuse le sujet et que je trouve où/chez qui stocker ma sauvegarde physique.
#5.7
Le conseil le plus sensé que j’ai lu est d’utiliser un gestionnaire de mots de passe non cloud, éventuellement en stockant la base dans un cloud généraliste, afin d’éviter l’effet “jackpot” d’un cloud dédié aux mots de passe comme LastPass. Perso c’est KeePassXC + iCloud.
#5.8
Bonne remarque. Mais pour les objets physiques il faut quand même trouver un lieu sûr
#6
+1 C’est vrai qu’un keepass local sauvegardé sur cloud c’est pas dégueu…
#7
N’oublions pas que le risque zéro n’existant pas, en cas de compromission du storage Claude, nous restons bons pour une valse de changements à tout va et une recréation de la base puisque l’actuelle sera réputée compromise.
Perso j’ai la double “sauvegarde” (car ça n’en est pas vraiment une) : le fichier principal synchro sur les différents appareils, et régulièrement sur l’un deux je la duplique localement. Si jamais le fichier venant du Claude est corrompu (keePassXC j’ai jamais eu le coup, mais le Keepass historique avait tendance à corrompre sa base à tout va…) j’ai une backup depuis laquelle je peux reprendre.
C’est une commande que j’ai mis en crontab de mes différents PC.
#7.1
Ne pas oublier que les gestionnaires de mot de passes sont un Point de défaillance unique et qu’une bonne gestion de mot de passe c’est :
Le deuxième point est très important, ça rend obsolète la corruption potentielle d’une base de donnée.
Le mot de passe maître doit être changé régulièrement en même temps que les mot de passe important contenu dans la base de mot de passe. Ça rend obsolète les corruptions de base.
#8
Si le mot de passe maitre est trop facilement devinable ou s’il a été utilisé sur d’autres services, il faut le changer sans attendre.
Pourquoi pas, mais ça ne protégera en rien la base qui a été récupérée par le pirate et qui dépendra toujours de l’ancien mot de passe maître.
#9
Une alternative plus conviviale que keepass est d’utiliser valtwarden (copie de bitwarden en local et plus léger que l’original qui proposait du mssql pour du local). Interface web, plugin firefox, compatible avec l’application android officiel de bitwarden, intégration parfaite pour compléter les champ des mots de passe. Il est super même en équipe pour de l’utilisation en web.
Après si c’est pour l’utilisation de centaines de mot de passe système et db, keepass reste plus fin pour les catégories. Mais le gros problème de keepass pour moi en pro c’est la gestion d’accès inexistante, ou alors il faut 1 fichier par groupe. Mais quand une info doit être dans 2 groupes, les ennuis commencent…
#10
C’est un point qui est discutable pour moi. Un mot de passe généré par un gestionnaire aura moins de risques de finir dans un dictionnaire (vu que c’est une chaîne complètement random, perso j’aime bien bench justement les formulaires d’inscription avec ma règle par défaut à 69 caractères), et si celui-ci est unique à un service associé, son risque en cas de compromission se limite à ce service.
Egalement, on constate régulièrement dans les services informatiques que les politiques obligeant complexité et renouvellement régulier sont contre-productives : les utilisateurs finissent par mettre des valeurs simples avec une règle basique. S’pas compliqué, quand vous avez votre RDV dans une banque ou autre service et que la personne utilise un ordinateur, regardez les post-it. Perso j’ai identifié le même pattern
{{entreprise}}{{date +ym}}!
dans 5 entreprises différentes (assurance, concession auto, etc) en plus de celles chez qui j’ai presté et que j’ai eu à manipuler à un moment du poste utilisateur.Par contre le conseil j’aurais à titre perso : toujours activer le MFA dès qu’il est disponible et impérativement sur les services les plus critiques (en gros : l’email, SPOF pour voler tous les accès au reste). Pour les trucs peu sensibles, je laisse KeepassXC générer le TOTP. Pour le reste, c’est MFA externalisé me concernant.
Et jamais de MFA par SMS/email sauf quand il s’agit de cas très exceptionnels (ex : DocuSign le fait pour démarrer une session).
#10.1
J’aurais plutôt dit : activer le 2FA et si c’est du TOTP, ne pas faire gérer le TOTP par l’outil de gestion de mot de passe pour ne pas avoir tout au même endroit. Les yubikeys peuvent stocker des TOTP ce qui permet de ne pas les avoir sur un système (potentiellement piratable) mais sur une clef qui l’est moins.
De la même façon, pour les mots de passe critiques (mail, banques, …) qui sont en nombre réduit, faire en sorte que le mot de passe stocké doivent être compléter par quelques caractères faciles à retenir. Ainsi, si quelqu’un a accès à l’intégralité de ce qui est stocké dans le gestionnaire de mot de passe, il ne peut se connecter avec sur ces services critiques. Avantage: du système: on a un mot de passe solide dont la partie complexe est dans le gestionnaire (et qu’on aurait été incapable de retenir sinon).
Pascal
#10.2
Alors oui quand c’est possible utiliser OTP ou des mécanismes de double authentification.
Mais pas d’accord avec le reste du message. Quand on utilise un gestionnaire de mot de passe, on peut régénérer un nouveau mot de passe fort complètement différent. Donc pour moi les politiques d’entreprises peuvent être respecter sans incrémenter le mot de passe. Et pour les mot de passe à taper manuellement (typiquement le login) on peut générer des passephrases (mot de passe assemblé de mots aléatoires).
Ça n’est pas le sens de mon conseil. Le changement régulier de mot de passe est pour éviter une interception de mot de passe. Rien est infaillible, si ton PC/smartphone est vérolé et que tu l’utilises pour ton gestionnaire de mot de passe, tes mots de passe, même forts peuvent être interceptés sans que tu le saches. Changer régulièrement de mots de passe a pour but de rendre obsolètes rapidement tes mots de passe potentiellement interceptés.
Le mot de passe le plus important et le plus chiant à changer est le mot de passe de ton gestionnaire, qui doit être fort et que tu dois connaître par cœur. Pour tout le reste, tu peux le régénérer automatiquement.
#10.3
Un autre exemple, si ta base keepass est intercepté sur ton Claude, mais que le pirate n’a pas ton mot de passe principal, mais qu’il arrive à le casser au bout de 3 mois, et bien cette base ne lui servira à rien si tu changes tes mdp régulièrement.
Donc ces deux conseils sont les indispensables et ne vont pas l’un sans l’autre. Mdp fort + changement régulier.
#11
Bonjour,
j’utilise 1password qui dit chiffrer les données avec une clef déduite de 2 clefs :
Donc si un de mes coffres se retrouver divulgué, il faut avoir la clef + le mot de passe utilisateur pour déchiffré le contenu du coffre.
Ce que je lis de lastpass, c’est que la connaissance du mot de passe défini par l’utilisateur suffit pour déchiffrer les coffres.
Est-ce bien ça ou ai-je mal compris ?
#12
Bon ben fini LastPass pour moi. Si je me souviens, dashlane n’en a jamais eu.
#12.1
Rien eu du côté de dashlane en effet ni de bitwarden à voir ce que tu préfères :
#12.2
J’utilise avec satisfaction 1password.
#12.3
Testé c’est le plus joli mais je trouve l’organisation de l’uide l’extension bureau sur pc dégueulasse c’est une usine à clic et les prix 🤦
Pour 18€ j’ai eu dashlane+ vpn pour 1 an
#13
Y’en a qui ont des retours sur Sticky Password ? Je m’en sers, mais je le vois jamais dans les comparatifs, ni dans les news de failles de sécurité .
Pour ma part il fait le job :) Mais j’aimerais bien avoir d’autres avis
#14
+1 Tout à fait ! C’est totalement inutile, il faut surtout changer tous les mots de passes inclus dans la base.
#15
Ça n’apporte aucune sécurité : si votre coffre a fuité, l’auth 2 facteurs n’apporte aucune sécurité supplémentaire, l’unique sécurité du coffre repose :
1: le mot de passe maitre suffisamment robuste
2: l’algo de chiffrement : SHA256 n’est pas encore obsolète mais c’est probablement le prochain sur la liste à tomber.