LastPass : les pirates sont entrés par l’ordinateur d’un développeur
Le 01 mars 2023 à 07h43
2 min
Logiciel
Logiciel
On pouvait s’en douter au vu des éléments passés, c’est maintenant confirmé par un nouveau billet de LastPass sur sa fuite de données : l’ordinateur personnel d’un développeur avait été piraté.
Plus précisément, c’est lors d’une deuxième phase d’attaque, en octobre dernier, que les pirates sont partis en reconnaissance de l’infrastructure de LastPass. Ils ont ensuite ciblé l’ordinateur personnel d’un ingénieur DevOps senior et profité d’une faille non colmatée dans un logiciel tiers.
La faille était suffisamment béante pour permettre l’exécution d’un code arbitraire à distance, soit le pire des scénarios. Les pirates en ont profité pour installer un keylogger, permettant d’enregistrer la frappe au clavier, et donc de récupérer les précieux identifiants pour la suite.
Avec ces derniers, les malandrins ont pu accéder à un stockage cloud partagé réservé à seulement quatre employés, une véritable aubaine. Selon LastPass, cet accès a été d’autant plus difficile à détecter qu’il utilisait des identifiants légitimes. Jusqu’à ce que les pirates tentent une action non autorisée, déclenchant des alertes d’AWS, utilisé pour le cloud de l’entreprise. Mais il était trop tard, comme on le sait déjà.
On remarquera que ce type d’exploitation était au cœur d’un document fourni par Microsoft en décembre sur les limites de la double authentification. L’éditeur militait pour l’installation de mesures supplémentaires, notamment de contrôle d’accès. Elles permettent par exemple de contrôler d’autres conditions d’accès, comme la machine utilisée ou l’emplacement de cette dernière au moment de l’authentification.
Le 01 mars 2023 à 07h43
Commentaires (34)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 01/03/2023 à 08h17
Pour ceux qui l’auraient manqué, LastPass c’est ce niveau de compétence : https://infosec.exchange/@epixoip/109585049354200263
Le 01/03/2023 à 08h33
Et Tavis Ormandy (de l’équipe Project Zero de Google) pointait la faiblesse de LastPass et Dashlane dès 2016… Les leçons n’ont pas été tirées.
https://www.numerama.com/tech/189111-mots-de-passe-apres-lastpass-la-securite-de-dashlane-mise-a-mal.html
Le 01/03/2023 à 09h01
Moral de l’histoire : mettez à jour vos logiciels
tu penses quoi de dashlane maintenant?
Le 01/03/2023 à 09h13
Un PC de dev est un PC à trous… Entre “oui, j’ai besoin de telle version de logiciel de 2007 car c’est la seule compatible avec mon bordel de code que j’ai pas mis à jour en suivant les évolution de l’environnement de dev car ça prend trop de temps”, ou “oui, j’ai besoin de ce logiciel forké par 1 péon dans son garage plus maintenu depuis 5 ans”, c’est horrible…
Le 01/03/2023 à 09h43
“Et j’ai besoin des droits d’admin pour faire tourner le tout…. “. CQFD.
Le 01/03/2023 à 09h48
Ah oui un grand classique…
Le 01/03/2023 à 10h09
En l’occurence, d’après ars technica, son pc avait plex d’installé, donc soit c’était son pc perso, soit il a installé des trucs persos sur son pc de boulot ?
Ars TechnicaBref, quand on bosse dans une boite de sécu, là, c’est une faute professionnelle.
Lastpass a quand même le mérite d’être transparent sur ses incidents de sécu, bien plus en tout cas que certaines boîtes.
Le 01/03/2023 à 10h27
ça ressemble à un dev qui avait les droits d’admin sur son PC et qui donc installait ce qu’il voulait du coup.
Le 01/03/2023 à 21h41
C’est sûr qu’avec ce genre de postulat, on arrive au final avec des PC de développeur tellement blindés de limitation qu’on ne peut plus passer une journée sans appeler le support pour une mise à jour ou pour un oui ou un non.
Bien qu’il est normal de ne pas être administrateur sur sa session par défaut, on devrait peut-être éviter de tout verrouiller. Et c’est sans parler des divers outils de scans, incluant l’anti-virus qui prennent 30% de CPU en permanence (sauf un jour dans la semaine où c’est 80% car il faut faire un full scan)
Et après on s’étonne que certains cherchent des contournements ou utilisent leur PC personnel pour travailler dans des conditions acceptables.
Par rapport à cette news, on apprend dans l’article en anglais que c’est le PC personnel à la maison du développeur qui a été piraté via un logiciel tiers (quelqu’un ici à cité Plex, donc un serveur ouvert sur Internet) ce qui n’est déjà pas le genre de truc installé en entreprise et encore moins en rendant une application local accessible depuis Internet.
L’exploitation de cette faille a permis d’installer un keylogger.
Et finalement, le développeur avait sur son PC perso la base des mots de passe des comptes de l’entreprise pour accéder à AWS. Le keylogger a permis de récupérer le mot de passe maître puis il a exporté les données pour récupérer tous les mots de passe.
Bref, aucun rapport avec un PC de développeur en entreprise pour lequel on aurait cédé à ses caprices.
Le 02/03/2023 à 09h26
On est d’accord qu’il faut trouver le bon niveau. Cependant, vu le contexte cyber ces dernières années, il est impossible de donner des droits admins à un user sur son compte principal. Il faut un système d’escalade de privilège via des comptes de tiering level 2. Avoir des devs qui sont full admin sur leur poste c’est une peu jouer à la roulette Russe avec une balle alors si en plus on autorise des OS que l’on est pas en capacité de manager faute de temps/ressources, tu peux rajouter une balle et même en rajouter une troisième si dans l’équation tu autorise la personne à travailler avec son poste perso …
Manager un parc et la sécu qui en découle en entreprise c’est faire des choix. Ces choix ne peuvent pas plaire à tout le monde ça s’entend. Cependant, le monde de l’entreprise c’est pas yolo non plus. Si le salarié n’est pas content avec la stratégie de l’entreprise sur les Workstation, il est libre d’aller dans une enterprise aligné sur son souhait.
Le 03/03/2023 à 08h45
Quand les ayatollahs retranchés dans leurs tours d’ivoire des DSI admettront enfin qu’il pourrait y avoir des profils intermédiaires entre “utilisateur complètement bridé” et “administrateur total”, peut-être qu’il y aura moins de tentations de shadow IT ou de contournements…
Et puis LOL le choix du poste en fonction de la stratégie (potentiellement fluctuante) d’administration du poste de travail.
Faudrait un peu sortir la tête de ses empilements de GPO….
Le 03/03/2023 à 10h54
Ça existe sur windows ?
Le 03/03/2023 à 13h36
C’est tout le drame de la gestion actuelle par les DSI, l’informatique est un outil avec des possibilités de réglages très variées, mais gérée par des gens totalement binaires !
Bien sûr qu’il peut y avoir différents profils sous Windows, par groupe ou même différent pour chaque utilisateur. Par contre ça nécessite un peu plus d’analyse et de réflexion que le GPO “tout est interdit”.
Le 07/03/2023 à 19h57
ça tombe bien on a pas de GPO. On ne peut pas en faire sur Azure AD. Les utilisateurs sont libres sur leur poste. Ils ont juste pas le droit Administrateur. Si les applications (codés avec le c…) faisaient un peu d’effort pour ne pas demander des droits d’admin à l’installation et se déployer dans le contexte users que Windows sait gérer depuis de nombreuses années, on n’en serait pas à lire des commentaires de personne qui veulent By pass la sécurité pour déployer des softs troués comme un Plex … Ho wait !
Le 08/03/2023 à 07h40
Donc le support qui lance un gpupdate /force à chaque intervention, c’est juste pour le plaisir ?
Il n’y a pas que la question de l’installation des logiciels, mais aussi de certains paramètres pour des métiers spécifiques.
Dans mon cas, j’avais besoin de changer l’adresse IP selon les machines industrielles sur lesquelles je dois me connecter. Profil Administrateur uniquement pour changer l’IP, profil interdit hors DSI. Proposition d’une liste d’IP prédéfinie associée à certains profils : refusé, DHCP uniquement. Proposition d’utiliser un adaptateur USB-Ethernet sur des postes identifiés : interdit. Résultat : achat d’un PC “pirate” hors DSI…
Le 01/03/2023 à 10h17
Je ne sais pas où en est Dashlane, et je ne répondrai pas sans étudier le sujet, on est sérieux dans cette boutique ! Ca pourrait être d’ailleurs le sujet d’un test détaillé sous forme d’article (note à moi-même)… Néanmoins je pense qu’un coffre fort de
mots de passecodes secrets en ligne est une mauvaise idée à cause de la centralisation des infos : un outil de ce type est clairement une cible de choix pour un attaquant, ce qui implique que du côté du fournisseur du logiciel, il faut être irréprochable (on le voit bien avec Lastpass dont le processus de qualité ne semble pas être au niveau). Voir aussi l’article de Vincent.Le 01/03/2023 à 09h41
Je ne sais pas si c’est une bonne idée/pratique, mais dans ma boîte pour certains accès, on demande l’autorisation d’un tiers (voire de deux). Une fois que l’accès est validé, l’utilisateur peut faire l’action. Par contre on n’a pas mis de limite dans le temps, je trouve que c’est dommage car une action peut restée invalidée pendant des siècles.
Le 01/03/2023 à 12h46
Ca me semble être une bonne pratique. Idéalement toute action critique ne devrait être faisable qu’après validation par plusieurs individus. Ca permet exactement d’éviter que tout foute le camp si un compte avec des droits admin est compromis.
Une expiration pourrait être plus propre oui, surtout si la confirmation est vulnérable au brute force. Par exemple s’il s’agit de cliquer sur un lien unique envoyé par email et ne vérifiant pas l’authenticité de la personne qui le clique (en gros si le lien est accessible et effectif sans être connecté).
Le 01/03/2023 à 10h07
Tous ces gestionnaires sont une vaste arnaque, donner ses mots de passe à un service tier est une aberration, Keepass est la seule solution viable car offline. Au pire utilisez les gestionnaires des GAFAM, au moins chez eux la sécurité est quasi certaine
Le 01/03/2023 à 10h20
Côté Dashlane, ils sont en train d’ouvrir leur code source :
https://blog.dashlane.com/fr/le-code-mobile-de-dashlane-est-desormais-accessible-au-public/
Le 01/03/2023 à 12h20
Faut que je change tous mes mots de passe…
Y’en a qui ont essayé Passbolt ? L’alternative a bitwarden auto hébergeable aussi.
Le 01/03/2023 à 12h22
L’accès n’était pas protégé par une clé de sécurité physique ? Vu la criticité, c’est une sécurité assez faible. Même à ce niveau la, il faudrait un pc / environnement bastion
Le 01/03/2023 à 18h36
Ha bha tiens je suis en plein dedans au taf. On a défini notre cible à Windows 11 + WSL 2 pour éviter les postes en Linux non managés avec X distrib différentes des devs. Bon on a le grand classique du “Windaube c’est de la m… C’est pas fait pour les dev) mais aussi et surtout le ” comment je vais faire si je suis plus admin”
L’article tombe à pic 😁
Le 01/03/2023 à 18h50
Soupir… En se ventant d’ignorer les retours pertinents.
Comme expliqué par MS la solution est un système de contrôle d’accès bien conçu. Forcer des devs qui n’en veulent pas à utiliser Windows ne règlera rien.
Le 01/03/2023 à 19h28
Qui te dit que notre contrôle d’accès n’est pas bien conçu ? Tu fais des raccourcis sur le fait que l’on est choisi notre cible sur Windows. Je peux soupirer autant que toi sur ton commentaire
Tu ne connais pas la taille de nos équipes et encore moins le secteur dans lequel je travail. On a évalué plusieurs solutions et celle qui correspond le plus en termes d’adaptabilité/manageabilité/cout/ecosystème par rapport à la taille des équipes et c’est Windows qui a gagné.
Croire que Linux est la réponse universelle à chaque fois, il va falloir changer de disque un peu.
Le 01/03/2023 à 19h45
SI des devs sont pas contents, c’est que le système de contrôle d’accès n’est pas bien conçu
.
Généralement, ce genre de contrainte se résout par un contournement des dites contraintes et du coup une sécurité fortement affaiblie…
Le 01/03/2023 à 19h41
Ouais, non, pas KeePass non plus, à cause de cette vulnérabilité :
Ask JJX: What About the KeePass Vulnerability? - Packet Pushers
+ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24055
https://nvd.nist.gov/vuln/detail/CVE-2023-24055
Le 01/03/2023 à 19h45
C’est ton commentaire à la base qui rapporte les retours en interne, je n’invente rien.
Je ne pense pas n’avoir jamais vu ça nulle part. En revanche l’IT qui croit qu’il améliore la sécurité en imposant à tout le monde un environnement Windows managé c’est vieux comme papa.
Le 02/03/2023 à 07h48
Ce qui est honteux chez Lastpass c’est qu’ils ont mis quatre mois à enfin préciser et diffuser le niveau d’exposition et de vulnérabilité a leur clients. La brèche date de fin octobre et les instructions et recommandations ont enfin été envoyées cette semaine.
Le 02/03/2023 à 12h07
Donc dev ou ops, pourquoi vous pensez tous que c’est obligatoirement un dev ?
Le 02/03/2023 à 12h20
Non, pas “ou” mais “et”. C’est le concept même du DevOps de faire les 2. Donc, oui, c’est un développeur.
Le 02/03/2023 à 12h20
Quand quelqu’un a accès à ta machine en local pour modifier ce fichier, c’est déjà perdu, Keepass ou pas. Donc si, Keepass est une bonne idée et beaucoup plus sûr que pas mal d’autres solutions, même si elle ne reste pas aussi pousser que d’autres.
cf. ton second lien
Le 02/03/2023 à 13h53
https://keepass.info/news/n230109_2.53.html
Du coup, problème résolu depuis le 8 février
Le 03/03/2023 à 10h33
Tant mieux, alors !