On pouvait s’en douter au vu des éléments passés, c’est maintenant confirmé par un nouveau billet de LastPass sur sa fuite de données : l’ordinateur personnel d’un développeur avait été piraté.
Plus précisément, c’est lors d’une deuxième phase d’attaque, en octobre dernier, que les pirates sont partis en reconnaissance de l’infrastructure de LastPass. Ils ont ensuite ciblé l’ordinateur personnel d’un ingénieur DevOps senior et profité d’une faille non colmatée dans un logiciel tiers.
La faille était suffisamment béante pour permettre l’exécution d’un code arbitraire à distance, soit le pire des scénarios. Les pirates en ont profité pour installer un keylogger, permettant d’enregistrer la frappe au clavier, et donc de récupérer les précieux identifiants pour la suite.
Avec ces derniers, les malandrins ont pu accéder à un stockage cloud partagé réservé à seulement quatre employés, une véritable aubaine. Selon LastPass, cet accès a été d’autant plus difficile à détecter qu’il utilisait des identifiants légitimes. Jusqu’à ce que les pirates tentent une action non autorisée, déclenchant des alertes d’AWS, utilisé pour le cloud de l’entreprise. Mais il était trop tard, comme on le sait déjà.
On remarquera que ce type d’exploitation était au cœur d’un document fourni par Microsoft en décembre sur les limites de la double authentification. L’éditeur militait pour l’installation de mesures supplémentaires, notamment de contrôle d’accès. Elles permettent par exemple de contrôler d’autres conditions d’accès, comme la machine utilisée ou l’emplacement de cette dernière au moment de l’authentification.
Commentaires (34)
#1
Pour ceux qui l’auraient manqué, LastPass c’est ce niveau de compétence : https://infosec.exchange/@epixoip/109585049354200263
#2
Et Tavis Ormandy (de l’équipe Project Zero de Google) pointait la faiblesse de LastPass et Dashlane dès 2016… Les leçons n’ont pas été tirées.
https://www.numerama.com/tech/189111-mots-de-passe-apres-lastpass-la-securite-de-dashlane-mise-a-mal.html
#3
Moral de l’histoire : mettez à jour vos logiciels
tu penses quoi de dashlane maintenant?
#3.1
Un PC de dev est un PC à trous… Entre “oui, j’ai besoin de telle version de logiciel de 2007 car c’est la seule compatible avec mon bordel de code que j’ai pas mis à jour en suivant les évolution de l’environnement de dev car ça prend trop de temps”, ou “oui, j’ai besoin de ce logiciel forké par 1 péon dans son garage plus maintenu depuis 5 ans”, c’est horrible…
#3.2
“Et j’ai besoin des droits d’admin pour faire tourner le tout…. “. CQFD.
#3.3
Ah oui un grand classique…
#3.4
En l’occurence, d’après ars technica, son pc avait plex d’installé, donc soit c’était son pc perso, soit il a installé des trucs persos sur son pc de boulot ?
https://arstechnica.com/information-technology/2023/02/lastpass-hackers-infected-employees-home-computer-and-stole-corporate-vault/
Bref, quand on bosse dans une boite de sécu, là, c’est une faute professionnelle.
Lastpass a quand même le mérite d’être transparent sur ses incidents de sécu, bien plus en tout cas que certaines boîtes.
#3.6
ça ressemble à un dev qui avait les droits d’admin sur son PC et qui donc installait ce qu’il voulait du coup.
#3.7
C’est sûr qu’avec ce genre de postulat, on arrive au final avec des PC de développeur tellement blindés de limitation qu’on ne peut plus passer une journée sans appeler le support pour une mise à jour ou pour un oui ou un non.
Bien qu’il est normal de ne pas être administrateur sur sa session par défaut, on devrait peut-être éviter de tout verrouiller. Et c’est sans parler des divers outils de scans, incluant l’anti-virus qui prennent 30% de CPU en permanence (sauf un jour dans la semaine où c’est 80% car il faut faire un full scan)
Et après on s’étonne que certains cherchent des contournements ou utilisent leur PC personnel pour travailler dans des conditions acceptables.
Par rapport à cette news, on apprend dans l’article en anglais que c’est le PC personnel à la maison du développeur qui a été piraté via un logiciel tiers (quelqu’un ici à cité Plex, donc un serveur ouvert sur Internet) ce qui n’est déjà pas le genre de truc installé en entreprise et encore moins en rendant une application local accessible depuis Internet.
L’exploitation de cette faille a permis d’installer un keylogger.
Et finalement, le développeur avait sur son PC perso la base des mots de passe des comptes de l’entreprise pour accéder à AWS. Le keylogger a permis de récupérer le mot de passe maître puis il a exporté les données pour récupérer tous les mots de passe.
Bref, aucun rapport avec un PC de développeur en entreprise pour lequel on aurait cédé à ses caprices.
#3.8
On est d’accord qu’il faut trouver le bon niveau. Cependant, vu le contexte cyber ces dernières années, il est impossible de donner des droits admins à un user sur son compte principal. Il faut un système d’escalade de privilège via des comptes de tiering level 2. Avoir des devs qui sont full admin sur leur poste c’est une peu jouer à la roulette Russe avec une balle alors si en plus on autorise des OS que l’on est pas en capacité de manager faute de temps/ressources, tu peux rajouter une balle et même en rajouter une troisième si dans l’équation tu autorise la personne à travailler avec son poste perso …
Manager un parc et la sécu qui en découle en entreprise c’est faire des choix. Ces choix ne peuvent pas plaire à tout le monde ça s’entend. Cependant, le monde de l’entreprise c’est pas yolo non plus. Si le salarié n’est pas content avec la stratégie de l’entreprise sur les Workstation, il est libre d’aller dans une enterprise aligné sur son souhait.
#3.9
Quand les ayatollahs retranchés dans leurs tours d’ivoire des DSI admettront enfin qu’il pourrait y avoir des profils intermédiaires entre “utilisateur complètement bridé” et “administrateur total”, peut-être qu’il y aura moins de tentations de shadow IT ou de contournements…
Et puis LOL le choix du poste en fonction de la stratégie (potentiellement fluctuante) d’administration du poste de travail.
Faudrait un peu sortir la tête de ses empilements de GPO….
#3.10
Ça existe sur windows ?
#3.11
C’est tout le drame de la gestion actuelle par les DSI, l’informatique est un outil avec des possibilités de réglages très variées, mais gérée par des gens totalement binaires !
Bien sûr qu’il peut y avoir différents profils sous Windows, par groupe ou même différent pour chaque utilisateur. Par contre ça nécessite un peu plus d’analyse et de réflexion que le GPO “tout est interdit”.
#3.12
ça tombe bien on a pas de GPO. On ne peut pas en faire sur Azure AD. Les utilisateurs sont libres sur leur poste. Ils ont juste pas le droit Administrateur. Si les applications (codés avec le c…) faisaient un peu d’effort pour ne pas demander des droits d’admin à l’installation et se déployer dans le contexte users que Windows sait gérer depuis de nombreuses années, on n’en serait pas à lire des commentaires de personne qui veulent By pass la sécurité pour déployer des softs troués comme un Plex … Ho wait !
#3.13
Donc le support qui lance un gpupdate /force à chaque intervention, c’est juste pour le plaisir ?
Il n’y a pas que la question de l’installation des logiciels, mais aussi de certains paramètres pour des métiers spécifiques.
Dans mon cas, j’avais besoin de changer l’adresse IP selon les machines industrielles sur lesquelles je dois me connecter. Profil Administrateur uniquement pour changer l’IP, profil interdit hors DSI. Proposition d’une liste d’IP prédéfinie associée à certains profils : refusé, DHCP uniquement. Proposition d’utiliser un adaptateur USB-Ethernet sur des postes identifiés : interdit. Résultat : achat d’un PC “pirate” hors DSI…
#3.5
Je ne sais pas où en est Dashlane, et je ne répondrai pas sans étudier le sujet, on est sérieux dans cette boutique ! Ca pourrait être d’ailleurs le sujet d’un test détaillé sous forme d’article (note à moi-même)… Néanmoins je pense qu’un coffre fort de
mots de passecodes secrets en ligne est une mauvaise idée à cause de la centralisation des infos : un outil de ce type est clairement une cible de choix pour un attaquant, ce qui implique que du côté du fournisseur du logiciel, il faut être irréprochable (on le voit bien avec Lastpass dont le processus de qualité ne semble pas être au niveau). Voir aussi l’article de Vincent.#4
Je ne sais pas si c’est une bonne idée/pratique, mais dans ma boîte pour certains accès, on demande l’autorisation d’un tiers (voire de deux). Une fois que l’accès est validé, l’utilisateur peut faire l’action. Par contre on n’a pas mis de limite dans le temps, je trouve que c’est dommage car une action peut restée invalidée pendant des siècles.
#4.1
Ca me semble être une bonne pratique. Idéalement toute action critique ne devrait être faisable qu’après validation par plusieurs individus. Ca permet exactement d’éviter que tout foute le camp si un compte avec des droits admin est compromis.
Une expiration pourrait être plus propre oui, surtout si la confirmation est vulnérable au brute force. Par exemple s’il s’agit de cliquer sur un lien unique envoyé par email et ne vérifiant pas l’authenticité de la personne qui le clique (en gros si le lien est accessible et effectif sans être connecté).
#5
Tous ces gestionnaires sont une vaste arnaque, donner ses mots de passe à un service tier est une aberration, Keepass est la seule solution viable car offline. Au pire utilisez les gestionnaires des GAFAM, au moins chez eux la sécurité est quasi certaine
#6
Côté Dashlane, ils sont en train d’ouvrir leur code source :
https://blog.dashlane.com/fr/le-code-mobile-de-dashlane-est-desormais-accessible-au-public/
#7
Faut que je change tous mes mots de passe…
Y’en a qui ont essayé Passbolt ? L’alternative a bitwarden auto hébergeable aussi.
#8
L’accès n’était pas protégé par une clé de sécurité physique ? Vu la criticité, c’est une sécurité assez faible. Même à ce niveau la, il faudrait un pc / environnement bastion
#9
Ha bha tiens je suis en plein dedans au taf. On a défini notre cible à Windows 11 + WSL 2 pour éviter les postes en Linux non managés avec X distrib différentes des devs. Bon on a le grand classique du “Windaube c’est de la m… C’est pas fait pour les dev) mais aussi et surtout le ” comment je vais faire si je suis plus admin”
L’article tombe à pic 😁
#10
Soupir… En se ventant d’ignorer les retours pertinents.
Comme expliqué par MS la solution est un système de contrôle d’accès bien conçu. Forcer des devs qui n’en veulent pas à utiliser Windows ne règlera rien.
#10.1
Qui te dit que notre contrôle d’accès n’est pas bien conçu ? Tu fais des raccourcis sur le fait que l’on est choisi notre cible sur Windows. Je peux soupirer autant que toi sur ton commentaire
Tu ne connais pas la taille de nos équipes et encore moins le secteur dans lequel je travail. On a évalué plusieurs solutions et celle qui correspond le plus en termes d’adaptabilité/manageabilité/cout/ecosystème par rapport à la taille des équipes et c’est Windows qui a gagné.
Croire que Linux est la réponse universelle à chaque fois, il va falloir changer de disque un peu.
#10.2
SI des devs sont pas contents, c’est que le système de contrôle d’accès n’est pas bien conçu
.
Généralement, ce genre de contrainte se résout par un contournement des dites contraintes et du coup une sécurité fortement affaiblie…
#11
Ouais, non, pas KeePass non plus, à cause de cette vulnérabilité :
Ask JJX: What About the KeePass Vulnerability? - Packet Pushers
+ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24055
https://nvd.nist.gov/vuln/detail/CVE-2023-24055
#12
C’est ton commentaire à la base qui rapporte les retours en interne, je n’invente rien.
Je ne pense pas n’avoir jamais vu ça nulle part. En revanche l’IT qui croit qu’il améliore la sécurité en imposant à tout le monde un environnement Windows managé c’est vieux comme papa.
#13
Ce qui est honteux chez Lastpass c’est qu’ils ont mis quatre mois à enfin préciser et diffuser le niveau d’exposition et de vulnérabilité a leur clients. La brèche date de fin octobre et les instructions et recommandations ont enfin été envoyées cette semaine.
#14
Donc dev ou ops, pourquoi vous pensez tous que c’est obligatoirement un dev ?
#14.1
Non, pas “ou” mais “et”. C’est le concept même du DevOps de faire les 2. Donc, oui, c’est un développeur.
#15
Quand quelqu’un a accès à ta machine en local pour modifier ce fichier, c’est déjà perdu, Keepass ou pas. Donc si, Keepass est une bonne idée et beaucoup plus sûr que pas mal d’autres solutions, même si elle ne reste pas aussi pousser que d’autres.
cf. ton second lien
#16
https://www.nextinpact.com/article/70923/keepass-est-il-troue
https://keepass.info/news/n230109_2.53.html
Du coup, problème résolu depuis le 8 février
#17
Tant mieux, alors !