La plateforme de gestion de mots de passe LastPass affronte un vol de données confidentielles de ses clients. Les informations diffusées il y a quelques jours par Karim Touba, DG de LastPass sont extrêmement préoccupantes. Stocker l’ensemble de ses mots de passe chez un seul prestataire apparaît soudain bien fragile.
Environ 3% des clients professionnels ont été informés de prendre des mesures
A ce stade, LastPass a informé certains de ses clients professionnels, moins de 3 %, pour leur recommander de prendre des mesures en fonction de leurs configurations de compte spécifiques. Cela reste une enquête en cours. Un hacker a accédé à des sauvegardes des données de production de LastPass placées sur un service de stockage situé dans le Cloud.
Le hacker a copié les noms de société, les noms d’utilisateur final, les adresses de facturation, les e-mail et les téléphones
Le hacker a aussi copié une sauvegarde des données du coffre-fort du client à partir du conteneur de stockage crypté qui est stocké dans un format binaire propriétaire. Ce conteneur contient à la fois des données non cryptées, telles que les URL de sites Web. Il y a aussi des champs sensibles cryptés tels que les noms d’utilisateur de sites Web et les mots de passe, les notes sécurisées et les données remplies par formulaire.
La clé de cryptage est issue du mot de passe unique connu seulement du client
Point positif, ces champs cryptés restent pour leur part sécurisés avec un cryptage AES 256 bits. Ils ne peuvent être décryptés qu’avec une clé de cryptage unique. Cette clé est dérivée du mot de passe principal de chaque utilisateur. Ce mot de passe principal est la clé de voute de la solution. Il n’est connu que du client. LastPass ne connaît pas ce mot de passe, ne le stocke pas et ne le conserve pas. LastPass rappelle qu’il exige de ses clients d’utiliser des mots de passe de 12 caractères depuis 2018. Ce mot de passe principal n’est demandé au client que pour se connecter à son coffre-fort LastPass depuis un logiciel client LastPass.
Il n’y a aucune preuve que des données de carte de crédit non cryptées aient été consultées
LastPass a supprimé tout accès potentiel supplémentaire à l’environnement de développement LastPass. Il a désactivé cet environnement dans son intégralité et a reconstruit un nouvel environnement à partir de zéro. « Nous avons également remplacé et renforcé les machines, les processus et les mécanismes d’authentification des développeurs » indique Karim Touba.
Une journalisation et des alertes supplémentaires pour détecter une activité non autorisée
LastPass a ajouté des capacités de journalisation et d’alerte supplémentaires pour aider à détecter toute autre activité non autorisée. La sosicété a ajouté une deuxième ligne de défense avec un fournisseur spécialisé dans la détection et la réponse des terminaux gérés pour compléter sa propre équipe. LastPass effectue l’analyse de chaque compte présentant des signes d’activité suspecte au sein de son service de stockage dans le Cloud. L’objectif est également de comprendre à quoi le hacker a accédé.