Conseils sur les cybermenaces : le point sur l'incident de sécurité impliquant LastPass
LastPass a publié une mise à jour de son incident du mois d'août, au cours duquel un accès non autorisé est survenu dans son espace de stockage cloud. L'incident concerne des espaces de stockage qui contiennent des données de production et certaines métadonnées des abonnés de LastPass. LastPass recommande aux entreprises de réviser et de mettre à jour leurs mots de passe, de revoir leurs mesures de sécurité et de rester vigilantes face aux attaques de social engineering visant leurs comptes.
Nature de la menace
LastPass a d'abord annoncé cet incident de sécurité dans un article en août 2022. Dans ce récent article, ils ont découvert que le code source, y compris d'autres informations techniques spécifiques, avait été extrait de l'environnement de production de Lastpass. Ces informations ont été utilisées pour cibler un employé afin d'obtenir l'accès à des données stockées au sein de leur environnement cloud. Les pirates pourraient ainsi découvrir des vulnérabilités dans les logiciels des clients afin de les exploiter ou d'exécuter une cyberattaque contre eux. L'environnement de production de LastPass étant sur site et distinct du lieu où est survenue la violation initiale, ses services n'ont pas été interrompus.
Pourquoi est-ce important ?
LastPass est un gestionnaire de mots de passe connu pour permettre aux clients de stocker leurs identifiants en toute sécurité. Il est utilisé pour protéger les informations sensibles et pour fournir un accès facile à des services de remplissage automatique. L'enquête sur cet incident de sécurité du mois d'août est en cours et ce récent article apporte des informations supplémentaires, notamment sur ce qui a été volé, les recommandations pour remédier à cette situation et les mesures complémentaires prises par LastPass.
Quel est le risque ou le degré d'exposition ?
LastPass a révélé que les données copiées par les pirates contenaient les métadonnées de base de leurs clients, notamment les noms des entreprises, les noms des utilisateurs finaux, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP des personnes ayant recours aux services de LastPass.
En outre, les données de la chambre forte du client ont également été copiées, y compris les données chiffrées et non chiffrées, ainsi que des données partielles de cartes de crédit. Les données chiffrées comprenaient des identifiants de sites Web, des notes sécurisées et des données issues de formulaires. Ces éléments sont restés chiffrées car la clé de chiffrement n'est accessible que grâce au mot de passe maître de l'utilisateur en utilisant l'architecture propriétaire (Zero Knowledge) de LastPass. Le processus de chiffrement et de déchiffrement ne peut être effectué que localement, depuis leur compte client LastPass. Quant au contenu non chiffré, il contenait des URL de sites Web et des informations partielles liées aux cartes de crédit. Les informations intégrales sur les cartes de crédit ne sont pas sauvegardées ou archivées dans les espaces de stockage LastPass.
Tous les clients LastPass sont potentiellement exposés à un risque. Comme les pirates disposent d'informations sur leurs clients, cela leur permet de lancer des attaques par force brute et social engineering. Une attaque menée à bien pourrait conduire à une violation des identifiants enregistrées par le client et, en définitive, à leur vol. LastPass continue d'enquêter sur cet incident et a déjà pris des mesures pour remédier à ce problème. Il est prévu que leur environnement de développement soit entièrement repensé et renforcé. Cela inclut le remplacement de machines, la modification de processus et la mise à jour des mécanismes d'authentification. LastPass a également renforcé la sécurité de son produit en ajoutant des fonctions supplémentaires de connexion et de notification, en mettant à jour les identifiants et les certifications, et en testant des méthodes de piratage de mots de passe. Les forces de l'ordre et d'autres autorités ont été informées de l'incident et LastPass poursuit ses analyses afin de déterminer quelles données ont été compromises dans son environnement cloud.
Quelles sont les recommandations ?
Barracuda recommande les actions suivantes pour limiter l'impact de cet incident de sécurité contre LastPass :
- Passez en revue les politiques de mot de passe définies par LastPass (https://support.lastpass.com/help/what-is-the-lastpass-master-password-lp070014).
- Assurez-vous que les services de connexion fédérée de LastPass soient mis en œuvre dans votre entreprise (https://support.lastpass.com/download/lastpass-technical-whitepaper).
- Organisez des campagnes et des formations axées sur les attaques par phishing au sein de votre entreprise afin de sensibiliser aux attaques de type social engineering.
- Effectuez des audits et dressez l'inventaire des comptes utilisateurs/administrateurs et de leur accès à LastPass.
- Passez en revue l'architecture Zero Knowledge de LastPass (https://www.lastpass.com/security/zero-knowledge-security)
- Tenez-vous informé des dernières informations concernant l'incident de sécurité impliquant LastPass (https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/).
RÉFÉRENCES
Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :
- https://support.lastpass.com/help/what-is-the-lastpass-master-password-lp070014
- https://support.lastpass.com/download/lastpass-technical-whitepaper
- https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
- https://support.lastpass.com/help/how-do-i-change-my-password-iterations-for-lastpass
- https://blog.lastpass.com/2021/11/how-to-protect-yourself-from-social-engineering-attacks/
- https://www.lastpass.com/security/zero-knowledge-security
Cet article a été initialement publié sur SmarterMSP.com.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
