LastPass publie de nouvelles informations et recommandations sur les incidents de sécurité

LastPass mobile app icon is seen on an iPhone. LastPass is a freemium password manager that stores encrypted passwords online.
Image : Tada Images/Adobe Stock

LastPass a été piraté deux fois l’année dernière par le même acteur ; un incident a été signalé fin août 2022 et l’autre le 30 novembre 2022. La société mondiale de gestion de mots de passe a publié mercredi un rapport avec nouvelles découvertes de son enquête sur les incidents de sécuritéainsi que les actions recommandées pour les utilisateurs et les entreprises concernés.

Sauter à:

Comment les attaques LastPass se sont produites et ce qui a été compromis

Comme l’a rapporté LastPass, le pirate a d’abord piraté l’ordinateur portable d’entreprise d’un ingénieur logiciel en août. La première attaque était critique, car le pirate a pu exploiter les informations que l’acteur de la menace avait volées lors de l’incident de sécurité initial. Exploitant une vulnérabilité de progiciel multimédia tiers, l’acteur malveillant a ensuite lancé la deuxième attaque coordonnée. La deuxième attaque visait l’ordinateur personnel d’un ingénieur DevOps.

« L’acteur de la menace a pu capturer le mot de passe principal de l’employé tel qu’il a été saisi après que l’employé s’est authentifié avec MFA et a obtenu l’accès au coffre-fort d’entreprise LastPass de l’ingénieur DevOps », a détaillé le récente de l’entreprise rapport d’incident de sécurité.

LastPass a confirmé qu’au cours du deuxième incident, l’attaquant avait accédé au coffre-fort de données de l’entreprise, au stockage de sauvegarde basé sur le cloud – contenant des données de configuration, des secrets d’API, des secrets d’intégration tiers, des métadonnées client – et toutes les sauvegardes de données du coffre-fort client. Le coffre LastPass inclut également l’accès à l’environnement de stockage cloud partagé qui contient les clés de chiffrement pour les sauvegardes de coffre client stockées dans des compartiments Amazon S3 où les utilisateurs stockent les données dans leur environnement cloud Amazon Web Services.

La deuxième attaque était très ciblée et bien documentée, car elle ciblait l’un des quatre seuls employés de LastPass ayant accès au coffre-fort de l’entreprise. Après que le pirate ait eu le coffre-fort déchiffré, le cybercriminel a exporté les entrées, y compris les clés de déchiffrement nécessaires pour accéder aux sauvegardes de production AWS S3 LastPass, à d’autres ressources de stockage basées sur le cloud et aux sauvegardes de bases de données critiques associées.

Recommandations de sécurité de LastPass

LastPass a publié des recommandations pour les utilisateurs et les entreprises concernés dans deux bulletins de sécurité. Voici les principaux détails de ces bulletins.

Le Bulletin de sécurité : Actions recommandées pour LastPass gratuit, premium et famille inclut les meilleures pratiques principalement centrées sur les mots de passe maîtres, des guides pour créer des mots de passe forts et activer des couches de sécurité supplémentaires telles que l’authentification multifacteur. La société a également exhorté les utilisateurs à réinitialiser leurs mots de passe.

Les mots de passe principaux LastPass doivent idéalement comporter de 16 à 20 caractères, contenir au moins une majuscule, une minuscule, un chiffre, des symboles et des caractères spéciaux, et être uniques, c’est-à-dire qu’ils ne sont pas utilisés sur un autre site. Pour réinitialiser les mots de passe principaux LastPass, les utilisateurs peuvent suivre les guide officiel de LastPass.

LastPass a également demandé aux utilisateurs d’utiliser le tableau de bord de sécurité pour vérifier le score de sécurité de leur force de mot de passe actuelle, pour activer et vérifier la fonction de surveillance du dark web et pour activer la MFA par défaut. La surveillance du dark web alerte les utilisateurs lorsque leurs adresses e-mail apparaissent dans les forums et les sites du dark web.

Le Bulletin de sécurité : Actions recommandées pour les administrateurs LastPass Business a été préparé exclusivement après l’événement pour aider les entreprises qui utilisent LastPass. Le guide plus complet comprend 10 points :

  • Longueur et complexité du mot de passe maître.
  • L’itération compte pour les mots de passe principaux.
  • Meilleures pratiques de super administrateur.
  • Secrets partagés MFA.
  • Intégration SIEM Splunk.
  • Exposition due à des données non cryptées.
  • Abandon des applications de mot de passe (Push Sites to Users).
  • Réinitialisez les clés SCIM, Enterprise API et SAML.
  • Considérations des clients fédérés.
  • Considérations supplémentaires.

Les utilisateurs super administrateurs LastPass ont des privilèges supplémentaires qui vont au-delà de l’administrateur moyen. Compte tenu de leurs pouvoirs étendus, la société a émis des recommandations spéciales pour les utilisateurs super administrateurs après les attaques. Les recommandations du super administrateur LastPass incluent les éléments suivants.

  • Suivez les bonnes pratiques relatives au mot de passe principal et aux itérations : Assurez-vous que vos utilisateurs super-administrateurs disposent de mots de passe principaux forts et d’un nombre d’itérations fort.
  • Passez en revue les super-administrateurs avec les droits de stratégie « Autoriser les super-administrateurs à réinitialiser les mots de passe principaux » : Si la politique permettant aux super-administrateurs de réinitialiser les mots de passe principaux est activée et que les utilisateurs identifient les super-administrateurs avec un mot de passe principal faible et/ou peu d’itérations, leur locataire LastPass peut être en danger. Celles-ci doivent être revues.
  • Effectuer un examen de sécurité : Les entreprises doivent effectuer des examens de sécurité complets pour déterminer les actions supplémentaires à effectuer sur un compte LastPass Business.
  • Actions post-examen : Identifiez les comptes de super-administrateur à risque et déterminez que les super-administrateurs dont le mot de passe principal ou le nombre d’itérations sont faibles doivent prendre les mesures suivantes :
    • Clients de connexion fédérée: Envisagez de dé-fédérer et de re-fédérer tous les utilisateurs et demandez aux utilisateurs de faire pivoter toutes les informations d’identification du coffre.
    • Clients de connexion non fédérés: Envisagez de réinitialiser les mots de passe principaux des utilisateurs et demandez aux utilisateurs de faire pivoter toutes les informations d’identification du coffre.
  • Rotation des identifiants : LastPass suggère d’utiliser une approche basée sur les risques pour donner la priorité à la rotation des informations d’identification critiques dans les coffres des utilisateurs finaux.
  • Passez en revue les super-administrateurs avec les droits « Autoriser les super-administrateurs à accéder aux dossiers partagés » : Réinitialisez le mot de passe principal si le mot de passe du super administrateur est jugé faible. Faites pivoter les informations d’identification dans les dossiers partagés.
  • Enquêter sur MFA : Générez le rapport d’authentification multifacteur activée pour afficher les utilisateurs qui ont activé une option MFA, y compris les solutions MFA qu’ils utilisent.
  • Réinitialisez les secrets MFA : Pour LastPass Authenticator, Google Authenticator, Microsoft Authenticator ou Grid, réinitialisez tous les secrets MFA.
  • Envoyer un e-mail aux utilisateurs : La réinitialisation des secrets partagés MFA détruit toutes les sessions LastPass et les appareils de confiance. Les utilisateurs doivent se reconnecter, passer par la vérification de l’emplacement et réactiver leurs applications MFA respectives pour continuer à utiliser le service. LastPass recommande d’envoyer un e-mail fournissant des informations sur le processus de réinscription.
  • Communiquer: Communiquer les rapports d’incidents de sécurité et les mesures à prendre. Alertez les utilisateurs sur les techniques de phishing et d’ingénierie sociale.

Alternatives à LastPass et impact des hacks

LastPass s’est dit confiant d’avoir pris les mesures nécessaires pour contenir et éradiquer l’accès futur au service ; cependant, selon Filaire, la dernière divulgation de LastPass était si préoccupante que les professionnels de la sécurité ont rapidement « commencé à appeler les utilisateurs à passer à d’autres services ». Les principaux concurrents de LastPass sont 1Password et Dashlane.

VOIR : Bitwarden contre 1Password | Keeper contre LastPass (TechRepublic)

Les experts ont également mis en doute la transparence de LastPass, qui ne parvient pas à dater les déclarations d’incidents de sécurité et n’a toujours pas établi exactement quand la deuxième attaque s’est produite, ni combien de temps le pirate a passé à l’intérieur du système ; le temps qu’un pirate passe à l’intérieur d’un système a un impact significatif sur la quantité de données et de systèmes pouvant être exploités. (J’ai contacté LastPass pour un commentaire, mais je n’ai pas reçu de réponse au moment de la publication.)

Pour les utilisateurs de LastPass, les conséquences de ces récents incidents de sécurité sont évidentes. Alors que la société assure qu’il n’y a aucune indication que les données compromises sont vendues ou commercialisées sur le dark web, les administrateurs d’entreprise doivent faire face aux recommandations détaillées émises par LastPass.

Un avenir sans mot de passe

Malheureusement, la tendance au piratage des gestionnaires de mots de passe n’est pas nouvelle. LastPass a connu des incidents de sécurité chaque année depuis 2016, et d’autres grands gestionnaires de mots de passe comme Norton LifeLock, Passwordstate, Dashlane, Keeper, 1Password et RoboForm ont été ciblés, piratés ou se sont avérés vulnérables, comme l’a rapporté Meilleures critiques.

Les cybercriminels ciblent de plus en plus les sociétés de gestion de mots de passe, car elles détiennent les données sensibles qui peuvent être utilisées pour accéder à des millions de comptes, y compris des comptes cloud où sont hébergés des systèmes critiques et des actifs numériques. Dans ce paysage hautement concurrentiel, les pratiques de cybersécurité, la transparence, les violations et l’exfiltration de données peuvent influencer l’avenir de ces sociétés de gestion de mots de passe.

Malgré le fait que le marché des gestionnaires de mots de passe devrait atteindre 7,09 milliards de dollars d’ici 2028, selon SkyQuest rapports, il n’est pas surprenant qu’un avenir sans mot de passe continue de prendre de l’ampleur, porté par Apple, Microsoft et Google dans le cadre de l’alliance FIDO. Lisez la récente interview de TechRepublic avec 1Password sur ses plans pour un avenir sans mot de passe.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *