Les autorités fédérales confirment un lien entre le piratage de LastPass en 2022 et un cyber-braquage

 (krebsonsecurity.com)
1 points par GN⁺ 2025-03-09 | 1 commentaires | Partager sur WhatsApp

  • Septembre 2023, affaire du piratage de LastPass

    • KrebsOnSecurity a rapporté en septembre 2023 que le mot de passe maître de LastPass avait été volé, entraînant des cybervols représentant des centaines de milliers de dollars pour plusieurs victimes.
    • Des enquêteurs fédéraux américains sont parvenus à la même conclusion en examinant un vol de cryptomonnaies de 150 millions de dollars survenu le 30 janvier 2024.

  • Affaire de vol de cryptomonnaies

    • Le 6 mars 2024, le parquet fédéral du district nord de Californie a annoncé avoir récupéré environ 24 millions de dollars en cryptomonnaies après un cybervol de 150 millions de dollars.
    • La victime de cette affaire serait Chris Larsen, cofondateur de Ripple.

  • Conclusions de l’enquête fédérale

    • Le Secret Service américain et le FBI sont parvenus à la même conclusion concernant les vols liés au piratage de LastPass.
    • Ils ont confirmé que les données et mots de passe volés avaient été utilisés pour accéder illégalement aux comptes de gestionnaire de mots de passe en ligne des victimes, afin de dérober des cryptomonnaies et d’autres données.

  • Caractéristiques communes des victimes

    • Les chercheurs en sécurité Nick Bax et Taylor Monahan ont constaté que les victimes n’avaient pas subi d’attaques classiques comme le piratage d’e-mail, la compromission de comptes mobiles ou le SIM swapping.
    • Toutes les victimes avaient stocké leurs phrases mnémoniques de cryptomonnaie dans les "Secure Notes" de leur compte LastPass.

  • Un schéma de vol complexe

    • Les fonds dérobés ont été rapidement déplacés vers plusieurs comptes sur différentes plateformes d’échange de cryptomonnaies.
    • Le gouvernement estime que ce schéma de vol complexe résulte de la coopération de plusieurs acteurs malveillants.

  • Réponse de LastPass

    • LastPass affirme n’avoir vu, de la part des enquêteurs fédéraux ou d’autres sources, aucune preuve définitive établissant que ces vols sont liés au piratage de LastPass.
    • En août 2022, LastPass a annoncé avoir détecté une activité anormale dans son environnement de développement logiciel, et que certains codes source et informations techniques avaient été volés.
    • En novembre 2022, LastPass a informé ses clients que des coffres-forts de mots de passe chiffrés et des informations personnelles avaient été compromis.

  • Avis des experts en sécurité

    • De nombreuses victimes utilisaient des mots de passe maîtres peu complexes, ce qui laisse penser qu’il s’agissait probablement d’anciens clients de LastPass.
    • LastPass avait imposé des mots de passe plus complexes aux nouveaux utilisateurs, mais ne semble pas avoir appliqué cette exigence à ses anciens clients.

  • Nécessité de renforcer la sécurité

    • Les chercheurs affirment que LastPass aurait dû recommander à ses clients de changer de mot de passe.
    • Malgré la réaction négative de LastPass, les chercheurs en sécurité soulignent que des mesures supplémentaires sont nécessaires pour éviter d’autres piratages.

À lire aussi

1 commentaires

 
GN⁺ 2025-03-09
Avis Hacker News
  • 1Password n’est pas assez reconnu pour son choix de chiffrer tous les coffres-forts avec une clé secrète avancée. Cela a un coût en termes d’expérience utilisateur et de charge de support, mais du coup, même en cas de fuite de données, cela ne devient pas un problème majeur
  • LastPass a minimisé la fuite de données et n’a pas correctement chiffré certaines données comme la section des notes. L’entreprise a esquivé ses responsabilités, alors qu’elle aurait dû faire face à des poursuites
  • LastPass savait que les mots de passe maîtres de ses utilisateurs n’étaient pas suffisamment sûrs, mais n’a pas agi de manière proactive. C’est impardonnable
  • Les personnes qui utilisent LastPass devraient migrer vers des options plus fiables comme 1Password, Bitwarden ou KeePass, et changer tous leurs mots de passe importants
  • Je ne comprends pas bien comment le piratage de LastPass a pu entraîner la compromission des mots de passe. Je pensais que cela fonctionnait comme 1Password, auquel cas cela devrait rester très difficile, voire impossible. Quelqu’un peut-il expliquer en quoi les gestionnaires de mots de passe, ou LastPass en particulier, sont différents ?
  • Avec 1Password, la clé de déchiffrement est divisée en deux parties : le mot de passe unique de l’utilisateur + une clé secrète. Les deux sont nécessaires. La clé secrète est générée aléatoirement et fait environ 128 bits. Elle est créée par 1Password et envoyée à l’utilisateur, mais 1Password ne la revoit plus jamais. Même si le coffre-fort est volé, il faut toujours casser à la fois le mot de passe et la clé secrète de 128 bits, ce qui garantit au minimum une sécurité de 128 bits
  • En quoi LastPass est-il différent ? La clé secrète a-t-elle aussi été volée ? Les coffres-forts dérobés ont-ils fait l’objet d’attaques supplémentaires pour en extraire la clé secrète ? LastPass n’utilise-t-il pas une structure similaire à celle de 1Password ? Ou bien faut-il considérer que même en utilisant 1Password on n’est pas en sécurité ?
  • Je n’utilise plus LastPass depuis sa deuxième grande faille de sécurité en 2013. Wikipedia ne mentionne que 3 incidents au total, mais j’ai vu au moins 5 signalements entre 2010 et aujourd’hui. Pendant tout ce temps, j’ai continué à voir des entreprises utiliser LastPass, et cela m’a surpris à chaque fois
  • LastPass affirme qu’il n’existe aucune preuve reliant les deux incidents. Pourtant, il est difficile de croire que des personnes stockant des « objets de collection » valant des millions de dollars ne changent pas au moins leurs mots de passe chaque année
  • La rotation des mots de passe n’est plus vraiment considérée comme une bonne pratique, mais dans ce cas précis, cela reste un choix prudent
  • Je regarde mon KeepassXC local et je garde mon calme
  • On nous a dit de stocker nos mots de passe dans le cloud, et qu’il n’y aurait aucun problème
  • Centraliser les identifiants de tout le monde reste l’une des idées les plus dangereuses. La seule chose qui pourrait être plus attirante pour les hackers, ce serait des produits dopants gratuits, mais seulement pour un temps ; ensuite, ils recommenceraient à vouloir voler les identifiants de tout le monde
  • Autres cibles : les informations d’identification personnelle de tout le monde, les informations sur leurs amis, leur famille et leurs animaux de compagnie, les réponses aux questions de sécurité, les identifiants mobiles, les codes PIN, les numéros de compte, les signatures, les photos, les empreintes digitales, les empreintes vocales, les scans du visage et de la rétine, la démarche, l’ADN et l’ARN mitochondrial
  • Je me souviens qu’à l’époque où LastPass est apparu, tout le monde le trouvait faible et peu fiable. Pepperidge Farm s’en souvient aussi
  • Que font les personnes très sensibles aux questions de sécurité pour leurs mots de passe ? On a l’impression qu’il faut soit utiliser le même mot de passe partout, soit utiliser un gestionnaire de mots de passe. Mais si tous les mots de passe sont réunis au même endroit, j’ai toujours peur qu’en cas de compromission, ce ne soit pas un seul mot de passe qui soit touché, mais tous
  • J’ai l’impression que beaucoup de solutions impliquent un compromis avec la commodité. On peut garder un classeur physique rempli de mots de passe dans son bureau, mais c’est pénible de devoir chercher puis saisir chaque mot de passe à chaque fois, et cela représente un gros risque pour toute personne ayant un accès physique