Les assaillants ont infecté l’ordinateur personnel d’un ingénieur ayant accès aux clés des services cloud

Dans une note de blog, publiée le 27 février 2023, LastPass détaille la seconde cyberattaque qu’il a subie en 2022. Le gestionnaire de mots de passe précise qu’il s’agissait bien de deux cyberincidents distincts mais menés par les mêmes assaillants.

Le premier s’est achevé le 12 août 2022, avec une reprise en main des accès compromis. Le second a commencé le même jour, et s’est prolongé jusqu’au 26 octobre 2022. Selon LastPass, les cybercriminels ont utilisé des informations dérobées durant le premier piratage pour réaliser le second.

Ils avaient notamment identifié les quatre ingénieurs possédant les clés de déchiffrement permettant d’accéder aux services cloud de LastPass. Les cybercriminels ont alors visé l’ordinateur personnel de l’un de ces quatre responsables. Ils ont pour cela exploité une faille dans Plex, une application de streaming utilisée par l’ingénieur.

Les assaillants ont alors installé un enregistreur de frappe sur son PC personnel, et ont ainsi dérobé le mot de passe principal de l’ingénieur. Ils ont donc pu ouvrir son coffre-fort numérique. Ce dernier contenait « des notes sécurisées chiffrées avec les clés d’accès et de déchiffrement nécessaires » pour accéder à des sauvegardes de base et d’autres ressources dans le cloud de LastPass.

L’utilisation par les cybercriminels d’identifiants légitimes a « initialement rendu difficile pour les enquêteurs de différencier l’activité malveillante de l’activité légitime en cours », selon LastPass. Amazon Web Services (AWS) a fini par repérer l’intrusion lorsque les assaillants ont « tenté d’utiliser les rôles IAM (Identity and Access Management) du cloud pour effectuer des activités non autorisées ».

Les données de sauvegarde exposées comprenaient, selon la note de blog, « des informations de configuration, des API, des secrets d’intégration tiers, des métadonnées client et des sauvegardes de toutes les données du coffre-fort client ».

Les mots de passe compromis étaient toutefois tous chiffrés et accessibles uniquement avec le mot de passe principal de chaque compte, inconnu de LastPass. Les cybercriminels disposent pour autant désormais de toutes les informations nécessaires pour se faire passer pour LastPass auprès d’un utilisateur. Les risques de phishing sont donc très élevés.

Plus globalement, le fait qu’un ingénieur accède à son coffre-fort pro à partir de son PC personnel interroge sur les normes de sécurité en vigueur chez LastPass.

https://support.lastpass.com/help/incident-2-additional-details-of-the-attack

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.