PIratage Last : des données sensibles dérobées et décryptées
La situation est pire que prévue pour Last. L'éditeur du célèbre gestionnaire de mot de e reconnait que des pirates ont dérobé des données personnelles et sensibles d'utilisateurs stockées dans des coffres-forts cryptés…
La série noire sur les pirates successifs de Last continue ! Alors que l'enquête suit toujours son cours, l'entreprise partage ses dernières découvertes dans Last seulement, et qui contenait bien évidemment de précieuses informations. On y trouvait notamment les clés de chiffrement permettant d'accéder aux sauvegardes des coffres-forts des clients, et les hackers ne se sont pas privés pour en effectuer des copies.
Pour accéder à cet ordinateur, les cybercriminels ont exploité une vulnérabilité trouvée sur la plateforme multimédia Plex, qui avait été victime d'une attaque quelque temps auparavant et qui avait abouti au vol de 15 millions de mot de e du technicien au moment de sa saisie. Comme ils ont utilisé des identifiants légitimes, il a été plus difficile de repérer leur activité. Depuis, Last a annoncé avoir mis à jour sa stratégie de sécurité, notamment en changeant régulièrement les informations d'identification sensibles et les jetons d'authentification, et en mettant en place des alertes plus strictes.
Last : les contenus des coffres des clients dans la nature
Après avoir la dérobé le code source de l'application ainsi que des informations sur son fonctionnement, les pirates avaient de nouveau pris pour cible L'ast. Si, dans un premier temps, elle s'était voulue rassurante, affirmant que les mots de e de ses clients "restaient chiffrés de manière sécurisée", les dégâts étaient en réalité plus importants que prévu. Pour rappel, les gestionnaires de mots de e permettent de stocker tous ses mots de e, informations de paiement et informations de connexion essentielles dans une base de données ou un coffre-fort hautement chiffré. L'utilisateur peut accéder à tous ces éléments avec un seul mot de e principal. Autant dire que Last contient des données d'une grande valeur pour les hackers, surtout avec ses 33 millions de particuliers et ses 100 000 entreprises – dont d'importants médias américains comme le New York Times, CNN et Mashable.
Fin décembre 2022, Last avait mis en ligne un nouveau billet de blog afin de faire part des avancées de son enquête à ses utilisateurs, comme la firme l'avait promis. Et les nouvelles étaient plutôt mauvaises, car il se trouvait que les pirates avaient bel et bien eu accès aux informations personnelles et aux métadonnées associées, dont les noms d'utilisateurs, ceux des sociétés utilisant le service, mais aussi les adresses de facturation, les e-mails, les adresses IP et les numéros de téléphone des clients. Pire encore, ils avaient également réussi à accéder aux coffres sécurisés de clients, qui contenaient des données chiffrées, dont tous les identifiants et mots de e de site web – ainsi que leurs URL – renseignés par les clients de l'entreprise, de même que les notes de sécurités et les données de formulaires, et sauvegarder le contenu. Rien que ça ! Seule petite consolation : "rien ne prouve que des données de cartes de crédit non cryptées aient été consultées. Last ne stocke pas les numéros de carte de crédit complets et les informations relatives aux cartes de crédit ne sont pas archivées dans cet environnement de stockage cloud."
A priori, la majeure partie des informations ne devaient pas pouvoir être exploitée. "Ces champs chiffrés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être déchiffrés qu'avec une clé de cryptage unique dérivée du mot de e principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge," expliquait le patron de l'entreprise Karim Toubba, faisant référence à son modèle de sécurité qui s'assure que les données soient chiffrées uniquement sur l'appareil de l'utilisateur, soit avant leur synchronisation avec le service – en théorie, si Last ne connait pas les données, les pirates non plus. L'entreprise considérait qu'il n'y avait donc malgré tout toujours aucun risque réel pour les utilisateurs. "Il faudrait des millions d'années pour deviner votre mot de e principal à l'aide d'une technologie courante de craquage de mots de e", jugeait la société. Le pirate "peut tenter d'utiliser la force brute pour deviner votre mot de e principal et déchiffrer les copies des données du coffre-fort qu'il a prises", mais là encore ce serait difficile.
Last : un piratage de grande ampleur
Mais le pire était encore à venir. Paddy Srinivasan, le PDG de GoTo – l'éditeur du logiciel de mots de e –, avait annoncé le 23 janvier 2023 dans un billet de blog que le piratage de novembre dernier s'étendait en réalité bien au-delà de Last. En plus de ce dernier, cinq services avaient également été touchés : les outils d'accès à distance Pro et Central, le service de réunion en ligne .me, le serveur VPN Hamachi et l'outil d'accès à distance Remotly Anywhere.
Et ce n'est pas tout ! Les pirates étaient parvenus à récupérer une clé de chiffrement pour une partie des sauvegardes stockées chez un fournisseur de cloud. Ils ont ainsi eu accès à plusieurs informations, comme les noms d'utilisateur, des mots de e chiffrés – ils sont donc illisibles –, des détails sur les licences des produits, des informations sur leur paramétrage et sur l'identification à plusieurs facteurs. La maison mère continuait pourtant de tenir un discours "rassurant" en affirmant qu'aucune information bancaires n'avait été dérobée et qu'un nombre de personnes ayant vu leurs données compromises était très limité. Les clients concernés ont été és et les mots de e de leur compte réinitialisés, tandis que ces derniers ont été déplacés sur une nouvelle plateforme plus sécurisée, avec une gestion des identités améliorée et une authentification plus robuste.
Piratage Last : quels risques pour les utilisateurs ?
Après cette fuite massive de données, Last avait décidé de renforcer sa sécurité en mettant hors service les développements en cours auxquels les pirates ont eu accès, pour tout recommencer à zéro. L'entreprise avait également remplacé et renforcé les machines, les processus et les mécanismes d'authentification des développeurs. Elle menait également une analyse de tous les comptes présentant des signes d'activité suspecte. D'autres mesures de protections avaient également été prises.
Afin d'éviter tout risque de credentiel stuffing – une technique qui consiste à réaliser, à l'aide de logiciels ou de façon manuelle, des tentatives d'authentification massives sur des sites et services web à partir de couples identifiants/mots de e –, Last avait recommandé aux utilisateurs de changer leur mot de e principal et ceux utilisés pour chaque compte associé. Ils devaient bien évidemment être forts et longs, avec des chiffres, des lettres et des caractères spéciaux. Il valait également mieux – qu'il y ait eu cyberattaque ou non – renforcer la sécurité de son compte en activant la double authentification – également appelée authentification à plusieurs facteurs. Pour ce faire, il suffit de suivre le tutoriel de la firme.
Mais si les mots de e ne craignaient rien a priori, c'était plus embêtant en ce qui concernait le vol des données personnelles en revanche. En effet, les pirates pouvaient s'en servir afin de mener des opérations de phishing (hameçonnage), notamment en se faisant er pour Last afin que leurs victimes leur donnent volontairement leur mot de e principal. C'est pourquoi l'entreprise a rappelé qu'elle n'appellera jamais ses clients, et ne leur enverra jamais d'e-mails ou de SMS pour leur demander de cliquer sur un lien afin de vérifier leurs informations personnelles. En dehors de la connexion à leur coffre à partir d'un client Last, elle ne leur demandera jamais leur mot de e principal.
Last : deux cyberattaques successives
En temps normal, l'utilisation d'un gestionnaire de mots de e est un bon moyen de protéger ses comptes personnels et ses informations – et de s'en souvenir. Mais de par les données sensibles qu'ils contiennent, ces outils sont souvent visés par des tentatives de piratage. Début août, l'éditeur du gestionnaire de mots de e Last avait détecté des traces "d'activités non autorisées," comme il l'avait annoncé dans un communiqué. L'intrusion s'était produite suite à la compromission d'un compte de développeur et avait permis à un pirate d'avoir accès à l'environnement de développement. Ce dernier avait réussi à voler des portions de code source et des informations techniques propriétaires de la firme, qui s'était néanmoins voulue rassurante. "Nos produits et services fonctionnent normalement," avait-t-elle déclaré. A priori, les identifiants et les mots de e des utilisateurs n'avait pas semblé avoir été compromis. Last avait expliqué avoir "contenu le problème, mis en œuvre des mesures de sécurité supplémentaires", et ne pas avoir "été témoin d'autres tentatives d'activité non autorisée".
We recently detected unusual activity within portions of the Last development environment and have initiated an investigation and deployed containment measures. We have no evidence that this involved any access to customer data. More info: https://t.co/cV8atRsv6d pic.twitter.com/HtPLvK0uEC
— Last (@Last) August 25, 2022
Après avoir ouvert une enquête, la firme avait, par précaution, fait appel à la société spécialiste en cybersécurité et criminalistique Mandiant. Elle avait découvert que l'intrusion s'était "limitée" à une période de quatre jours, et que "la conception et les contrôles de notre système ont empêché l'acteur menaçant d'accéder aux données des clients ou aux coffres-forts de mots de e cryptés." Elle avait ajouté que, de toute façon, "nous ne stockons jamais et n'avons jamais connaissance de votre mot de e maître."
Le 30 novembre, la firme révélait dans un nouveau billet de blog avoir été victime d'une seconde cyberattaque et, cette fois-ci, certains "éléments d'informations des clients" avaient pu être consultés par les auteurs de l'attaque – la firme était restée plutôt vague concernant leur nature et le nombre d'utilisateurs touchés. D'après les premières informations, les pirates avaient utilisé des données qui avaient été récupérées lors de la précédente attaque. Last avait affirmé que "nous travaillons avec diligence pour comprendre la portée de l'incident et identifier les informations spécifiques qui ont été consultées". L'entreprise indiquait également avoir fait de nouveau appel à Mandiant dans le cadre de son programme de gestion des risques – ce qui avait pourtant déjà été le cas après la précédente attaque – et prévenu les forces de l'ordre. "Comme toujours, nous vous tiendrons informés dès que nous en saurons plus", avait- elle promis. Toujours est-il que cette histoire entache sérieusement l'image de l'entreprise, qui se revendique comme le gestionnaire de mots de e numéro un dans le monde...