Comment la fuite de données de LastPass s'est-elle produite et comment l'éviter ?

La fuite de données de LastPass survenue en 2022-2023 nous rappelle comment des cyberattaques sophistiquées peuvent se transformer en désastres de sécurité à long terme. Cette analyse complète détaille l'incident, son impact et les leçons cruciales pour les organisations cherchant à renforcer leur posture de sécurité.

L'impact : en chiffres#

Les conséquences de la faille ont été graves et durables :

• 33 millions d'utilisateurs touchés
• 4,4 millions de dollars volés à plus de 25 victimes
• 5 millions de dollars auraient été volés en une seule semaine
• 15 millions de dollars volés en cryptomonnaie

Principaux points à retenir#

• Un seul compte de développeur compromis a conduit à une faille affectant 33 millions d'utilisateurs de LastPass
• Les attaquants ont obtenu l'accès à des coffres-forts de mots de passe chiffrés et à des informations client
• Plus de 15 millions de dollars ont été volés lors de casses de cryptomonnaie liés à cette faille
• L'incident a mis en évidence des vulnérabilités critiques dans la sécurité du travail à distance et la réponse aux incidents

Compromission initiale - août 2022#

La faille a commencé lorsque des attaquants ont obtenu un accès non autorisé à l'environnement de développement de LastPass par le biais d'un seul compte de développeur compromis. À ce stade, les attaquants ont obtenu :

• Des parties du code source de LastPass
• Des informations techniques exclusives
• L'accès aux ressources de l'environnement de développement

Escalade - novembre/décembre 2022#

Ce qui semblait initialement contenu a rapidement dégénéré lorsque les attaquants ont exploité les informations volées pour :

• Accéder au service de stockage cloud tiers de LastPass
• Obtenir des copies de sauvegarde des données des coffres-forts clients
• Compromettre des informations de compte client non chiffrées

Développement critique - mars 2023#

Dans une mise à jour révélatrice, LastPass a divulgué que les attaquants avaient :

• Compromis l'ordinateur personnel d'un ingénieur DevOps senior
• Exploité une vulnérabilité dans un logiciel multimédia tiers
• Déployé un logiciel malveillant de type enregistreur de frappe pour capturer les mots de passe maîtres
• Obtenu l'accès à des clés de déchiffrement critiques

Quelles données ont été compromises ?#

Informations client#

• Noms des entreprises
• Noms des utilisateurs finaux
• Adresses de facturation
• Adresses e-mail
• Numéros de téléphone
• Adresses IP

Données techniques#

• Sauvegardes de coffres-forts clients
• Secrets DevOps
• Stockage de sauvegarde basé sur le cloud
• Sauvegardes de bases de données de fédération/MFA

Leçons de sécurité essentielles pour les organisations#

1. Mettre en œuvre une segmentation réseau robuste#

• Séparer les systèmes et données critiques
• Créer des zones de sécurité avec différents niveaux d'accès
• Mettre en œuvre des contrôles d'accès stricts entre les segments
• Surveiller le trafic entre les segments du réseau

2. Renforcer la sécurité du travail à distance#

• Établir des politiques claires pour les appareils de télétravail
• Restreindre l'installation de logiciels personnels sur les appareils de travail
• Mettre en œuvre une protection robuste des terminaux
• Effectuer des audits de sécurité réguliers des configurations de travail à distance

3. Améliorer la réponse aux incidents et la communication#

• Élaborer des procédures claires de réponse aux incidents
• Maintenir une communication transparente avec les parties prenantes
• Documenter et mettre à jour rapidement les incidents de sécurité
• Fournir des mises à jour régulières pendant les incidents en cours

4. Améliorer la gestion des accès et des mots de passe#

• Mettre en œuvre l'authentification multifacteur sur tous les systèmes
• Exiger des mots de passe forts et uniques pour chaque compte
• Effectuer une rotation régulière des mots de passe et des audits de sécurité
• Utiliser des gestionnaires de mots de passe dotés de fonctionnalités de sécurité robustes

Mesures préventives pour les organisations#

1. Contrôles techniques#

• Mettre en œuvre une architecture Zero Trust
• Déployer une protection avancée des terminaux
• Effectuer des évaluations de sécurité et des tests d'intrusion réguliers
• Assurer une surveillance et une journalisation continues

2. Contrôles administratifs#

• Offrir une formation régulière en sécurité aux employés
• Établir des politiques et procédures de sécurité claires
• Gérer les risques liés aux fournisseurs
• Planifier la réponse aux incidents

Conclusion#

La fuite de données de LastPass constitue une leçon cruciale sur l'importance de mesures de sécurité complètes et d'une réponse appropriée aux incidents. Les organisations doivent adopter une approche proactive en matière de sécurité, en mettant en œuvre plusieurs couches de protection tout en se préparant à d'éventuelles failles. En tirant les leçons de cet incident, les entreprises peuvent mieux protéger leurs actifs et maintenir la confiance de leurs clients.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Foire aux questions#

Comment les attaquants sont-ils passés d'un compte de développeur à l'accès aux coffres-forts des clients lors de la faille LastPass ?#

Les attaquants ont utilisé le code source et des informations techniques volées dans l'environnement de développement de LastPass en août 2022 pour accéder à un service de stockage cloud tiers contenant des sauvegardes de coffres-forts de clients. Cette escalade en plusieurs étapes s'est déroulée sur plusieurs mois avant que l'ampleur totale ne soit divulguée au début de 2023.

Pourquoi les coffres-forts chiffrés de LastPass étaient-ils toujours considérés comme à risque après la faille ?#

Les attaquants ont obtenu à la fois les sauvegardes chiffrées des coffres-forts et, surtout, les clés de déchiffrement en déployant un enregistreur de frappe sur l'ordinateur personnel d'un ingénieur DevOps senior. La capture des mots de passe maîtres en plus des clés de déchiffrement signifiait que le chiffrement seul ne pouvait pas protéger totalement les données des clients.

Quelles défaillances de sécurité liées au travail à distance ont aggravé la faille LastPass ?#

L'ordinateur personnel d'un ingénieur DevOps senior a été compromis en raison d'une vulnérabilité dans un logiciel multimédia tiers, un risque que des politiques robustes de protection des terminaux pour les appareils de télétravail sont censées prévenir. La restriction de l'installation de logiciels personnels et l'application d'audits de sécurité des configurations à domicile sont des mesures d'atténuation clés.

Quels types spécifiques de données ont été exposés lors de la faille LastPass de 2022-2023 ?#

Les données exposées couvraient deux catégories : les informations clients comprenant les noms, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP, ainsi que les données techniques couvrant les sauvegardes des coffres-forts clients, les secrets DevOps, le stockage de sauvegarde basé sur le cloud et les sauvegardes de bases de données de fédération/MFA. Cette combinaison de données personnelles et d'infrastructure a rendu la violation particulièrement dommageable.