Avis d’incident de sécurité récent

Mis à jour le jeudi 22 décembre 2022 À notre communauté LastPass, Nous vous avons récemment informé que des personnes non autorisées ont eu accès à un service de stockage tiers basé sur le Cloud, que LastPass utilise pour stocker des sauvegardes archivées de nos données de production. Conformément à nos engagements de transparence, nous tenons à vous informer de l’évolution de notre enquête en cours. Qu’avons-nous appris ? Au cours de l’enquête que nous avons menée jusqu’à présent, nous avons appris qu’une personne malveillante inconnue a pu accéder à un environnement de stockage basé sur le Cloud en exploitant les informations obtenues lors de l’incident que nous avions déjà révélé en août 2022. Bien que l’incident d’août 2022 n’ait pas permis d’accéder aux données des clients, du code source et des informations techniques ont été dérobés dans notre environnement de développement et utilisés pour cibler un autre employé, obtenant ainsi des informations d’identification et des clés qui ont été utilisées pour accéder et déchiffrer plusieurs volumes de stockage dans le service de stockage basé sur le Cloud. Les services de production de LastPass opèrent actuellement à partir de centres de données sur site, le stockage dans le Cloud étant utilisé à des fins diverses telles que le stockage des sauvegardes et les obligations de résidence régionale des données. Le service de stockage dans le Cloud auquel a accédé la personne malveillante est physiquement séparé de notre environnement de production. À ce jour, nous avons déterminé qu’une fois que la clé d’accès au stockage dans le Cloud et la double clé de déchiffrement du conteneur de stockage ont été obtenues, la personne malveillante a copié les informations de la sauvegarde qui contenait des informations de base sur les comptes clients et les métadonnées associées, y compris les noms des sociétés, les noms des utilisateurs finaux, les adresses de facturation, les e-mails, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass. La personne malveillante a également pu copier une sauvegarde des données du coffre-fort des clients à partir du conteneur de stockage chiffré. Ces données sont stockées dans un format binaire propriétaire comprenant à la fois des données non chiffrées, comme les URL des sites Web, et des champs sensibles entièrement chiffrés, comme les noms d’utilisateur et les mots de passe des sites Web, les notes sécurisées et les données remplies dans les formulaires. Ces champs chiffrés sont toujours sécurisés par un chiffrement AES 256 bits et ne peuvent être déchiffrés qu’à l’aide d’une clé de chiffrement unique dérivée du mot de passe maître de chaque utilisateur, grâce à notre architecture « zéro connaissance ». Pour rappel, LastPass n’a jamais connaissance du mot de passe maître. Il ne le stocke pas ni ne le conserve. Le chiffrement et le déchiffrement des données sont effectués uniquement sur le client LastPass local. Pour plus d’informations sur notre architecture zéro connaissance et nos algorithmes de chiffrement, veuillez consulter cette page. Il n’existe aucune preuve que des données de cartes de crédit non chiffrées ont pu être consultées. LastPass ne stocke pas les numéros complets des cartes de crédit et les informations relatives aux cartes de crédit ne sont pas archivées dans cet environnement de stockage dans le Cloud. Que cela signifie-t-il ? Les clients courent-ils un risque avec leurs données ? La personne malveillante peut tenter de recourir à la technique de l’attaque par force brute pour deviner votre mot de passe maître et déchiffrer les copies des données du coffre-fort qu’elle a dérobées. Les méthodes de hachage et de chiffrement que nous utilisons pour protéger nos clients font qu’il serait extrêmement difficile de tenter de deviner au moyen d’une attaque par force brute les mots de passe maîtres des clients qui suivent nos meilleures pratiques en matière de mots de passe. Nous soumettons régulièrement les dernières techniques de cassage de mots de passe à des tests contre nos algorithmes afin de maintenir à niveau et d’améliorer nos contrôles cryptographiques. La personne malveillante peut également cibler les clients avec des attaques par phishing, par credential stuffing, ou d’autres attaques par force brute sur les comptes en ligne associés à votre coffre-fort LastPass. Pour vous protéger contre les attaques d’ingénierie sociale ou de phishing, il est important de savoir que LastPass ne vous appellera jamais, ni ne vous enverra d’e-mail ou de SMS pour vous demander de cliquer sur un lien afin de vérifier vos informations personnelles. Hormis lors de la connexion à votre coffre-fort depuis un client LastPass, LastPass ne vous demandera jamais votre mot de passe maître. Que devraient faire les clients LastPass ? Pour rappel, voici les paramètres par défaut et les meilleures pratiques pour le mot de passe maître de LastPass :

• Depuis 2018, nous exigeons que les mots de passe maître comportent au moins douze caractères. Cela restreint considérablement la possibilité de deviner un mot de passe au moyen d’une attaque par force brute.
• Pour renforcer davantage la sécurité de votre mot de passe maître, LastPass utilise une implémentation de 100 100 itérations (une valeur plus forte que le nombre habituellement utilisé) de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2). Cet algorithme de renforcement de mot de passe complique la découverte de votre mot de passe maître. Vous pouvez vérifier ici le nombre actuel d’itérations PBKDF2 pour votre compte LastPass.
• Nous vous recommandons également de ne jamais réutiliser votre mot de passe maître sur d’autres sites Web. Si vous réutilisez votre mot de passe maître et que celui-ci a été compromis, une personne malveillante peut utiliser des données d’identification compromises déjà disponibles sur Internet pour tenter d’accéder à votre compte (c’est ce que l’on appelle une attaque par « credential stuffing »).

Si vous utilisez les paramètres par défaut ci-dessus, il faudrait des millions d’années pour deviner votre mot de passe maître à l’aide des techniques de cassage de mots de passe les plus courantes. Les données sensibles de votre coffre-fort, telles que les noms d’utilisateur et les mots de passe, les notes sécurisées, les pièces jointes et les champs de remplissage de formulaires, restent chiffrées en toute sécurité selon l’architecture zéro connaissance de LastPass. À ce stade, aucune action de votre part n’est nécessaire. Toutefois, il est important de noter que si votre mot de passe maître n’adhère pas aux recommandations par défaut mentionnées ci-dessus, cela réduit considérablement le nombre de tentatives nécessaires pour le deviner correctement. En pareil cas, vous devriez envisager, comme mesure de sécurité supplémentaire, de minimiser les risques en changeant les mots de passe des sites Web que vous avez stockés. Pour les clients LastPass Business ayant mis en œuvre les services de connexion fédérés LastPass, LastPass applique notre architecture zéro connaissance et a recours à un mot de passe maître caché pour chiffrer les données de votre coffre-fort. En fonction du modèle d’implémentation sélectionné, ce mot de passe maître caché est en fait une combinaison de deux ou plusieurs chaînes aléatoires de 256 bits ou de 32 caractères générées par cryptographie. Ces chaînes sont stockées séparément et doivent être combinées spécifiquement pour être utilisées (vous pouvez en savoir plus à ce sujet dans notre Livre blanc technique disponible ici). La personne malveillante n’a pas eu accès aux fragments de clé stockés dans l’infrastructure du fournisseur d’identité du client ou de LastPass et ils ne figuraient pas dans les sauvegardes copiées qui contenaient les coffres-forts des clients. Par conséquent, si vous avez mis en œuvre les services de connexion fédérés, vous n’avez pas besoin de prendre des mesures supplémentaires. Toutefois, il est important de noter que si vous êtes un client LastPass Business qui n’utilise pas la connexion fédérée et que votre mot de passe maître n’adhère pas aux recommandations par défaut mentionnées ci-dessus, cela réduit considérablement le nombre de tentatives nécessaires pour le deviner correctement. En pareil cas, vous devriez envisager, comme mesure de sécurité supplémentaire, de minimiser les risques en changeant les mots de passe des sites Web que vous avez stockés. Qu’avons-nous fait et qu’allons-nous faire ? En réponse à l’incident d’août 2022, nous avons éliminé tout autre accès potentiel à l’environnement de développement de LastPass en mettant hors service la totalité de cet environnement et en reconstruisant un nouvel environnement à partir de zéro. Nous avons également remplacé et renforcé les machines, les processus et les mécanismes d’authentification destinés aux développeurs. Nous avons ajouté des capacités supplémentaires de journalisation et d’alerte pour mieux détecter toute autre activité non autorisée, notamment une deuxième ligne de défense fournie par un leader en matière de détection et de réponse aux points d’extrémité gérés, en complément de notre propre équipe. Nous avons également poursuivi la réalisation de nos plans de mise en œuvre d’un nouvel ensemble entièrement dédié d’environnements de développement et de production LastPass. Pour faire suite à cet incident récent, nous effectuons une rotation active de tous les identifiants et certificats susceptibles d’avoir été affectés et nous étendons la sécurité des points de terminaison existants. Nous procédons également à une analyse exhaustive de tout compte montrant des signes d’activité suspecte au sein de notre service de stockage dans le Cloud, nous ajoutons des protections supplémentaires à cet environnement et nous analysons toutes les données de cet environnement pour nous assurer de bien comprendre les éléments auxquels la personne malveillante a pu accéder. Nous avons déjà notifié un petit ensemble (moins de 3 %) de nos clients LastPass Business pour leur recommander de prendre certaines mesures en fonction de la configuration spécifique de leur compte. Si vous êtes un client LastPass Business et que vous n’avez pas encore été contacté pour prendre des mesures, cela signifie que nous ne vous recommandons aucune autre action à ce stade. L’enquête sur ce cas suit son cours. Par souci de prudence, nous avons signalé cet incident aux forces de l’ordre et aux autorités de réglementation compétentes. Nous nous engageons à vous tenir informés de nos conclusions et à communiquer toute nouvelle mesure que nous prenons et toute mesure que vous pourriez devoir prendre. Parallèlement, le fonctionnement de nos services est assuré normalement, et nous maintenons un état d’alerte élevé dans nos opérations. Nous vous remercions de votre soutien indéfectible et de votre patience pendant que nous continuons à gérer cet incident. Karim Toubba PDG de LastPass   Mise à jour du mercredi 30 novembre 2022 À tous les clients LastPass, Conformément à notre esprit de transparence, je voulais vous informer d’un incident de sécurité en cours d’analyse par nos équipes. Nous avons récemment détecté une activité anormale sur un service tiers de stockage dans le cloud utilisé tant par LastPass que par sa société affiliée, GoTo. Nous avons immédiatement lancé une enquête, fait appel à Mandiant, une société de sécurité de premier plan, et alerté les autorités. Nous avons découvert qu’un tiers non autorisé a exploité des informations obtenues lors de l’incident d’août 2022 pour accéder à certaines informations de nos clients. Les mots de passe de nos clients restent chiffrés et sécurisés grâce à l’architecture zéro connaissance de LastPass. Nous travaillons avec détermination pour évaluer la portée de l’incident et identifier les informations précises qui ont été consultées. En attendant, nous sommes en mesure de confirmer que les produits et services LastPass restent entièrement opérationnels. Comme toujours, nous vous recommandons de suivre nos meilleures pratiques de configuration le LastPass, qui sont disponibles ici [https://blog.lastpass.com/2022/01/how-to-set-up-your-new-lastpass-account/]. Dans le cadre de nos efforts, nous renforçons les mesures de sécurité et les moyens de surveillance de toutes nos infrastructures afin de mieux détecter et prévenir de nouvelles activités malveillantes. Nous vous remercions pour votre patience pendant que nous nous efforçons de mener l’enquête à son terme. Comme toujours, nous vous tiendrons informés dès que nous en saurons plus. Karim Toubba PDG de LastPass   Mise à jour du jeudi 15 septembre 2022 À tous les clients LastPass, Le 25 août 2022, nous vous avons informé d’un incident de sécurité limité à l’environnement de développement de LastPass au cours duquel une partie de notre code source et des informations techniques ont été dérobés. Je souhaitais vous informer des conclusions de notre enquête dans un souci de transparence, et afin de rassurer notre clientèle grand public et professionnelle. Nous avons terminé notre enquête et le processus d’analyse technique en partenariat avec Mandiant. Notre enquête a révélé que l’activité de l’acteur malveillant s’est limitée à une période de quatre jours en août 2022. Durant ce laps de temps, l’équipe de sécurité de LastPass a détecté l’activité de l’acteur malveillant, puis a circonscrit l’incident. Il n’y a aucune indication d’activité malveillante en dehors de cette période. Nous pouvons également confirmer qu’il n’existe aucune indication que cet incident ait impliqué un accès aux données des clients ou aux coffres-forts de mots passe chiffrés. Notre enquête a conclu que l’acteur malveillant a obtenu l’accès à l’environnement de développement en piratant le terminal d’un développeur. Bien que nous n’ayons pas identifié la méthode utilisée pour pirater ce terminal, l’acteur malveillant a utilisé un accès persistant pour se faire passer pour le développeur une fois que ce dernier s’était authentifié avec succès à l’aide d’une authentification à plusieurs facteurs. Bien que l’acteur malveillant ait réussi à accéder à l’environnement de développement, la conception du système et les contrôles mis en place l’ont empêché d’accéder aux données des clients ou aux coffres-forts de mots de passe chiffrés. Tout d’abord, l’environnement de développement de LastPass est séparé physiquement de notre environnement de production, et n’est pas directement connecté à celui-ci. Ensuite, l’environnement de développement ne contient pas de données de clients ni de coffres-forts chiffrés. Enfin, LastPass n’a pas accès aux mots de passe maîtres des coffres-forts de nos clients. Or, sans le mot de passe maître, personne d’autre que le propriétaire du coffre-fort ne peut déchiffrer les données qu’il contient, conformément à notre modèle de sécurité zéro connaissance. Pour valider l’intégrité du code, nous avons mené une analyse du code source et des versions en production, et n’avons trouvé aucune indication de tentatives de sabotage du code ni d’injection de code malveillant. Les développeurs ne sont pas en mesure de passer en production le code source de l’environnement de développement. Cette capacité est réservée à l’équipe de publication des assemblages, et n’est possible qu’à l’issue de procédures rigoureuses d’analyse du code, de test et de validation. Dans le cadre de notre programme de gestion des risques, nous nous sommes par ailleurs associés à une firme de cybersécurité de premier plan pour renforcer nos mesures de sécurisation du code source, notamment par l’intermédiaire de processus sécurisés de gestion du cycle de vie du développement logiciel, de modélisation des menaces, de gestion des vulnérabilités et de programmes de récompenses pour l’identification de bugs. En outre, nous avons déployé des contrôles de sécurité renforcés, et notamment des mesures de contrôle et de surveillance supplémentaires au niveau des terminaux. Nous avons également déployé des capacités supplémentaires de renseignement sur les menaces, ainsi que des technologies de détection et de prévention améliorées, tant dans nos environnements de développement que de production. En vous informant aussi rapidement que possible, nous avons voulu souligner notre engagement en faveur de la sécurité de vos données, que nous sommes chargés de protéger. Nous sommes conscients que les incidents de sécurité, quels qu'ils soient, sont perturbants, mais nous tenons à vous assurer que vos données personnelles et vos mots de passe sont entre de bonnes mains. Merci pour votre confiance et votre fidélité, Karim Toubba PDG de LastPass   Billet initial publié le 25 août 2022 À tous les clients LastPass, Nous souhaitons vous faire part, à vous ainsi qu’à tous les particuliers et les entreprises qui utilisent LastPass, d’évènements survenus récemment. Il y a deux semaines, nous avons détecté une activité inhabituelle dans certaines parties de l’environnement de développement LastPass. L’enquête que nous avons lancée immédiatement ne nous a apporté aucune preuve que cet incident ait impliqué un accès à des données client ou à des coffres-forts de mots de passe chiffrés. Nous avons déterminé qu’une partie non autorisée a eu accès à certaines portions de l’environnement de développement de LastPass à l’aide d’un seul compte de développeur compromis, et s’est emparée de fragments de code source et d’informations techniques appartenant exclusivement à LastPass. Nos produits et services fonctionnent normalement. En réponse à cet incident, nous avons appliqué des mesures de confinement et d’atténuation, et fait appel à une entreprise de cybersécurité et d’expertise judiciaire renommée. En parallèle de notre enquête en cours, nous sommes parvenus à contenir le problème, puis à mettre en œuvre des mesures de sécurité supplémentaires, et nous n’observons actuellement aucune autre preuve d’activité non autorisée. En plus des informations ainsi apprises et des mesures mises en œuvre, nous allons étudier d’autres techniques d’atténuation qui serviront à renforcer notre environnement. Vous trouverez ci-dessous quelques questions fréquentes portant sur les préoccupations les plus pressantes de nos utilisateurs. Nous continuerons de vous tenir informés avec toute la transparence qui vous est due. Merci pour votre patience, votre compréhension et votre soutien. Karim Toubba PDG de LastPass

Questions fréquentes

1. Mon mot de passe principal ou celui de mes utilisateurs a-t-il été compromis ?

Non. Cet incident n’a pas compromis votre mot de passe principal. Nous ne serons jamais amenés à stocker ou à connaître votre mot de passe principal. Notre architecture zéro-connaissance standard garantit que LastPass ne pourra jamais connaître le mot de passe principal de nos clients ou y avoir accès. Apprenez-en plus sur la mise en œuvre technique de zéro-connaissance ICI.

2. Les données stockées dans mon coffre-fort ou celui de mes utilisateurs ont-elles été compromises ?

Non. Cet incident s’est produit au sein de notre environnement de développement. Notre enquête n’a révélé aucune preuve d’accès non autorisé à des données chiffrées stockées dans des coffres-forts. Notre modèle zéro-connaissance garantit que seul le client a accès au déchiffrement des données stockées dans son coffre-fort.

3. Mes données personnelles ou celles de mes utilisateurs ont-elles été compromises ?

Non. Notre enquête n’a révélé aucune preuve d’accès non autorisé à des données utilisateur stockées dans notre environnement de production.

4. Que dois-je faire pour assurer ma protection et celle des données stockées mon coffre-fort ?

Pour le moment, nous ne recommandons aucune action de la part de nos utilisateurs et administrateurs. Comme toujours, nous vous recommandons de suivre nos bonnes pratiques d’installation et de configuration de LastPass ICI.

5. Comment puis-je obtenir plus d’informations ?

Nous continuerons d’informer nos clients avec toute la transparence qu’ils sont en droit d’attendre.