- Que s’est-il passé et quelles mesures avons-nous prises ?
- Quelles données ont été exposées ?
- Quelles mesures devez-vous prendre pour vous protéger ou protéger votre entreprise ?
- Qu’avons-nous fait pour sécuriser LastPass ?
- Que pouvez-vous attendre de notre part à l’avenir ?
QUE S’EST-IL PASSÉ ET QUELLES MESURES AVONS-NOUS PRISES ?
Les deux incidents que nous avons rendus publics l’année dernière ont affecté LastPass et ses clients. Aucun des incidents n’est imputable à un défaut du produit LastPass, à un accès illicite aux systèmes en production, ou à une utilisation malveillante de ces derniers. L’acteur malveillant a exploité une vulnérabilité d’un logiciel tiers, a contourné des contrôles existants pour finir par accéder à des environnements de développement et de sauvegarde. Nous avons communiqué des informations techniques, comme des indicateurs de piratage (Indicators of Compromise ou IOC) et des tactiques, techniques et procédures de l’acteur malveillant (threat actor tactics, techniques and procedures ou TTP) aux forces de l’ordre ainsi qu’à nos partenaires en matière de renseignement sur les menaces et d’analyse technique. À ce jour, l’identité et les motivations de l’acteur malveillant restent un mystère. Aucun contact n’a été établi, aucune demande n’a été formulée et aucune activité clandestine crédible n’a été détectée indiquant que l’acteur malveillant tenterait de monnayer les informations obtenues au cours de l’un ou l’autre des incidents. Résumé du 1er incident : L’ordinateur portable d’un ingénieur logiciel a été piraté, ce qui a permis à l’acteur malveillant d’accéder à l’environnement de développement dans le cloud et de voler du code source, des informations techniques et certains secrets relatifs aux systèmes internes de LastPass. Aucune donnée client ou de coffre-fort n’a été volée au cours de cet incident, car ces données ne sont pas utilisées dans l’environnement de développement. Nous avons déclaré l’incident clos, mais avons appris par la suite que les informations volées lors du premier incident avaient été utilisées pour identifier des cibles et mener à bien la seconde attaque. En réponse au premier incident, nous avons mobilisé nos équipes de sécurité internes ainsi que des ressources de chez Mandiant. Dans le cadre du processus de circonscription, d’éradication et de récupération, nous avons pris les mesures suivantes :- Suppression de l’environnement de développement et reconstruction d’un nouvel environnement pour assurer une circonscription et une éradication complètes.
- Déploiement de technologies et de contrôles de sécurité supplémentaires pour renforcer les mesures existantes.
- Modification de tous les secrets en clair utilisés par nos équipes et de tout certificat exposé.
- Analyse des ressources de stockage LastPass dans le cloud et application de stratégies et de contrôles supplémentaires.
- Analyse et modification des privilèges de contrôle d’accès.
- Changement des secrets et certificats auxquels le pirate a eu accès.
QUELLES DONNÉES ONT ÉTÉ EXPOSÉES ?
Comme nous le mentionnons dans les résumés des deux incidents, l’acteur malveillant a volé des données propriétaires de LastPass et des données des clients, dont les suivantes : Résumé des données consultées au cours du 1er incident :- 14 des 200 dépôts de code source et de développement à la demande dans le cloud.
- Scripts internes issus des dépôts, y compris des secrets et certificats LastPass.
- Documentation technique interne décrivant le fonctionnement de l’environnement de développement.
- Secrets limités aux DevOps, et qui ont été utilisés pour accéder aux sauvegardes dans le cloud.
- Sauvegardes dans le cloud, dont des données de configuration, des secrets d’API, des secrets d’intégrations tierces, des métadonnées client et des sauvegardes de l’ensemble des données de coffre-fort des clients. Toutes les données sensibles des coffres-forts des clients, à l’exception des URL, des chemins de fichiers vers les logiciels LastPass installés sous Windows ou macOS et de certains cas d’utilisation impliquant des adresses e-mail, étaient chiffrées dans le cadre de notre modèle zéro connaissance et ne peuvent être déchiffrées qu’à l’aide d’une clé de chiffrement unique dérivée du mot de passe maître de chaque utilisateur. Pour rappel, les mots de passe maîtres des utilisateurs finaux ne sont jamais connus de LastPass et ne sont pas stockés ou traités par LastPass, et ils n’ont donc pas été exfiltrés avec les autres données.
- Sauvegarde de la base de données MFA/fédération de LastPass – Contient des copies de données de départ de LastPass Authenticator, des numéros de téléphone utilisés dans le cadre de l’option de sauvegarde de la MFA (lorsqu’elle est activée), ainsi qu’un composant de connaissance partagée (la « clé » K2) utilisé dans le cadre de la fédération LastPass (lorsqu’elle est activée). Cette base de données était chiffrée, mais la clé de déchiffrement, stockée séparément, fait partie des secrets dérobés par l’acteur malveillant au cours du 2e incident.
QUELLES MESURES DEVEZ-VOUS PRENDRE POUR VOUS PROTÉGER OU PROTÉGER VOTRE ENTREPRISE ?
Pour mieux accompagner les efforts de gestion des incidents de nos clients, nous avons préparé deux bulletins de sécurité : un destiné à nos utilisateurs Free, Premium et Families et un destiné à nos utilisateurs Business et Teams. Chaque bulletin de sécurité contient des informations conçues pour aider nos clients à sécuriser leur compte LastPass et répondre à ces incidents de sécurité d’une façon qui nous semble adaptée à leurs besoins personnels ou au profil et à l’environnement de sécurité de leur organisation.- Bulletin de sécurité : Mesures recommandées pour les clients LastPass Free, Premium et Families. Ce bulletin aide nos clients Free, Premium et Families à examiner des réglages LastPass importants conçus pour protéger leur compte afin d’assurer le respect des meilleures pratiques.
- Bulletin de sécurité : Mesures recommandées pour les administrateurs LastPass Business. Ce bulletin aide les administrateurs de nos clients Business et Teams à effectuer une évaluation des risques associés à la configuration de leur compte LastPass et des intégrations tierces, avec ou sans fédération.
QU’AVONS-NOUS FAIT POUR SÉCURISER LASTPASS ?
Depuis le mois d’août, nous avons déployé plusieurs nouvelles technologies de sécurité au sein de nos infrastructures, de nos centres de données et de nos hébergements dans le cloud afin de renforcer notre posture de sécurité. Bon nombre de ces mesures étaient déjà planifiées, ce qui nous a permis de les mettre en œuvre en un temps record, leur mise en œuvre ayant démarré avant même le premier incident. Nous avons également donné la priorité à des investissements importants dans le domaine de la sécurité, de la confidentialité et des meilleures pratiques opérationnelles. Nous avons effectué un examen complet de nos politiques de sécurité, et nous avons intégré des modifications pour limiter les accès et les privilèges lorsque c’était possible. Nous avons mené à bien une analyse exhaustive des contrôles et configurations déjà en place, et apporté les modifications nécessaires pour renforcer la protection des environnements existants. Nous avons également commencé à étendre l’utilisation du chiffrement au sein de notre application et de nos infrastructures de sauvegarde. Enfin, nous avons commencé à élaborer des initiatives à long terme portant sur notre architecture pour stimuler l’évolution de la plate-forme LastPass. Cliquez ici pour consulter la liste des tâches déjà effectuées et des tâches qui sont sur notre feuille de route en matière de sécurité.QUE POUVEZ-VOUS ATTENDRE DE NOTRE PART À L’AVENIR ?
Depuis notre communication du 22 décembre, j’ai échangé avec bon nombre de nos clients, particuliers et professionnels. J’ai bien compris la frustration ressentie par nos clients qui auraient voulu que nous communiquions de manière plus rapide, plus claire et plus exhaustive tout au long de cet événement. Je prends acte de ces critiques et j’en assume l’entière responsabilité. Nous avons beaucoup appris et nous sommes déterminés à mieux communiquer à l’avenir. Les nouvelles d’aujourd’hui sont une manifestation de cette détermination. Il y a à peine plus d’un an, GoTo et ses investisseurs annonçaient que LastPass deviendrait une société indépendante, dotée d’une nouvelle équipe dirigeante. L’objectif était de libérer tout le potentiel de l’entreprise, afin qu’elle puisse développer la meilleure plate-forme de gestion des mots de passe en entreprise. À la fin du mois d’avril 2022, j’ai été nommé PDG pour diriger cet effort. Au cours des huit derniers mois, nous avons embauché de nouveaux responsables pour stimuler la croissance de l’entreprise et mettre en œuvre une nouvelle stratégie. Il s’agit de vétérans et de leaders reconnus sur les secteurs de la sécurité et des nouvelles technologies. Dans le cadre d’une nouvelle phase de croissance de l’entreprise, nous avons alloué plusieurs millions de dollars pour renforcer nos investissements en matière de sécurité, à l’échelle des personnes, des processus et des technologies. Cet investissement renforce notre détermination à faire de LastPass une entreprise de cybersécurité de tout premier plan, et à ce que nous soyons en mesure de nous protéger contre les futures menaces. Merci pour votre compréhension, vos retours et votre fidélité.
Karim Toubba
PDG, LastPass