Blog
Actualité
bg
Actualité de la sécurité

Nouvelles informations sur l’incident de sécurité et mesures recommandées

Karim ToubbaMarch 01, 2023
Nouvelles informations sur l’incident de sécurité et mesures recommandées
À nos clients LastPass, Je souhaite vous faire part de nouvelles informations importantes sur l’incident de sécurité que nous avons rendu public le 22 décembre 2022.  Nous avons à présent terminé notre enquête exhaustive et n’avons pas détecté d’activité malveillante depuis le 26 octobre 2022. Au cours de nos investigations, nous avons considérablement approfondi notre compréhension de ce qui s’est passé, et nous souhaitons partager ces connaissances avec vous aujourd’hui. Parallèlement, nous avons investi énormément de temps et d’énergie afin de renforcer notre sécurité, tout en améliorant nos procédures d’ensemble. Aujourd’hui, je vais donc vous présenter ces mesures, ainsi que d’autres initiatives que nous prenons. Ce document est structuré de la manière suivante :
  • Que s’est-il passé et quelles mesures avons-nous prises ?
  • Quelles données ont été exposées ?
  • Quelles mesures devez-vous prendre pour vous protéger ou protéger votre entreprise ?
  • Qu’avons-nous fait pour sécuriser LastPass ?  
  • Que pouvez-vous attendre de notre part à l’avenir ?
Nous avons la chance de desservir des millions d’utilisateurs et plus de 100 000 entreprises, et nous voulons veiller à ce que tous nos clients disposent des informations nécessaires pour répondre à leurs interrogations. Compte tenu du volume d’informations que nous vous présentons aujourd’hui, ce document contient des résumés qui intègrent un lien vers des informations plus détaillées sur chaque sujet. Nous avons entendu et pris à cœur vos critiques concernant le fait que nous aurions dû communiquer de manière plus fréquente et plus exhaustive tout au long de ce processus. La longueur de l’enquête nous a obligés à faire des compromis douloureux en la matière, mais nous comprenons et regrettons que nos premiers communiqués aient provoqué de la frustration, tant chez les entreprises que chez les particuliers qui comptent sur nos produits. En présentant ces informations complémentaires aujourd’hui, et comme nous comptons le faire à l’avenir, nous sommes déterminés à satisfaire nos clients en communicant plus efficacement. Si vous préférez passer directement aux mesures recommandées par LastPass pour protéger votre compte ou votre entreprise, veuillez cliquer ici pour les particuliers, et ici pour les administrateurs de comptes professionnels.

QUE S’EST-IL PASSÉ ET QUELLES MESURES AVONS-NOUS PRISES ?

Les deux incidents que nous avons rendus publics l’année dernière ont affecté LastPass et ses clients. Aucun des incidents n’est imputable à un défaut du produit LastPass, à un accès illicite aux systèmes en production, ou à une utilisation malveillante de ces derniers. L’acteur malveillant a exploité une vulnérabilité d’un logiciel tiers, a contourné des contrôles existants pour finir par accéder à des environnements de développement et de sauvegarde. Nous avons communiqué des informations techniques, comme des indicateurs de piratage (Indicators of Compromise ou IOC) et des tactiques, techniques et procédures de l’acteur malveillant (threat actor tactics, techniques and procedures ou TTP) aux forces de l’ordre ainsi qu’à nos partenaires en matière de renseignement sur les menaces et d’analyse technique. À ce jour, l’identité et les motivations de l’acteur malveillant restent un mystère. Aucun contact n’a été établi, aucune demande n’a été formulée et aucune activité clandestine crédible n’a été détectée indiquant que l’acteur malveillant tenterait de monnayer les informations obtenues au cours de l’un ou l’autre des incidents. Résumé du 1er incident : L’ordinateur portable d’un ingénieur logiciel a été piraté, ce qui a permis à l’acteur malveillant d’accéder à l’environnement de développement dans le cloud et de voler du code source, des informations techniques et certains secrets relatifs aux systèmes internes de LastPass. Aucune donnée client ou de coffre-fort n’a été volée au cours de cet incident, car ces données ne sont pas utilisées dans l’environnement de développement.  Nous avons déclaré l’incident clos, mais avons appris par la suite que les informations volées lors du premier incident avaient été utilisées pour identifier des cibles et mener à bien la seconde attaque. En réponse au premier incident, nous avons mobilisé nos équipes de sécurité internes ainsi que des ressources de chez Mandiant.  Dans le cadre du processus de circonscription, d’éradication et de récupération, nous avons pris les mesures suivantes :
  • Suppression de l’environnement de développement et reconstruction d’un nouvel environnement pour assurer une circonscription et une éradication complètes.
  • Déploiement de technologies et de contrôles de sécurité supplémentaires pour renforcer les mesures existantes.
  • Modification de tous les secrets en clair utilisés par nos équipes et de tout certificat exposé.
Des informations détaillées sur le premier incident et les mesures correctives sont disponibles ici. Résumé du 2e incident : L’acteur malveillant a pris pour cible un ingénieur DevOps senior en exploitant une vulnérabilité d’un logiciel tiers. Le pirate a exploité la faille pour injecter un logiciel malveillant, a contourné les contrôles existants, et a pu obtenir un accès illicite aux sauvegardes dans le cloud. Les données de ces sauvegardes contenaient des données de configuration système, des secrets d’API, des secrets d’intégrations tierces et des données de clients LastPass chiffrées et non chiffrées. En réponse au deuxième incident, nous avons à nouveau mobilisé nos équipes et celles de Mandiant. Dans le cadre des activités de circonscription, d’éradication et de récupération liées au second incident, nous avons pris les mesures suivantes :
  • Analyse des ressources de stockage LastPass dans le cloud et application de stratégies et de contrôles supplémentaires.
  • Analyse et modification des privilèges de contrôle d’accès.
  • Changement des secrets et certificats auxquels le pirate a eu accès.
Des détails supplémentaires sur l’attaque et les mesures correctives sont disponibles ici.

QUELLES DONNÉES ONT ÉTÉ EXPOSÉES ?

Comme nous le mentionnons dans les résumés des deux incidents, l’acteur malveillant a volé des données propriétaires de LastPass et des données des clients, dont les suivantes : Résumé des données consultées au cours du 1er incident :
  • 14 des 200 dépôts de code source et de développement à la demande dans le cloud.
  • Scripts internes issus des dépôts, y compris des secrets et certificats LastPass.
  • Documentation technique interne décrivant le fonctionnement de l’environnement de développement.
Résumé des données consultées au cours du 2e incident : 
  • Secrets limités aux DevOps, et qui ont été utilisés pour accéder aux sauvegardes dans le cloud.
  • Sauvegardes dans le cloud, dont des données de configuration, des secrets d’API, des secrets d’intégrations tierces, des métadonnées client et des sauvegardes de l’ensemble des données de coffre-fort des clients. Toutes les données sensibles des coffres-forts des clients, à l’exception des URL, des chemins de fichiers vers les logiciels LastPass installés sous Windows ou macOS et de certains cas d’utilisation impliquant des adresses e-mail, étaient chiffrées dans le cadre de notre modèle zéro connaissance et ne peuvent être déchiffrées qu’à l’aide d’une clé de chiffrement unique dérivée du mot de passe maître de chaque utilisateur. Pour rappel, les mots de passe maîtres des utilisateurs finaux ne sont jamais connus de LastPass et ne sont pas stockés ou traités par LastPass, et ils n’ont donc pas été exfiltrés avec les autres données.
  • Sauvegarde de la base de données MFA/fédération de LastPass – Contient des copies de données de départ de LastPass Authenticator, des numéros de téléphone utilisés dans le cadre de l’option de sauvegarde de la MFA (lorsqu’elle est activée), ainsi qu’un composant de connaissance partagée (la « clé » K2) utilisé dans le cadre de la fédération LastPass (lorsqu’elle est activée). Cette base de données était chiffrée, mais la clé de déchiffrement, stockée séparément, fait partie des secrets dérobés par l’acteur malveillant au cours du 2e incident.
Des informations détaillées sur les données des clients affectées par ces incidents sont disponibles ici.

QUELLES MESURES DEVEZ-VOUS PRENDRE POUR VOUS PROTÉGER OU PROTÉGER VOTRE ENTREPRISE ?

Pour mieux accompagner les efforts de gestion des incidents de nos clients, nous avons préparé deux bulletins de sécurité : un destiné à nos utilisateurs Free, Premium et Families et un destiné à nos utilisateurs Business et Teams. Chaque bulletin de sécurité contient des informations conçues pour aider nos clients à sécuriser leur compte LastPass et répondre à ces incidents de sécurité d’une façon qui nous semble adaptée à leurs besoins personnels ou au profil et à l’environnement de sécurité de leur organisation.
  • Bulletin de sécurité : Mesures recommandées pour les clients LastPass Free, Premium et Families. Ce bulletin aide nos clients Free, Premium et Families à examiner des réglages LastPass importants conçus pour protéger leur compte afin d’assurer le respect des meilleures pratiques.
  • Bulletin de sécurité : Mesures recommandées pour les administrateurs LastPass Business. Ce bulletin aide les administrateurs de nos clients Business et Teams à effectuer une évaluation des risques associés à la configuration de leur compte LastPass et des intégrations tierces, avec ou sans fédération.
Pour toute question concernant les mesures recommandées, veuillez contacter l’assistance technique ou votre équipe de réussite client qui sont là pour vous aider.

QU’AVONS-NOUS FAIT POUR SÉCURISER LASTPASS ?

Depuis le mois d’août, nous avons déployé plusieurs nouvelles technologies de sécurité au sein de nos infrastructures, de nos centres de données et de nos hébergements dans le cloud afin de renforcer notre posture de sécurité. Bon nombre de ces mesures étaient déjà planifiées, ce qui nous a permis de les mettre en œuvre en un temps record, leur mise en œuvre ayant démarré avant même le premier incident. Nous avons également donné la priorité à des investissements importants dans le domaine de la sécurité, de la confidentialité et des meilleures pratiques opérationnelles. Nous avons effectué un examen complet de nos politiques de sécurité, et nous avons intégré des modifications pour limiter les accès et les privilèges lorsque c’était possible. Nous avons mené à bien une analyse exhaustive des contrôles et configurations déjà en place, et apporté les modifications nécessaires pour renforcer la protection des environnements existants. Nous avons également commencé à étendre l’utilisation du chiffrement au sein de notre application et de nos infrastructures de sauvegarde. Enfin, nous avons commencé à élaborer des initiatives à long terme portant sur notre architecture pour stimuler l’évolution de la plate-forme LastPass. Cliquez ici pour consulter la liste des tâches déjà effectuées et des tâches qui sont sur notre feuille de route en matière de sécurité.

QUE POUVEZ-VOUS ATTENDRE DE NOTRE PART À L’AVENIR ?

Depuis notre communication du 22 décembre, j’ai échangé avec bon nombre de nos clients, particuliers et professionnels. J’ai bien compris la frustration ressentie par nos clients qui auraient voulu que nous communiquions de manière plus rapide, plus claire et plus exhaustive tout au long de cet événement. Je prends acte de ces critiques et j’en assume l’entière responsabilité. Nous avons beaucoup appris et nous sommes déterminés à mieux communiquer à l’avenir. Les nouvelles d’aujourd’hui sont une manifestation de cette détermination. Il y a à peine plus d’un an, GoTo et ses investisseurs annonçaient que LastPass deviendrait une société indépendante, dotée d’une nouvelle équipe dirigeante. L’objectif était de libérer tout le potentiel de l’entreprise, afin qu’elle puisse développer la meilleure plate-forme de gestion des mots de passe en entreprise. À la fin du mois d’avril 2022, j’ai été nommé PDG pour diriger cet effort. Au cours des huit derniers mois, nous avons embauché de nouveaux responsables pour stimuler la croissance de l’entreprise et mettre en œuvre une nouvelle stratégie. Il s’agit de vétérans et de leaders reconnus sur les secteurs de la sécurité et des nouvelles technologies. Dans le cadre d’une nouvelle phase de croissance de l’entreprise, nous avons alloué plusieurs millions de dollars pour renforcer nos investissements en matière de sécurité, à l’échelle des personnes, des processus et des technologies. Cet investissement renforce notre détermination à faire de LastPass une entreprise de cybersécurité de tout premier plan, et à ce que nous soyons en mesure de nous protéger contre les futures menaces. Merci pour votre compréhension, vos retours et votre fidélité.

Karim Toubba

PDG, LastPass