La société étatsunienne LastPass écope d’une amende de 1,2 million de livres sterling au Royaume Uni après qu’une double violation de ses systèmes en août 2022 ait compromis les données de près de 1,6 million de personnes en Grande Bretagne. L’autorité britannique de régulation des données (ICO) estime que les manquements de LastPass sont inacceptables pour une entreprise qui gère des mots de passe.
Pour mémoire, la première des deux brèches de sécurité a eu lieu le 18 août 2022 lorsqu’un pirate a compromis le MacBook Pro d’un développeur de l’entreprise et exfiltré 14 des quelque 200 référentiels de code source LastPass. Le pirate s’est arrêté dans son élan après avoir déclenché une alerte de sécurité AWS en tentant de manipuler des commandes de gestion des accès que le compte du développeur logiciel n’était pas autorisé à modifier.
La deuxième violation de données a eu lieu deux jours plus tard. Il s’agissait du piratage du PC personnel d’un ingénieur DevOps expérimenté de LastPass, basé aux Etats-Unis. A l’époque, LastPass encourageait les cadres à relier leurs comptes personnels et professionnels, afin que les deux puissent être accessibles à l’aide du même mot de passe principal. Or l’ingénieur DevOps en question était l’une des quatre personnes chez LastPass a avoir accès à la clé de déchiffrement du SSE-C (fournie par le client).
L’attaquant a obtenu un accès à distance au PC en exploitant une vulnérabilité dans Plex Media Server baptisée CVE-2020-5741. Il a installé un enregistreur de frappe pour voler le mot de passe principal de l’ingénieur, ainsi qu’un cookie de session qu’il a ensuite utilisé pour contourner l’authentification multifactorielle (MFA). Le pirate a utilisé cet accès pour obtenir la clé d’accès LastPass AWS et la clé de déchiffrement qui, associées à la clé SSE-C, pouvaient être utilisées pour télécharger la base de données de sauvegarde de l’entreprise.
Ayant changé d’identifiants après la première attaque du 18 août, LastPass n’a pas imaginé que la clé SSE-C serait compromise après que l’attaquant eut volé la clé de décryptage le 20 août.
Il se trouve qu’AWS a bien détecté une activité inhabituelle et envoyé des alertes mais celles-ci n’ont été prises en compte par le centre des opérations de sécurité (SOC) de LastPass que le 2 novembre 2022. En cause : un échec de passation entre LastPass et son ancienne société mère, GoTo. Le manque de communication entre l’ancienne et la nouvelle équipe de sécurité a retardé la réponse aux incidents.
Résultat : une violation de plus d’1,6 million d’adresses email et d’adresses IP, 248.407 numéros de téléphone, 159.809 noms et 118.103 adresses physiques au Royaume Uni.
Fin 2022, le chercheur en sécurité Wladimir Palant a dénoncé la communication de l’entreprise LastPass : « pleine d’omissions, de demi vérités et de purs mensonges ».
La Cnil britannique en conclut : « Les clients de LastPass étaient en droit d’attendre que les informations personnelles qu’ils confiaient à l’entreprise soient conservées en toute sécurité. Cependant, l’entreprise n’a pas répondu à cette attente, ce qui a conduit à l’annonce d’une amende proportionnée. »