LastPass procède à un nouvel aveu : la société de gestion de mots de passe révèle à présent que les pirates l’ayant attaquée l’an dernier ont volé le mot de passe d’un ingénieur DevOps expérimenté pour exfiltrer des données sensibles de clients.

En août dernier, LastPass avait déclaré n’avoir aucune preuve que les attaquants aient eu accès aux données de ses clients ou à des coffres-forts chiffrés. Puis, lors des fêtes hivernales, LastPass avait précisé que les pirates avaient bien volé des données stockées dans ses coffre-fort virtuels, y compris des bases de données et informations sur ses clients (noms de société et d’utilisateur final, adresses de facturation, adresses email, numéros de téléphone, adresses IP utilisées).

On sait aujourd’hui que les attaquants ont utilisé les informations volées lors de la première attaque pour effectuer la seconde attaque. Ils sont parvenus à installer un enregistreur de frappes sur le PC d’un ingénieur senior, en exploitant une vulnérabilité d’exécution de code à distance dans un progiciel multimédia tiers.

Selon LastPass, cet accès a permis aux attaquants d’entrer dans diverses instances partagées, « qui contenaient des notes sécurisées chiffrées avec les clés d’accès et de déchiffrement nécessaires pour accéder aux sauvegardes de production Amazon S3 de LastPass, à d’autres ressources de stockage dans le cloud, et à certaines sauvegardes de base de données critiques associées »« L’acteur de la menace a pu capturer le mot de passe principal de l’employé au moment de la saisie, après que l’employé se soit authentifié avec MFA, et accéder au coffre-fort d’entreprise LastPass de l’ingénieur DevOps. Les acteurs de la menace ont ensuite exporté les entrées natives du coffre-fort d’entreprise et le contenu des dossiers partagés ».

L’usage d’identifiants valides a offert une fenêtre de tirs de deux mois environ aux pirates, jusque fin octobre 2022, pour voler des données en toute tranquilité.

LastPass recommande à ses client·e·s de changer de mot de passe principal et d’appliquer la méthode d’authentification multifactorielle (MFA) afin de réduire les risques d’accès. La société annonce également avoir mis à jour sa politique de sécurité. Pour autant, elle demeure la cible de critiques pour manque de transparence ces derniers mois.