Nouveau rebondissement dans l'affaire LastPass, le gestionnaire de mot de passe qui s'est fait pirater courant 2022. Dans un billet publié sur son site d’assistance, l'entreprise a confirmé que l'ordinateur personnel d'un employé avait été piraté. Cela a offert aux malandrins l'accès à un dossier partagé réservé à une poignée de développeurs de LastPass, qui contenait des informations précieuses. On y trouvait notamment les clés de chiffrement permettant d'accéder aux sauvegardes des coffres-forts des clients, ce qui a permis aux hackers d'en effectuer une copie.
Comment ont-ils réussi à entrer dans ce dossier surprotégé ? L'entreprise explique qu'une première attaque a visé LastPass jusqu'au 12 août, puis qu'une seconde a eu lieu jusqu'à la fin octobre. Cette deuxième intrusion a consisté en « une série d'activités de reconnaissance, de recensement et d'exfiltration » axée sur l'environnement de stockage en nuage de l'entreprise. Les pirates ont décidé de cibler les ingénieurs ayant accès aux code de sécurité les plus précieux :
Plus précisément, l'acteur de la menace a été en mesure d'exploiter les informations d'identification valides volées à un ingénieur DevOps senior pour accéder à un environnement de stockage en nuage partagé. […] Pour ce faire, il a ciblé l'ordinateur personnel d'un ingénieur et exploité un logiciel tiers vulnérable, qui permettait d'exécuter du code à distance et d'implanter un logiciel malveillant enregistreur de frappe (keylogger).
Les pirates ont pu capturer le mot de passe principal de l'employé au moment de sa saisie et accéder à son coffre-fort professionnel. LastPass précise qu'étant donné que les hackeurs ont utilisé des logins légitimes, il a été plus difficile de repérer leur activité. L'ingénieur DevOps piraté était l'un des quatre seuls employés de LastPass ayant accès au coffre-fort de l'entreprise.
LastPass a finalement détecté le comportement anormal par le biais des alertes AWS, lorsque l'acteur de la menace a tenté d'effectuer une action non autorisée. LastPass annonce qu'elle a depuis mis à jour sa stratégie de sécurité, notamment en changeant régulièrement les informations d'identification sensibles et les clés/tokens d'authentification, mais aussi en révoquant les certificats. Des alertes plus strictes ont également été mises en place.
Source :
