LEBIGDATA.FR I.A, Cloud & Cybersécurité
Au mois de décembre dernier, LastPass annonce avoir été hacké une deuxième fois. La plateforme de gestion de mot de passe vient d'apporter plus de précisions sur l'incident. Les acteurs de la menace auraient piraté les coffres-forts de l'entreprise grâce à des informations d'identification volées à un ingénieur DevOps.
Un incident de sécurité lié à la violation d'août 2022
Dans un avis d'incident publié en décembre 2022, LastPass informe ses utilisateurs qu'une partie non autorisée avait eu accès à un service de stockage cloud tiers. Dans la mesure où le service permet à la plateforme de stocker des sauvegardes archivées de ses données, l'auteur de la menace a pu copier des informations, à partir de ces sauvegardes.
« L'auteur de la menace a également pu copier une sauvegarde des données du coffre-fort client à partir du conteneur de stockage crypté qui est stocké dans un format binaire propriétaire qui contient à la fois des données non cryptées, telles que les URL de sites Web, ainsi que des champs sensibles entièrement cryptés tels que les noms d'utilisateur de sites Web et mots de passe, les notes sécurisées et données remplies par formulaire », explique l'entreprise.
LastPass rassure néanmoins ses clients que les données cryptées restent chiffrées et que le déchiffrement ne peut se faire qu'au niveau du client. Par ailleurs, LastPass ne connaît ni ne conserve aucun mot de passe principal. Pour ce piratage, l'enquête révèle que l'acteur malveillant s'est servi des informations obtenues à la suite d'un incident survenu au mois d'août 2022.
LastPass explique comment les hackers ont pu accéder aux coffres-forts de la plateforme
LastPass a récemment livré des informations supplémentaires sur l'incident de décembre 2022. La plateforme explique que les acteurs malveillants ont volé les identifiants d'accès d'un ingénieur DevOps senior. Cet ingénieur est l'un des quatre seuls employés de LastPass à avoir accès au coffre-fort de l'entreprise, explique cette dernière.
En entrant dans les détails, LastPass révèle que les hackers ont ciblé l'ordinateur personnel de l'ingénieur DevOps et exploité un progiciel multimédia tiers vulnérable pour pouvoir exécuter du code à distance. Ils ont ensuite utilisé cette capacité pour implanter un enregistreur de frappe.
Grâce à l'enregistreur de frappe, les acteurs de la menace ont capturé le mot de passe principal de l'employé pendant que ce dernier s'authentifie avec MFA. C'est ainsi qu'ils ont pu accéder au coffre-fort de l'entreprise. La mise à jour indiquait que les tactiques, techniques et procédures utilisées lors du premier incident étaient différentes de celles utilisées lors du second. Par conséquent, l'entreprise et les enquêteurs n'ont pu directement lier les deux incidents.
- Partager l'article :
