Piratage d’un Password Manager et fuites des mots de passe de 29 000 entreprises

Pas moins de 29 000 utilisateurs du gestionnaire de mots de passe Passwordstate ont téléchargé une mise à jour malveillante qui a extrait les données de l’application avant de les a envoyées à un serveur contrôlé par des hackers.

Le mécanisme de mise à niveau compromis

Click Studios, le créateur de Passwordstate, a déclaré aux clients que des hackers avaient compromis son mécanisme de mise à niveau, utilisé pour installer un fichier malveillant sur les ordinateurs des utilisateurs. Selon un rapport de la société de sécurité CSIS Group, le fichier, nommé  moserware.secretsplitter.dll, contenait une copie légitime d’une application appelée SecretSplitter, ainsi qu’un code malveillant nommé Loader. 

Le code du chargeur tente de récupérer l’archive de fichiers à l’adresse https: //passwordstate-18ed2.kxcdn [.] Com / upgrade_service_upgrade.zip afin de pouvoir récupérer une charge utile chiffrée de deuxième étape. Une fois déchiffré, le code est exécuté directement en mémoire. Click Studios indiquait que le code extrait des informations sur le système informatique et sélectionne les données Passwordstate qui sont ensuite publiées sur le réseau CDN des pirates.

Le serveur des pirates scellé

Le compromis de mise à jour de Passwordstate a été actif du 20 avril à 8h33 UTC au 22 avril à 12h30. Le serveur de l’attaquant est arrêté le 22 avril à 7h00 UTC. Les professionnels de la sécurité recommandent l’utilisation des gestionnaires de mots de passe. Ces outils permettent aux utilisateurs de stocker facilement des mots de passe longs et complexes, propres à des centaines, voire des milliers de comptes. Sans gestionnaire de mots de passe, les utilisateurs ont recours à des mots de passe faibles qui sont souvent réutilisés pour plusieurs comptes.

Néanmoins, la violation de Passwordstate souligne le risque posé par les gestionnaires de mots de passe qui représentent un point de défaillance unique pouvant conduire à la compromission d’un grand nombre d’actifs en ligne. Les risques sont nettement moindres lorsque l’authentification à deux facteurs est disponible et activée, car les mots de passe extraits sont insuffisants pour obtenir un accès non autorisé. Click Studios indique que Passwordstate fournit plusieurs options 2FA.

Près de 29 000 entreprises victimes de ce piratage

Passwordstate est principalement vendu aux entreprises qui utilisent le gestionnaire pour stocker les mots de passe des pare-feu, des VPN et d’autres applications d’entreprise. Click Studios affirme que Passwordstate jouit de la confiance de plus de 29 000 clients ainsi que de 370 000 professionnels de la sécurité et de l’informatique à travers le monde. Quiconque utilise Passwordstate doit immédiatement réinitialiser tous les mots de passe stockés, en particulier ceux des pare-feu, VPN, commutateurs, comptes locaux et serveurs.

Le compromis Passwordstate est la dernière attaque de grande envergure de la chaîne d’approvisionnement mise au jour ces derniers mois. En décembre, une mise à jour malveillante du logiciel de gestion de réseau SolarWinds a installé une porte dérobée sur les réseaux de 18 000 clients. Plus tôt ce mois-ci, un outil de développement mis à jour appelé Codecov Bash Uploader a extrait des jetons d’authentification secrets et d’autres données sensibles des machines infectées avant de les envoyer vers un site distant contrôlé par les pirates.