Les conséquences inattendues du hack de LastPass

Le piratage de LastPass continue de faire des émules. Près d’un an après les faits, une enquête révèle que les hackers se sont servis des données volées pour orchestrer une centaine de braquages visant des détenteurs de cryptomonnaies. Aucun utilisateur ne semble à l’abri à des cybercriminels…

L’an dernier, LastPass, un des gestionnaires de mot de passe les plus populaires du marché, a essuyé deux attaques informatiques. Dans un premier temps, les pirates ont pénétré dans le PC personnel d’un employé de l’entreprise. Les hackers ont alors dérobé les identifiants professionnels du développeur.

Armés de ceux-ci, ils ont aspiré une grande quantité de données sensibles, comme les noms d’utilisateurs, les adresses de facturation, les emails, les adresses IP et les numéros de téléphone des clients. Encore plus grave, les attaquants se sont emparés des clés de chiffrement des sauvegardes des coffres-forts des utilisateurs.

En clair, plus de 25 millions d’utilisateurs ont vu leurs mots de passe tomber entre les mains de cybercriminels. Ces attaques ont profondément entaché l’image de marque de LastPass, dont la communication a été jugée malhonnête et sa sécurité inefficace et médiocre.

Sur la piste des hackers de LastPass

Récemment, un rapport de Brian Krebs, un expert en cybersécurité, a mis en lumière une nouvelle conséquence du hack de LastPass. D’après le chercheur, le piratage, et les manquements flagrants du gestionnaire, ont abouti au vol de 35 millions de dollars en cryptomonnaies.

Dès décembre 2022, soit quelques semaines seulement après les révélations de LastPass, des chercheurs en sécurité ont remarqué une multiplication « des braquages de cryptomonnaies à six chiffres ciblant des personnes soucieuses de la sécurité dans toute l’industrie technologique ». Aidée par d’autres experts, Taylor Monahan, chef de produit chez MetaMask, un portefeuille crypto très populaire, a alors lancé une enquête. Rapidement, les enquêteurs ont découvert « un ensemble d’indices très fiables » indiquant que les vols ont été rendus possibles grâce à la faille de LastPass.

For the past 48hrs I've been unwinding a massive wallet draining operation ??

I don't know how big it is but since Dec 2022 it's drained 5000+ ETH and ??? in tokens / NFTs / coins across 11+ chains.

Its rekt my friends & OGs who are reasonably secure.

No one knows how. pic.twitter.com/MafntG7RkP

— Tay ? (@tayvano_) April 18, 2023

Plus de 150 victimes ont été identifiées. Il s’agit d’investisseurs ayant placé des sommes colossales dans les cryptomonnaies depuis de longues années ou de développeurs de la finance décentralisée. Ces individus avaient pris des mesures fortes pour protéger leurs investissements. Dans plusieurs messages publiés sur X, Taylor Monahan souligne que toutes les victimes avaient une bonne hygiène numérique. C’est pourquoi la vague de vols a suscité son inquiétude.

Le dénominateur commun

Selon la responsable de Metamask, toutes les victimes ont stocké leurs clés privées par le biais de LastPass. Avec cette clé privée, qui se compose d’une longue suite de caractères, il est possible de prendre le contrôle d’un wallet… et de transférer tous les fonds sur d’autres adresses blockchain. Bref, c’est une véritable aubaine pour les pirates. En théorie, la clé privée est chiffrée avec un cryptage AES 256 bits. Il n’y a donc pas moyen de s’en servir pour dépouiller les utilisateurs. Malheureusement, les hackers ont pu s’emparer des clés de chiffrement de la société en pénétrant dans un espace de stockage partagé dans le Cloud, réservé à quatre développeurs de LastPass. D’après de nombreux experts, il a ensuite suffi d’une attaque par force brute tout à fait classique pour casser le chiffrement. Avec un logiciel dédié et de puissants ordinateurs, un pirate va simplement tester toutes les combinaisons possibles jusqu’à trouver le bon résultat.

De son côté, LastPass admet qu’il reste possible de trouver les combinaisons des coffres-forts sécurisés par des clés de chiffrement. La société précise que la tâche s’annonce « extrêmement difficile, pour ne pas dire quasiment impossible », et que l’opération pourrait prendre « des millions d’années de tentatives ». Une foule d’experts, dont le chercheur Nicholas Weaver et le développeur d’Adblock Plus Wladimir Palant, sont moins optimistes. En fait, tout dépend de la longueur du mot de passe choisi.

En miroir de Taylor Monahan, Nick Bax, directeur de l’analyse chez Unciphered, une société de récupération de portefeuilles crypto, estime également que c’est LastPass qui a abouti à la vague de vols. Il précise être « arrivé à la même conclusion » en découvrant qu’une signature unique, une empreinte générée à partir d’une clé privée et des détails d’une transaction, était à l’origine de tous les transferts frauduleux.

Si vous avez également stocké vos clés privées sur LastPass, il faut prendre des mesures d’urgence. Nick Bax explique avoir exhorté ses proches « à changer tous leurs mots de passe et à migrer toute crypto qui aurait pu être exposée » bien qu’il « sache très bien à quel point c’est fastidieux ».

Contacté par Brian Krebs, LastPass rappelle que l’enquête concernant les attaques de l’an dernier est toujours en cours du côté des forces de police. Le gestionnaire assure avoir communiqué une montagne d’informations aux enquêteurs pour les aider « à identifier les parties responsables ».

Source : KrebsOnSecurity