La faille de sécurité LastPass : comment vous protéger
Publié: 2023-01-05Ce que vous devez savoir et faire à propos de la violation LastPass
Si vous êtes un utilisateur de LastPass, comme beaucoup d'entre nous dans la communauté WordPress, vous recherchez peut-être aujourd'hui une solution alternative de gestion des mots de passe. Après une faille de sécurité massive chez LastPass, la société n'a pas divulgué en temps opportun - ce qui a potentiellement mis vos données en danger - vous devriez envisager de passer à Bitwarden ou 1Password. Mieux encore, commencez à utiliser des clés d'accès lorsque cela est possible - elles font des connexions sans mot de passe la solution de sécurité ultime. Enfin, si vous êtes responsable de la sécurité des données d'autrui ou si vous avez un rôle de communication, vous pouvez apprendre des erreurs de LastPass - principalement ce qu'il ne faut pas faire. Examinons ce qui s'est passé, ce qui aurait dû se passer et comment vous devriez sécuriser de manière proactive vos comptes en ligne.
Creuser un trou plus profond ne vous fera pas sortir
En août 2022, le PDG de LastPass, Karim Toubba, a publié la première de ce qui allait devenir une série de divulgations publiques de plus en plus graves concernant une faille de sécurité profonde et continue. La divulgation initiale indiquait qu'"une partie non autorisée" avait partiellement accédé à l'environnement de développement des ingénieurs de LastPass en exploitant "un seul compte de développeur compromis". L'intrus a volé du code source et des "informations techniques propriétaires de LastPass". Cependant, Toubba a déclaré qu'il n'y avait aucun impact sur la plate-forme de gestion des mots de passe LastPass elle-même ou sur ses clients. Sans équivoque, il a assuré aux clients de LastPass que leurs mots de passe principaux, leurs données et leurs informations personnelles étaient en sécurité. Les informations critiques de notre compte étaient totalement sécurisées, à l'abri des intrus.
Malheureusement, ce n'était pas vrai du tout.
Ce qui s'est vraiment passé à LastPass
À partir de fin novembre, Toubba a fait plusieurs autres mises à jour de la divulgation de LastPass que Zack Whittaker de TechCrunch a utilement analysées pour montrer ce que LastPass n'expliquait pas . LastPass a finalement indiqué clairement que l'attaquant avait volé des données client lors d'une deuxième brèche activée par des "informations obtenues" lors de la brèche précédente. Tout d'abord, l'attaquant avait ciblé un développeur LastPass, puis un autre pour pénétrer plus profondément dans les systèmes de LastPass, y compris le stockage en nuage de la société mère de LastPass, GoTo. (GoTo possède également LogMeIn et GoToMyPC.)
Dans un geste inquiétant, GoTo a caché sa propre divulgation aux moteurs de recherche.
Puis, juste avant Noël, Toubba a de nouveau mis à jour la divulgation de la violation de LastPass. Il a confirmé que les attaquants avaient volé un instantané de sauvegarde des coffres-forts chiffrés des mots de passe des clients LastPass. Toubba a également reconnu que toute personne disposant de l'instantané pouvait utiliser des méthodes de force brute pour casser les coffres-forts de mots de passe client chiffrés. La violation comprenait les noms des clients LastPass, les noms et adresses e-mail de leur entreprise, leurs numéros de téléphone et adresses IP, des URL, des notes, des données de formulaire et certaines informations de facturation.
C'est plus que mauvais.
L'impact d'une mauvaise communication de crise de LastPass
LastPass n'a pas divulgué de faits clés tels que le nombre de comptes d'utilisateurs dans les données volées. Par conséquent, nous devrions supposer que les 25+ millions d'utilisateurs de LastPass (en novembre 2022) sont à risque en raison de ces failles de sécurité. De plus, même d'anciens clients peuvent maintenant être en danger si les fichiers de sauvegarde volés contiennent leurs anciennes données personnelles et de coffre-fort de mots de passe.
J'utilise LastPass depuis de nombreuses années pour accéder aux mots de passe d'autres personnes qu'ils partagent avec moi à des fins professionnelles. Bien que je n'aie pas payé pour utiliser le service moi-même, j'ai dû conserver un compte chez LastPass pour cette raison. J'ai reçu les notifications de faille de sécurité de LastPass par e-mail comme d'autres clients, et j'ai été immédiatement concerné. J'ai remarqué que le sujet avait été discuté dans Post Status Slack, un forum communautaire populaire pour les professionnels de WordPress. Robert Rowley, Developer Advocate pour Patchstack, y a partagé la nouvelle. Il a noté: «Aucun mot de passe principal ou mot de passe stocké n'a été divulgué. Aucune action n'est nécessaire. Comme des millions d'autres utilisateurs de Patchstack, nous avons tous fait confiance à ce que l'entreprise nous avait dit, et nous nous sommes trompés.
Plus tard, d'autres personnes chez Patchstack et dans la communauté WordPress ont partagé des nouvelles de GoTo supprimant leur propre divulgation de violation. En décembre, Rowley a de nouveau commenté, observant à quel point les choses étaient venues de la déclaration initiale à laquelle nous croyions tous. "Aucun coffre-fort client n'a été consulté." En comparant la série de divulgations contradictoires à se faire frapper, Rowley a observé: "Cela peut être considéré comme un combo gauche-droite de perte de confiance, chaque mise à jour aggrave l'incident."
Qu'est-ce qui aurait dû se passer à LastPass
Dans la communauté open-source, nous accordons une grande importance à la transparence. Surtout en matière de sécurité, nous essayons de maintenir et de protéger une culture de divulgation responsable. Si nous découvrons des vulnérabilités dans des produits logiciels open source, nous informons discrètement leurs propriétaires et responsables. Nous attendons d'eux qu'ils alertent rapidement leurs utilisateurs et qu'ils fassent une divulgation complète dès qu'ils ont corrigé tout code exploitable. Nous nous attendons à ce que cela se produise très rapidement, en tant que priorité absolue. De cette manière, les membres de la communauté open source essaient de s'entraider pour résoudre les problèmes qui affectent tout le monde au lieu de les dissimuler, ce qui arrive fréquemment avec les logiciels propriétaires.
Une éthique similaire s'applique lorsque des individus malveillants volent des informations d'identification personnelle (PII) de grande valeur. Bien que les lois sur la notification des atteintes à la sécurité varient selon les États et les pays, elles exigent toutes une divulgation rapide aux personnes concernées. Ce n'est pas une simple courtoisie, c'est une obligation légale et éthique.
En sécurité, la confiance est primordiale
Toutes les failles de sécurité peuvent nuire à la confiance. Ce sont toutes de mauvaises situations qui ne peuvent qu'empirer lorsqu'elles sont aggravées par le retard. Divulguer des informations incorrectes et incomplètes peut être catastrophique pour une entreprise et une marque comme nous l'avons vu avec LastPass.
Pourquoi quelqu'un devrait-il faire confiance à une entreprise qui affiche un comportement aussi irresponsable, égocentrique et inévitablement autodestructeur alors qu'elle a gravement déçu ses clients ? Une communication honnête, directe et claire, axée sur l'atténuation des dommages causés aux clients, est le seul moyen possible d'améliorer les choses.
En fin de compte, la confiance n'est pas une technologie ou un concept technique. Il s'agit de relations humaines. La confiance dépend de la façon dont vous traitez les gens, en particulier ceux qui vous font confiance. Nous ne tenons pas toujours nos promesses et l'échec est toujours possible. La seule façon d'avancer qui pourrait renouveler la confiance lorsque le pire se produit est d'admettre ce qui s'est passé et de tout exposer honnêtement.
Comment les utilisateurs de LastPass doivent-ils réagir à la faille de sécurité ?
Étant donné la manière dont LastPass a divulgué cette violation, des mesures de sécurité supplémentaires sur LastPass pour protéger votre coffre-fort de mots de passe ne vous aideront pas. Il est temps de commencer par migrer vers un nouveau gestionnaire de mots de passe tel que 1Password, Bitwarden ou NordPass, et ensuite et surtout de commencer à changer les mots de passe sur les sites et applications critiques dont vous avez stocké les informations d'identification dans votre coffre-fort LastPass. L'ajout d'une authentification à deux facteurs à ces sites serait une décision très judicieuse si vous ne l'avez pas déjà fait.
Si votre coffre-fort n'était pas protégé par un mot de passe principal fort, tous vos comptes en ligne finiront par être compromis. Même si vous aviez un mot de passe principal fort, il pourrait toujours être piraté par la force brute.
Il ne s'agit pas de savoir si vos données seront déchiffrées, c'est une question de quand . Étant donné que cette violation s'est produite cinq mois avant la divulgation par LastPass de l'impact sur les coffres-forts des clients, les attaquants malveillants ont déjà une longueur d'avance. En tant que tel, il est essentiel de commencer à sécuriser les informations d'identification de tous les comptes que vous avez stockés sur LastPass.
C'est pourquoi la chose suivante et la plus importante à faire est de commencer à changer tous les mots de passe de tous les comptes que vous avez stockés dans LastPass. Priorisez d'abord les plus importants, comme les comptes financiers, les comptes d'administrateur de site et d'autres dont la perte pourrait vous coûter cher.
Il est temps de quitter LastPass
Enfin, nous vous recommandons de fermer votre compte LastPass et de passer à un autre service comme Bitwarden ou 1Password. Bitwarden dispose d'un outil de migration pour importer vos enregistrements de compte LastPass. 1Password aussi.
Il est temps de quitter LastPass. Si vous avez les fonds à dépenser pour 1Password, c'est une alternative plus robuste à la plupart des autres gestionnaires de mots de passe disponibles. Leur configuration de sécurité repose également sur une clé secrète pour sécuriser les coffres-forts. 1Password a été choisi par de nombreux professionnels de la sécurité et dispose d'excellents systèmes de partage d'accès au coffre-fort pour les équipes nécessitant l'accès à de nombreux comptes.
Une autre alternative est Bitwarden. Outil open source, le code source de Bitwarden est disponible pour examen sur Github où il est fréquemment audité par des chercheurs en sécurité. Le compte payant ne coûte que 10 $ par an, ce qui facilite le soutien du projet pour les personnes à petit budget. Vous pouvez également héberger vous-même votre coffre-fort Bitwarden si vous le souhaitez.
Une opportunité de repenser vos propres pratiques de sécurité
Même si vous n'êtes pas client, la faille LastPass est une bonne occasion de réfléchir à vos propres politiques de sécurité. Une caractéristique majeure des gestionnaires de mots de passe comme LastPass est la possibilité de partager l'accès aux comptes en ligne avec d'autres personnes. Les limites de nombreux services en ligne et les besoins du lieu de travail nous poussent à partager l'accès au compte par commodité. Cependant, le partage de comptes est, en règle générale, une très mauvaise pratique de sécurité. N'autorisez pas plus d'une personne à accéder à des comptes de médias sociaux à utilisateur unique comme Twitter ! Utilisez plutôt une application de gestion de médias sociaux multi-utilisateurs. Ensuite, vous pouvez autoriser n'importe quel nombre de personnes à envoyer des tweets sans risquer de perdre votre compte principal. Et lorsque ces personnes quittent ou changent de rôle, la gestion de leurs privilèges d'accès sera beaucoup plus simple.
Toute personne à qui vous avez donné accès aux mots de passe partagés dans une application comme LastPass peut conserver ces mots de passe - pour toujours. Ils peuvent les écrire. Ils peuvent les enregistrer dans le gestionnaire de mots de passe de leur navigateur pour plus de commodité. Les gens vont et viennent dans chaque équipe et organisation. Une bonne pratique de sécurité exige que vous supprimiez les comptes inutilisés et que vous changiez les mots de passe sans délai. Pratiquez-vous cela ? Comment le faites-vous ? L'avez-vous rendu aussi simple et clair que possible ? Avez-vous délégué cette responsabilité cruciale à une personne en particulier ? Qui vérifie et audite les privilèges d'accès de votre équipe ? Combien de fois le font-ils ?
Pensez à vos propres scénarios les plus pessimistes. Comment géreriez-vous la communication concernant une violation qui exposerait vos données client ? Comment pouvez-vous revenir à une stratégie de prévention proactive pour que cela n'arrive jamais ?
Aucune entreprise n'est trop petite pour ignorer ces responsabilités cruciales. Que pouvez-vous faire aujourd'hui pour réduire le risque d'une violation catastrophique demain ?
Passkeys pour la victoire! L'avenir de la sécurité numérique
Cet événement souligne les problèmes de mots de passe. Les gestionnaires de mots de passe tentent de prendre en charge des mots de passe plus complexes et l'authentification à deux facteurs a tenté de fournir une autre couche de sécurité. Cependant, selon le rapport sur la sécurité des données de Verizon, moins de 30 % des utilisateurs utilisent réellement 2FA. Les mots de passe sont vraiment cassés. Les clés de sécurité sont la solution pour aller de l'avant.
Une clé d'accès est un type de méthode d'authentification qui implique l'utilisation d'un appareil physique, tel qu'un porte-clés ou une carte à puce, pour vérifier l'identité d'un utilisateur. Un ordinateur ou un téléphone avec des méthodes de connexion biométriques de plus en plus courantes peut également être utilisé pour authentifier votre identité sur un site Web. Les clés de sécurité sont considérées comme plus sûres que d'autres méthodes d'authentification, comme les mots de passe, car elles offrent une couche de sécurité supplémentaire.
Si votre ordinateur est un appareil connu et de confiance avec un mot de passe pour votre compte bancaire (ou site WordPress si vous utilisez iThemes Security Pro), vous pouvez contourner les connexions de site traditionnelles. Il suffit que le site Web reconnaisse votre appareil et demande éventuellement une empreinte digitale via Touch ID sur les appareils Apple ou Windows Hello pour Microsoft.
La vraie tranquillité d'esprit est sans mot de passe
L'un des avantages des clés d'accès est qu'elles ne peuvent pas être facilement devinées ou déchiffrées comme un mot de passe. Les mots de passe peuvent être vulnérables aux attaques par dictionnaire, où un pirate teste une liste de mots de passe courants pour tenter d'accéder à un compte. Les clés de sécurité, en revanche, sont généralement uniques et ne peuvent pas être facilement reproduites, ce qui les rend beaucoup plus difficiles à compromettre.
De plus, les clés d'accès peuvent être utilisées conjointement avec d'autres méthodes d'authentification, telles qu'un mot de passe de périphérique ou une authentification biométrique, pour fournir un niveau de sécurité encore plus élevé. C'est ce qu'on appelle l'authentification multifacteur, et cela peut augmenter considérablement la difficulté pour un pirate d'accéder à un compte.
Les clés de passe pourraient bientôt rendre inutiles les gestionnaires de mots de passe comme LastPass. Cela rendra le Web plus sûr, car les failles de sécurité des grandes plates-formes comme LastPass pourraient appartenir au passé. Si vous exploitez un site WordPress ou WooCommerce, vous pouvez vous offrir, ainsi qu'à vos utilisateurs, la haute sécurité et la commodité inégalée des connexions sans mot de passe avec la fonction de clé d'accès d'iThemes Pro.
L'état des gestionnaires de mots de passe en 2023
Un cours de formation en ligne interactif en direct
10 janvier 2023 à 13h00 (Centre)
Dans ce webinaire, nous discuterons de la récente violation de LastPass et de ce que nous pouvons apprendre à ce sujet lors de la protection de nos vies numériques (y compris nos sites WordPress), et nous évaluerons également l'état actuel des mots de passe, des gestionnaires de mots de passe, de l'authentification à deux facteurs et plus pour que nous puissions passer en 2023 en toute sécurité.
Nous parlerons également de la solution pour mettre les mots de passe derrière nous avec des clés d'accès et de l'état de mise en œuvre de WebAuthn à la fois par les géants de la technologie et iThemes Security.
Dan Knauss est le généraliste du contenu technique de StellarWP. Il est écrivain, enseignant et pigiste travaillant en open source depuis la fin des années 1990 et avec WordPress depuis 2004.