Le mois dernier, Lastpass avertissait d’une brèche de sécurité. Avec la publication d’une mise à jour vendredi soir, on en sait désormais plus.
Selon le PDG Karim Toubba, le pirate qui s’est introduit a pu accéder aux systèmes internes pendant quatre jours. C’est ce qui ressort de l’enquête interne menée en partenariat avec Mandiant.
Il se veut cependant rassurant : « Bien que l’acteur malveillant ait pu accéder à l’environnement de développement, la conception de notre système et nos contrôles l’ont empêché d’accéder aux données des clients ou aux mots de passe chiffrés ». Il n’y a pas non plus de preuves d’une quelconque injection de code malveillant.
Comment le pirate s’y est-il pris ? Il s’agit, comme on s’en doute, d’une erreur humaine. L’un des développeurs a pu être berné. L’explication manque de détails, mais on sait que le pirate a pu passer l’authentification à facteurs multiples. Un cas faisant écho à ce que nous indiquions récemment sur ce type de défense, certes important, mais pas absolu.
Le pirate a pu voler une partie du code source, ainsi que certaines informations techniques propriétaires. Il n’a cependant rien pu en faire, car seule l’équipe de production est habilitée à publier du code binaire pour la clientèle, après contrôle.
L’entreprise indique avoir déployé des contrôles supplémentaires, notamment sur la sécurité endpoint et une surveillance renforcée. Il est probable qu’il s’agisse notamment d’un accès conditionnel plus strict.