On pouvait s’en douter au vu des éléments passés, c’est maintenant confirmé par un nouveau billet de LastPass sur sa fuite de données : l’ordinateur personnel d’un développeur avait été piraté.
Plus précisément, c’est lors d’une deuxième phase d’attaque, en octobre dernier, que les pirates sont partis en reconnaissance de l’infrastructure de LastPass. Ils ont ensuite ciblé l’ordinateur personnel d’un ingénieur DevOps senior et profité d’une faille non colmatée dans un logiciel tiers.
La faille était suffisamment béante pour permettre l’exécution d’un code arbitraire à distance, soit le pire des scénarios. Les pirates en ont profité pour installer un keylogger, permettant d’enregistrer la frappe au clavier, et donc de récupérer les précieux identifiants pour la suite.
Avec ces derniers, les malandrins ont pu accéder à un stockage cloud partagé réservé à seulement quatre employés, une véritable aubaine. Selon LastPass, cet accès a été d’autant plus difficile à détecter qu’il utilisait des identifiants légitimes. Jusqu’à ce que les pirates tentent une action non autorisée, déclenchant des alertes d’AWS, utilisé pour le cloud de l’entreprise. Mais il était trop tard, comme on le sait déjà.
On remarquera que ce type d’exploitation était au cœur d’un document fourni par Microsoft en décembre sur les limites de la double authentification. L’éditeur militait pour l’installation de mesures supplémentaires, notamment de contrôle d’accès. Elles permettent par exemple de contrôler d’autres conditions d’accès, comme la machine utilisée ou l’emplacement de cette dernière au moment de l’authentification.