Black Hat 2015: LastPass mis à mal par des chercheurs

3
97

Black Hat Europe 2015 – Deux chercheurs ont réussi à pirater le service en ligne du gestionnaire de mots de passe et à déchiffrer les précieuses données par le biais du processus de récupération de compte.

Décidément, novembre 2015 est un très mauvais mois pour les principaux gestionnaires de mots de passe “sécurisés” ! Après la vulnérabilité touchant le fameux KeePass (stockage local sur une machine), voici que c’est au tour de LastPass (stockage en ligne) d’être mis à mal par des chercheurs en sécurité de talent. Comme on dit, la sécurité à 100% n’existe pas ! Notons d’ailleurs que LastPass avait déjà été la cible de pirates informatiques durant le mois de juin 2015…

LastPass est-il vulnérable ?

LastPass est certainement l’un des gestionnaires de mots de passe les plus populaires du moment, que ce soit auprès des particuliers que des entreprises. Mais une question de sécurité cruciale se pose actuellement… En effet, les hackers Alberto Garcia et Martin Vigo, tous les deux membres de l’équipe de sécurité chez Salesforce, se sont attaqués au service en ligne par rétro-ingénierie et viennent de présenter le résultat de leur recherche à l’occasion de la conférence Black Hat Europe 2015.

Résultats des comptes, une série de vulnérabilités ont été découvertes, dont certaines permettant, dans des cas bien précis, d’accéder à la précieuse base de mots de passe. De nombreux scénarios ont été proposés, mais sachez qu’aucun ne permet une attaque directe. Explications.

Notons que les failles de sécurité décrites ci-dessous ont toutes été corrigées avec rapidité par LastPass et qu’il n’y a donc plsu de risque de ce côté là.

blackhat_europe_2015-logo

Scénario d’attaque N°1

Dans ce premier scénario d’attaque, les chercheurs ont supposés que l’attaquant a déjà le contrôle de la machine de la cible (via un malware implanté sur celle-ci). Dans ce cas, la technique est d’utiliser la fonction de récupération de compte. Lorsqu’un utilisateur oublie son mot de passe, un processus stricte est alors appliqué par le service. Cependant, les chercheurs ont découvert la présence d’un mot de passe OTP (One Time Password) généré puis stocké en local sur la machine. Cette faiblesse suffira à duper le système de LastPass via la génération d’une requête HTTP spécifique créée par les hackers, permettant alors de récupérer la base de mots de passe chiffrée.

Ensuite, la seconde étape s’enclenche, celle visant cette fois à récupérer la fameuse base en clair. En réponse à leur requête, les hackers reçoivent aussi une version chiffrée de la clé de déchiffrement de cette même base. Ils ont par la suite réussi à comprendre que l’élément permettant de déchiffrer la clé est un dérivé de l’OTP (haché en SHA-256). Et voila, la base de mots de passe est déchiffrée et en clair ! Notons que toute protection supplémentaire serait inutile dans ce scénario d’attaque, que ce soit l’authentification à deux facteurs ou une restriction d’adresse IP… On s’aperçoit donc bien vite que l’OTP est en fait un master password déguisé.

Scénario d’attaque N°2

Le second scénario imaginé par les hackers se base sur une attaque JavaScript et n’est valable que dans le cas où un attaquant aurait réussi à accéder aux serveurs de LastPass. Même dans ce cas critique, LastPass devrait garantir que l’attaquant n’ait aucun moyen de déchiffrer les mots de passe stockés des utilisateurs. Mais ce n’était pas le cas !

Les chercheurs ont injecté un code Javascript malveillant dans les serveurs de LastPass, permettant de récupérer les identifiants des utilisateurs directement sur leur machine lors d’une connexion au service. Joli point faible donc.

Problèmes résolus et rapidement corrigés

Les chercheurs concluent que ces audits et attaques en environnement réel ont été réalisé dans les règles et que LastPass a très bien réagit et corrigé très rapidement les faiblesses pointées du doigt :

« LastPass s’est montré très réactif face à ces failles et les a réparé pour la plupart en l’espace de 72 heures »

Et cerise sur la gâteau, les deux hackers déclarent même qu’ils vont continuer à utiliser le service car ils le jugent maintenant assez fiable. Quelle aventure !

 

Source : 01Net

Les commentaires sont fermés.