LastPass est un gestionnaire de mot de passe très utilisé chez les internautes car il permet de mémoriser à leurs places les identifiants des différents site web.
Le mot de passe principal de LastPass serait vulnérable
Afin de ne pas divulguer tous les identifiants sauvegardés dans la machine à un autre utilisateur de cette même machine mais aussi pour se connecter à LastPass sur une autre machine ou sur une application mobile, l’application a mis en place un mot de passe principal, il n’y a plus que ce dernier à retenir pour avoir accès à tous les autres. Si théoriquement, ce mot de passe principal est crypté sur la machine il semblerait qu’il soit possible de le décrypter et donc d’avoir accès à votre compte LastPass tout entier, y compris avec une solution de sécurité à jour. Bien entendu, cela n’est possible que dans certaines circonstances.
Alex Balan, un chercheur en sécurité informatique a démontré comment il pouvait avoir accès au mot de passe principal de LastPass lors de la conférence sur la sécurité DefCamp 2014 à Bucarest, en Roumanie. Il a utilisé un mélange de Ettercap, Burp, Backdoor Factory (BDF) et Metasploit pour préparer un fichier malveillant qu’il fera en sorte de « déposer » sur la machine cible pour ensuite en extraire l’information sensible. En surveillant la connexion de la victime il remarque des requêtes venant de Samsung kies, une application qui permet de vérifier les mises à jour de firmware pour les appareils mobiles de la marque coréenne ou synchroniser un smartphone avec le PC. Le problème c’est que les requêtes sont en texte brut, autrement dit en clair.
Une attaque ciblée pour installer un faux fichier…
AlexBalan a donc pu mettre en place une attaque appelée « man in themiddle »,une attaque qui ne nécessite donc pas la validation par la victime. Avec Burp, il s’est fait passer pour le serveur Samsung, et kies a proposé à la victime de télécharger la mise à jour. Sans le savoir, cette victime a donc téléchargé le fichier malveillant d’AlexBalan. Après avoir utilisé Metasploit et manipulé un véritable firmwareSamsung il a réussi à passer inaperçu aux yeux de la solution de sécurité installé sur le Pc de la victime. Le firmware modifié a donc été téléchargé sur le PC sans même que l’utilisateur ne sache qu’il s’agissait d’un « piratage », l’antivirus n’a même pas réagit et n’a détecté aucune attaque malveillante.
… s’en suit la récupération des données
Une fois cette mise à jour installée, Alex Balan peut maintenant utiliser son script pour rapatrier les données sensibles qu’il cherche à atteindre, à savoir le mot de passe principal de LastPass. A ce stade, il faut cependant savoir, que tout ceci ne fonctionne que si l’option « enregistrer mon mot de passe » est activé. Une fois, le fichier crypté dans lequel sont enregistrés les mots de passe ainsi que le mot de passe principal, Alex Balan a pu travailler sur le fichier pour le décrypter. Il a notamment découvert que le cryptage de ce fichier est assez faible selon lui. Il a bien entendu alerté LastPass, afin qu’une solution soit trouvée. En attendant les utilisateurs sont avertis que le stockage de mot de passe en local, c’est-à-dire sur leur Pc, n’est pas la solution la plus sûre.
Alex Balan, a dans le même temps fait remarquer que nombreux logiciels utilisaient des connexions non sécurisées, permettant dans 90% des cas, d’injecter un fichier malveillant sans que ni l’utilisateur ni la solution de sécurité à jour, ne se rendent compte de l’injection d’un code malveillant.
LastPass reste tout de même un bon moyen d’enregistrer vos mots de passe, le procédé utilisé pour voler vos identifiants reste assez difficile à mettre en oeuvre.