{WebExtension} – Lastpass & L’efficacité des fausses WebExtensions
Bonjour à tous,
Tout d'abord, j'espère que vos fêtes de fin d'années se passent bien, et par avance je vous souhaite une très belle fin d'année 2021 !
Les sujets sont légion sur l'IT en ce moment, Log4J, Ransomware, LastPass, ..., sans compter tous mes articles "brouillons" qu'il faudra un jour que je finalise.
Mais si aujourd'hui je prends la plume c'est pour parler de phishing et de LastPass.
Beaucoup d'encre coule en ce moment sur "LastPass, piratage ou pas" ... mais à l'heure actuelle, la seule chose qu'on sait, c'est qu'un petit groupe d'utilisateurs de LastPass, sans lien commun, s'est fait pirater son mot de passe principal.
Je vous propose donc de faire le point sur un autre angle d'attaque, en engageant plutôt la responsabilité et les négligences humaine ayant pu amener à ses vols de mots de passe.
Sécurité
Ce mot de passe "principal" n'est pas stocké sur les serveurs de LastPass, et celui-ci une fois saisi par l'utilisateur permet de déchiffrer ses propres donnés.
Si un hacker obtenait l'accès aux données des utilisateurs, ils devrait bruteforcer (tenter plusieurs mots de passe) les données de chaque utilisateur ... autant dire que ça lui prendrait une éternité en sachant que LastPass a été téléchargé au moins 10M de fois.
Voilà ce que dit la firme à ce sujet :
LastPass est basé sur un modèle de sécurité zéro connaissance qui assure la protection des données des clients. Lorsqu'un utilisateur crée son mot de passe maître, ce dernier sert à générer une clé de chiffrement unique. ... Sans la clé de chiffrement, les données chiffrées dans votre coffre-fort sont inexploitables
La seule possibilité pour un pirate d'accéder aux données, serait de compromettre l'un des serveurs, et de diffuser / d'actualiser les WebExtensions et / ou les applications LastPass, ou bien d'intercepter depuis le serveur le mot de passe principal de ceux qui s'y connecteraient.
Piratage & phishing
Les VPN
En partant du postulat que les gens utilisent un VPN fiable, car ce n'est ni plus ni moins qu'un gros tuyau par lequel transitent vos données ... donc s'il n'est pas fiable ...
La plupart des gens aujourd'hui utilisent abusivement des VPN, il n'y a qu'à voir les campagnes de publicités NorthVPN sur Youtube.
Beaucoup d'entre eux ne maîtrisent pas forcément le sujet et ses enjeux !
Aussi, il est normal que si votre VPN est activé, parce que vous souhaitez accéder à je ne sais quel contenu Netflix disponible uniquement en Ex-Yougoslavie, toute votre connexion transite par un autre endroit du globe.
Cela implique également vos WebExtensions et les sites que vous consultez, qui vous verront arriver depuis une autre zone géographique.
Des utilisateurs de LastPass se plaignaient de voir des connexions depuis un lieu où il n'était pas, je ne dis pas que l'utilisation de VPN est la cause, mais c'est une possibilité.
Le phishing
Dans 60% du temps, l'humain est la faille. Malgré toutes les mesures de sécurités mises en place, exploiter la faille humaine est la manière la plus simple d'accéder aux données.
Là aussi, si ça ne marcherait pas, vous ne seriez pas inondé au quotidien de mails provenant de 50 banques dont vous n'êtes absolument pas client.
Le phishing ce n'est pas seulement des liens vers des sites Internet, le phishing c'est simplement le fait de déguiser quelque chose ... en autre chose.
Cela touche donc :
- Site Internet
- Application Mobile
- WebExtension
- ...
Et le phishing devient de plus en plus sophistiqué.
Site Internet
Aujourd'hui les sites de phishing les plus sophistiqués, vont réellement vérifier en temps réel que vos identifiants sont les bons.
Ils simulent une connexion avec ce que vous leurs avez fourni comme identifiants sur la véritable plateforme usurpée, et vous affiche en conséquence de véritable message d'erreur.
Il existe même une technique de TabJacking, qui va consister à attendre que l'utilisateur change d'onglet pour complètement changer la page (titre, favicon, contenu), et se transformer en une fausse page de connexion d'un site (Gmail, Facebook, ...). L'utilisateur ayant déjà l'onglet d'ouvert sera plus en confiance et se méfiera beaucoup moins.
Application Mobile
J'avais il y a quelques années déjà fait une jolie vidéo sur le phishing d'application Mobile.
En l’occurrence, dans cette vidéo, une application malveillante, tournait en arrière plan en attendant de détecter que l'utilisateur ouvre une application "importante" (LastPass dans ma vidéo).
Au moment où l'application s'ouvre, l'application malveillante se lance au premier plan et affiche un écran "similaire" à celui de LastPass :
WebExtension
Je vous propose aujourd'hui le même principe avec des WebExtensions. Toujours en utilisant LastPass comme application légitime, j'ai créé une petite WebExtension qui va attendre passivement que l'utilisateur sorte un instant du navigateur pour se déguiser, et se faire passer pour LastPass :
Conclusion
Avant de tirer la sonnette d'alarme concernant LastPass, il faut vraiment prendre en considération que des milliers de gens chaque minutes se font voler leurs identifiants via des techniques de plus en plus perfectionnées. Pour ma part, je ne considère par LastPass comme une solution "invulnérable", mais j'estime qu'elle dispose d'un bon niveau de sécurité pour les utilisateurs ayant configurés correctement leurs comptes.