Le piratage GoTo permet aux attaquants d’obtenir des sauvegardes client cryptées et une clé de cryptage

Le piratage GoTo permet aux attaquants d'obtenir des sauvegardes client cryptées et une clé de cryptage

Un piratage GoTo lié à la faille de sécurité LastPass était bien pire que ce qui avait été initialement divulgué. La société, anciennement connue sous le nom de LogMeIn, a révélé que les attaquants obtenaient non seulement des sauvegardes cryptées des données des clients, mais également une clé de cryptage pour au moins certaines de ces données.

C’est une histoire similaire au piratage LastPass, qui a suivi un chemin similaire, de l’annonce initiale discrète aux révélations selon lesquelles c’était bien pire que ce que l’on craignait initialement…

Pirater LastPass

La société affiliée de GoTo LastPass a annoncé en août avoir subi une attaque sur ses propres systèmes, mais a déclaré à l’époque qu’il n’y avait aucun signe que les données des utilisateurs aient été compromises.

Cela a changé en décembre, lorsque la société a révélé que les attaquants avaient effectivement accès aux données des clients. Il a déclaré à l’époque que les mots de passe étaient sûrs, car seul le client détenait la clé de déchiffrement. LastPass est ensuite allé plus loin et a admis que beaucoup plus de données avaient été obtenues.

Des copies des coffres-forts de mots de passe des clients ont été obtenues ainsi que des noms, des e-mails, des adresses de facturation, des numéros de téléphone, etc.

La société a continué d’insister sur le fait que les connexions des clients étaient sécurisées, mais un chercheur en sécurité l’a accusée de dire « des demi-vérités et des mensonges éhontés ». Le concurrent de la gestion des mots de passe, 1Password, a alors contesté que les mots de passe des clients n’étaient pas en danger, en raison de pratiques de sécurité faibles.

GoTo pirater

En novembre, GoTo a déclaré que les attaquants avaient eu accès à l’environnement de développement de l’entreprise et à une société de stockage en nuage tierce utilisée à la fois par elle et par LastPass.

L’annonce était relativement discrète, dans laquelle il semblait que seules les données de l’entreprise avaient été consultées, et non les données des clients.

Cependant, la société a récemment commencé à envoyer des e-mails à ses clients, les informant que des sauvegardes de leurs données avaient été consultées.

Les informations contenues dans les sauvegardes concernées incluent les noms d’utilisateur de vos comptes Central et Pro et les mots de passe salés et hachés. Il inclut également vos informations de déploiement et d’approvisionnement, les scripts One-ToMany (Central uniquement), certaines informations d’authentification multifacteur, les données de licence et d’achat telles que les e-mails des utilisateurs, les numéros de téléphone, les adresses de facturation et les quatre derniers chiffres des numéros de carte de crédit ( nous ne stockons pas les coordonnées complètes de la carte de crédit ou de la banque).

GoTo a également admis qu’une clé de cryptage pour au moins certaines des données avait été obtenue.

De plus, nous avons des preuves qu’un acteur malveillant a également exfiltré une clé de chiffrement pour une partie des données chiffrées. Cependant, dans le cadre de nos protocoles de sécurité, nous salons et hachons les mots de passe des comptes Central et Pro. Cela fournit une couche de sécurité supplémentaire dans les sauvegardes cryptées.

Ordinateur qui bipecependant, dit que ce n’est peut-être pas toute l’histoire.

Bien que l’entreprise n’ait pas partagé le type de cryptage utilisé pour les sauvegardes, si elle utilisait un cryptage asymétrique, tel qu’AES, il pourrait être possible de décrypter les sauvegardes à l’aide de la clé de cryptage volée.

GoTo force la réinitialisation des mots de passe des comptes concernés, mais il ne semble pas que cela empêcherait l’accès aux données déjà obtenues par les pirates.

Photo : Markus Spiske/Unsplash


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :