IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un gestionnaire de mots de passe a permis à des pirates de voler potentiellement les données de 29 000 entreprises
Suite à un piratage du mécanisme de mise à jour de Passwordstate

Le , par Stéphane le calme

103PARTAGES

15  0 
Potentiellement 29 000 utilisateurs entreprises du gestionnaire de mots de passe Passwordstate ont téléchargé une mise à jour malveillante qui a extrait les données de l'application et les a envoyées à un serveur contrôlé par un attaquant, a déclaré le créateur de l'application aux clients.

Dans un e-mail, le créateur de Passwordstate, Click Studios, a déclaré aux clients que des acteurs malveillants avaient compromis son mécanisme de mise à niveau et l'avaient utilisé pour installer un fichier malveillant sur les ordinateurs des utilisateurs. Le fichier, nommé «moserware.secretsplitter.dll», contenait une copie légitime d'une application appelée SecretSplitter, ainsi qu'un code malveillant nommé «Loader», selon un bref résumé de la société de sécurité CSIS Group :

« La société ClickStudios a récemment notifié à ses clients une brèche ayant entraîné une attaque de la chaîne d'approvisionnement menée via une mise à jour du gestionnaire de mots de passe PASSWORDSTATE.

« ClickStudios a mentionné une brèche entre le 20 avril 2021 20h33 UTC et le 22 avril 2021 00h30 UTC. Le mécanisme de mise à jour a été utilisé pour déposer une mise à jour malveillante via un fichier zip «Passwordstate_upgrade.zip» contenant une DLL non autorisée «moserware.secretsplitter.dll». La société mentionne que le C&C de la DLL non autorisée utilisait un CDN (Content Delivery Network) qui a été résilié le 22 avril 2021 à 7h00 UTC.

« Les chercheurs du SCRS Security Group ont découvert l'une des DLL non autorisées au cours d'une enquête. Nous essaierons de partager les IoC que nous avons découverts afin que les entreprises puissent déterminer si elles ont été touchées par cette attaque. Nous avons baptisé cet incident / malware "Moserpass".

« La dll non autorisée que nous avons découverte était la dll nommée "Moserware.SecretSplitter.dll" qui a été injectée / modifiée avec un extrait de code malveillant. Un petit code «Loader» a été ajouté à la DLL d'origine:



« Le code malveillant tente de contacter l'URL suivante:
https://passwordstate-18ed2.kxcdn[.]com/upgrade_service_upgrade.zip
- afin de récupérer un code chiffré en utilisant la méthode "Container.Get ()", AES (Advanced Encryption Standard) le déchiffre en utilisant le mot de passe: f4f15dddc3ba10dd443493a2a8a526b0, puis le transmet à la classe Loader(). Une fois déchiffré, le code est exécuté directement en mémoire.


« Au moment de la rédaction de cet article, le C&C est en panne et nous n’avons malheureusement pas réussi à récupérer la charge utile de la deuxième étape.

« ClickStudios a mentionné plus de 29 000 clients prestigieux dans le monde. Nous supposons que cette attaque pourrait avoir potentiellement touché un grand nombre de ces clients.

Comme recommandé par ClickStudios, si vous utilisez Passwordstate, veuillez réinitialiser tous les mots de passe stockés, et en particulier les VPN, le pare-feu, les commutateurs, les comptes locaux ou tout mot de passe de serveur, etc.

« Nous avons localisé deux échantillons différents, mais nous nous attendons à ce que davantage de variantes avec des C&C différents soient utilisées ».

En clair, le code du chargeur tente de récupérer l'archive de fichiers à l'adresse https://passwordstate-18ed2.kxcdn[.]Com/upgrade_service_upgrade.zip afin de pouvoir récupérer une charge utile chiffrée en guise de deuxième étape. Une fois déchiffré, le code est exécuté directement en mémoire. L'e-mail de Click Studios indiquait que le code « extrait des informations sur le système informatique et sélectionne les données Passwordstate, qui sont ensuite publiées sur le réseau CDN des mauvais acteurs ».

La compromission du mécanisme de mise à jour de Passwordstate a duré du 20 avril à 8h33 UTC au 22 avril à 12h30. Le serveur de l'attaquant a été arrêté le 22 avril à 7h00 UTC.

Le côté obscur des gestionnaires de mots de passe

Les professionnels de la sécurité recommandent régulièrement des gestionnaires de mots de passe, car ils permettent aux utilisateurs de stocker facilement des mots de passe longs et complexes, propres à des centaines, voire des milliers de comptes. Sans l'utilisation d'un gestionnaire de mots de passe, de nombreuses personnes ont recours à des mots de passe faibles qui sont réutilisés pour plusieurs comptes.

Mais la compromission de Passwordstate souligne le risque posé par les gestionnaires de mots de passe, car ils représentent un point de défaillance unique pouvant conduire à la compromission d'un grand nombre d'actifs en ligne. Les risques sont nettement moindres lorsque l’authentification à deux facteurs est disponible et activée, car les mots de passe extraits à eux seuls ne sont pas suffisants pour obtenir un accès non autorisé. Click Studios indique que Passwordstate fournit plusieurs options 2FA.

La violation est particulièrement préoccupante, car Passwordstate est principalement vendu aux entreprises qui utilisent le gestionnaire pour stocker les mots de passe des pare-feu, des VPN et d'autres applications d'entreprise. Click Studios affirme que Passwordstate « jouit de la confiance de plus de 29 000 clients et 370 000 professionnels de la sécurité et de l'informatique à travers le monde, avec une base d'installation allant des plus grandes entreprises, y compris de nombreuses sociétés Fortune 500, aux plus petits ateliers informatiques. »

Une autre attaque de la chaîne d'approvisionnement

Le piratage de Passwordstate est la dernière attaque de grande envergure de la chaîne d'approvisionnement mise au jour ces derniers mois. En décembre, une mise à jour malveillante du logiciel de gestion de réseau SolarWinds a installé une porte dérobée sur les réseaux de 18 000 clients. Plus tôt ce mois-ci, un outil de développement mis à jour appelé Codecov Bash Uploader a extrait des jetons d'authentification secrets et d'autres données sensibles des machines infectées et les a envoyés vers un site distant contrôlé par les pirates.

Les charges utiles de la première étape téléchargées sur VirusTotal ici et ici ont montré qu'au moment de la mise en ligne de cet article, aucun des 68 programmes de protection des points de terminaison suivis n'avait détecté le malware Moserware.SecretSplitter.dll. Jusqu'à présent, les chercheurs n'ont pas été en mesure d'obtenir des échantillons de la charge utile de suivi.

Quiconque utilise Passwordstate doit immédiatement réinitialiser tous les mots de passe stockés, en particulier ceux des pare-feu, VPN, commutateurs, comptes locaux et serveurs.

Source : CSIS

Et vous ?

Comment conservez-vous vos mots de passe (dans votre tête, par écrit sur une feuille de papier, grâce à un gestionnaire de mots de passe, autre) ?
Si vous utilisez un gestionnaire de passe, lequel a votre préférence ?
Avez-vous activé l'authentification à plusieurs facteurs ? Si non, envisagez-vous de le faire ?
Quelle lecture faites-vous de la situation de Passwordstate ?

Voir aussi :

La version gratuite de LastPass deviendra beaucoup moins utile dès le mois de mars 2021. Version mobile ou version desktop ? Désormais vous devrez faire un choix
Firefox 85 débarque avec le blocage des supercookies, la suppression du support de Flash sans possibilité de réactivation et apporte des améliorations au gestionnaire de mots de passe
Sondage : quels sont les meilleurs gestionnaires de mots de passe pour une entreprise ? 1Password, Keeper, LastPass, etc.
KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe
Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Steinvikel
Membre émérite https://www.developpez.com
Le 27/04/2021 à 5:02
Les professionnels de la sécurité recommandent régulièrement des gestionnaires de mots de passe (...)
Que des professionnels incitent à utiliser des gestionnaires de mots de passe, ok ...mais que des professionnels de la sécurité le fassent sur des solutions propriétaires, ça me dépasse. =/
Quelles fonctionnalités sont si attrayantes, et inexistentes sur les équivalents libre que sont Keepass, KeepassXC, Bitwarden, Passbolt (version communautaire), ou encore Master Password (pour ne laisser aucune trace sur le terminal "gestionnaire") ...pour lui préférer Passwordstate afin de gérer les données les plus sensibles de ces grands groupes ?
NB : j'ai pas testé Hypervault, mais les critiques sont plutôt bonnes question fonctionnalités d'équipe ...mais il ne semble pas présenter de version "communautaire"

Comment conservez-vous vos mots de passe (dans votre tête, par écrit sur une feuille de papier, grâce à un gestionnaire de mots de passe, autre) ?
la plupart sont sur gestionnaire de mdp, d'autres plus sensibles, sont sur papier, que porte sur moi, et d'autres sont en clair au côté de mes prototypage, et ne sont pas source à une quelconque information sur la manière dont je crée mes mot de passe (de plus il sont pour la plupart bidon >> 123456789, 123proto*, etc.

Si vous utilisez un gestionnaire de passe, lequel a votre préférence ?
Bitwarden pour sa granularité d'administration, Keepass pour d'autres raisons, mais il faut alors préciser quel Keepass, et quelle branche
Si je cherche la fiabilité par la confiance, je cherche alors un logiciel libre qui présente une certaine maturité, et une large adoption >> Keepass est un bon exemple
Libre + démocratisé + mature, est le combo nécessaire pour favoriser l'utilité d'une communauté active, réactive, et qualitative. La licence libre à elle seule ne garantie que ses droits d'usage, rien sur la sécurité.

Avez-vous activé l'authentification à plusieurs facteurs ? Si non, envisagez-vous de le faire ?
non, mon gestionnaire est sur un terminal en local uniquement, je dublique la base périodiquement ...la 2FA améliore la sécurité d'un côté, et la réduit d'un autre, elle n'est en rien une solution infaillible. On se souviendra de la faille de Google utilisant des jeton obsolète... Je préfère faire reposer ma clé de voute sur quelque chose que je maîtrise au mieux, plutôt que sur une statistique que d'autres gèrent pour moi.

Quelle lecture faites-vous de la situation de Passwordstate ?
Qu'en finalité, pour des produits importants, une petite équipe privée sera presque toujours moins fiable qu'une communauté ...dès lors que le projet a acquis une certaine maturité, et que sa démocratisation en permet une bonne réactivité.
La question du stockage des mots de passe sera, je pense, une problématique insoluble.
Master Password et LessPass changent légèrement la problématique. Mais survient alors la problématique du stockage des paramètres du gestionnaire (auxquels sont liés tous les mots de passe)
3  0 
Avatar de tanaka59
Membre expert https://www.developpez.com
Le 26/04/2021 à 19:20
Bonsoir,

Comment conservez-vous vos mots de passe (dans votre tête, par écrit sur une feuille de papier, grâce à un gestionnaire de mots de passe, autre) ?
Wé dans ma tête . Donc la faut réussir à me pirater physiquement

Si vous utilisez un gestionnaire de passe, lequel a votre préférence ?
Je n'en utilise pas et ne compte pas le faire ... Après LastPass maintenant Passwordstate , cela renforce mon idée que ce type de service c'est confier son armoire à clef à n'importe qui ... Donc de ne pas les utiliser.

Avez-vous activé l'authentification à plusieurs facteurs ?
Oui je l'utilise sur plusieurs services.

Quelle lecture faites-vous de la situation de Passwordstate ?
Que les gestionnaires de mots de passes sont trop faillibles.
2  0 
Avatar de ManPaq
Membre actif https://www.developpez.com
Le 04/05/2021 à 15:37
Est-ce donc le principe de l'inversion de contrôle et celui de l'injection de dépendance qui est le responsable? L'application et l'utilisateur est démuni pour empêcher le framework de subtiliser les données à son propre usage jusqu'à autoriser les données sortantes de celle-ci via le pare-feu et communiquer les mots de passe. Cette désolidarisation du contenu et du contenant dissimule les mécanismes mais aussi les failles, un peu comme l'assistance électronique des véhicules a écarté le garagiste de son ouvrage, le métier devenant dévolu à l'informaticien qui n'a cure de mettre les mains dans le cambouis.
Alors au choix:
un gestionnaire de mot de passe "simple" algorithme de chiffrement et base de donnée (keepass...)
un gmp sans dépendance et centralisé dans un serveur distant, alternative du local de 'Steinvikel' : pour ma part le gestionnaire du navigateur me semble net, google par exemple demande une double authentification pour accéder au compte et une autorisation de windows pour accéder aux mdp et le presse papier est soulagé lors du remplissage automatique.
0  0 
Avatar de Steinvikel
Membre émérite https://www.developpez.com
Le 06/05/2021 à 1:36
Après, si on veux pousser le raisonnement jusqu'au bout, au-delà de la question du local (stand alone), du local répliqué sur le cloud, et de l'add-on de navigateur ...il faut aussi une bonne solution de sécurité, qui va prémunir contre l'espionnage de
- la frappe
- l'interface graphique
- de la position de la souris
- du presse-papier
...
sans quoi une bonne partie de la sécurité des accès est compromise.

Je constate pour ma part que beaucoup de gens s'appuyant sur un gestionnaire libre, le quitte pour des facilités de synchronisation cloud que présentent presque toutes les solutions propriétaires, plus populaires /connues que leurs homologues libres.
Si cet aspect était égalé (la sync'), je ne constaterais pas cette reconversion, où se compromis de départ.

Pour ma part, j'ai choisi d'adapté l'usage de mes périphériques autour d'un stockage isolé des mots de passe... à l'inverse d'adapter la sécurité du stockage des mdp pour conserver l'usage que j'avais de mes périphérique.
Comme la plupart des renforcements de sécurité, cela alourdi l'usage, mais cela reste négligeable pour ma part.
0  0