Cet été, LastPass révélait une première brèche dans ses infrastructures. Il y a quelques jours, le gestionnaire de mots de passe a confirmé que les données des clients ont bien été dérobées. Dans un billet de blog publié le 22 décembre 2022, LastPass précise que les mots de passe volés demeurent chiffrés.

LastPass est victime d'une faille de sécurité

Karim Toubba , le PDG de LastPass (l'équivalent de Dashlane), explique que « certains codes sources et informations techniques ont été volés dans notre environnement de développement et utilisés pour cibler un employé de l'entreprise. Des informations d'identification volées ont été utilisées pour accéder et déchiffrer certains volumes de stockage dans nos infrastructures cloud ». LastPass est l'un de ces services qui permettent de mettre à l’abri ses mots de passe sur Internet pour les retrouver rapidement, depuis un smartphone ou un ordinateur.

Après une première faille signalée en août 2022, le gestionnaire de mots de passe précise qu'un hacker a réussi à aspirer une partie des sauvegardes « qui abritaient des informations fournies par les clients ». Parmi les données personnelles récupérées figurent le nom, prénom, adresse, téléphone, e-mail, adresse IP, le numéro d’identification de l’appareil utilisé pour se connecter à Internet, et parfois, le nom de leur entreprise. Pour le moment, l'entreprise ne précise pas combien d'utilisateurs sont touchés.

C'est un coup dur pour l'entreprise qui est censée être en mesure de protéger les données de ses clients, notamment en raison de leur caractère ultra-confidentiel. De telles données sont précieuses pour les cybercriminels. En effet, elles permettent de faciliter des actions de phishing. Dans son billet de blog, LastPass précise justement à ses clients qu'ils doivent se méfier et les avertit sur le fait qu’elle ne « les contactera jamais pour leur demander le mot de passe ».

Le gestionnaire de mots de passe assure que si les mots de passe des clients ont vraisemblablement été volés également, ils « demeurent protégées par un chiffrage solide » : l’AES 256 bits (pour Advanced Encryption Standard. Les hackers ne peuvent pas déverrouiller ces données car seuls les clients connaissent leur mot de passe maître. Une mesure de sécurité appelée « architecture zero knowledge ». Dans le doute, LastPass recommande tout de même aux clients de modifier leurs mots de passe.