LastPass a adressé un nouvel avertissement à ses utilisateurs concernant le vol de données personnelles, cette fois par l'intermédiaire d'un de ses partenaires extérieurs. L'incident, survenu récemment, a été détaillé dans une notification envoyée aux clients concernés. La société précise que les coffres-forts de mots de passe, c'est-à-dire les bases de données chiffrées contenant les identifiants, n'ont pas été affectés.

L'intrusion a visé un prestataire tiers avec lequel LastPass collabore. Selon les informations communiquées par l'entreprise, les pirates ont accédé à des fichiers liés aux dossiers de support client. Ces fichiers contiennent des données à caractère personnel, mais LastPass assure qu'aucun mot de passe maître ni aucune information sensible stockée dans les coffres n'a été dérobé.

Cette nouvelle brèche intervient dans un contexte où le gestionnaire de mots de passe a déjà connu plusieurs incidents de sécurité par le passé. La société n'a pas précisé le nombre exact d'utilisateurs touchés ni la nature précise des données concernées, mais elle encourage les clients à rester vigilants face à d'éventuelles tentatives d'hameçonnage.

Contexte des vulnérabilités liées à OAuth

Par ailleurs, cette affaire s'inscrit dans un cadre plus large de failles de sécurité touchant le protocole OAuth. Des recherches récentes ont mis en lumière des vulnérabilités dans ce système d'authentification, utilisé par de nombreuses plateformes pour permettre à des applications tierces d'accéder à des données sans partager de mots de passe. La compromission d'OAuth chez la société Klue a notamment exposé des failles exploitables, affectant indirectement des services comme LastPass qui reposent sur des intégrations tierces.

Les experts en cybersécurité soulignent que ces incidents montrent les risques liés à la délégation de confiance à des prestataires externes. Bien que LastPass insiste sur le fait que les coffres restent protégés par un chiffrement de bout en bout, la multiplication des fuites via des partenaires pose la question de la sécurisation de l'ensemble de la chaîne d'approvisionnement numérique.

Recommandations pour les utilisateurs

En réponse à cet incident, LastPass recommande à ses clients de modifier leur mot de passe maître par mesure de précaution, même si l'entreprise affirme qu'aucune information critique n'a été compromise. Elle conseille également de surveiller les activités suspectes sur les comptes en ligne et d'activer l'authentification à deux facteurs là où elle est disponible.

La société n'a pas communiqué de calendrier précis pour le déploiement de mesures correctives supplémentaires, mais indique travailler en étroite collaboration avec le partenaire concerné pour renforcer la sécurité.