LastPass, l'un des gestionnaires de mots de passe les plus utilisés au monde, fait face à un nouvel incident de sécurité. L'entreprise a officialisé avoir été victime d'une attaque par chaîne d'approvisionnement (supply chain) après le piratage de Klue, une plateforme de veille commerciale qu'elle employait. L'incident, révélé à la mi-juin, a permis à des cybercriminels d'accéder à des données clients hébergées dans l'environnement Salesforce de LastPass.
L'origine de l'intrusion
Selon les informations communiquées par LastPass, les pirates ont exploité une faille chez Klue pour dérober des jetons d'authentification (tokens) que ce prestataire détenait pour le compte de plusieurs de ses clients, dont LastPass. Munis de ces clés d'accès temporaires, les assaillants ont pu se connecter à l'environnement Salesforce de l'entreprise et y exfiltrer des données. L'attaque a été détectée le 12 juin 2026, et LastPass a alors immédiatement coupé l'accès de l'ensemble de ses employés à Klue et fait pivoter les jetons compromis.
Quelles données ont été compromises ?
Les données dérobées concernent exclusivement des informations clients à caractère professionnel et commercial. Il s'agit notamment de noms, numéros de téléphone, adresses e-mail et adresses postales, ainsi que des éléments liés aux dossiers de support client et aux interactions commerciales. LastPass insiste sur le fait que les coffres-forts numériques contenant les mots de passe des utilisateurs n'ont pas été touchés. L'infrastructure principale du gestionnaire de mots de passe, ses produits et ses services sont demeurés hors de portée des attaquants. Les mots de passe restent chiffrés et sécurisés.
Risques pour les clients
Bien que les données de connexion soient sauves, les informations personnelles exfiltrées exposent les clients à des campagnes d'ingénierie sociale. Les cybercriminels pourraient utiliser les noms, adresses e-mail et numéros de téléphone volés pour usurper l'identité du support technique de LastPass et tenter d'extorquer davantage d'informations sensibles, voire de persuader les utilisateurs de divulguer leurs mots de passe. Les autorités et les experts en cybersécurité recommandent une vigilance accrue face à tout courriel ou appel non sollicité se réclamant de LastPass.
Mesures prises par LastPass
L'entreprise a entrepris une enquête approfondie en collaboration avec Klue et des experts en sécurité. Elle a également informé directement les clients concernés par courrier électronique et a publié un communiqué détaillé sur son site officiel. LastPass assure avoir renforcé ses contrôles d'accès et ses mécanismes de surveillance pour prévenir de futurs incidents de ce type. L'incident intervient alors que LastPass avait déjà connu plusieurs failles de sécurité par le passé, ce qui avait entamé la confiance de certains utilisateurs.
Contexte et précédents
Cette nouvelle fuite s'inscrit dans une série d'incidents ayant affecté LastPass ces dernières années. En 2022, l'entreprise avait déjà subi une intrusion majeure ayant conduit au vol de coffres de mots de passe chiffrés. Si celle-ci n'a pas la même gravité, elle rappelle les risques inhérents aux chaînes d'approvisionnement logicielles et la dépendance des grandes entreprises envers des prestataires tiers moins sécurisés. LastPass recommande à ses utilisateurs de rester prudents et de ne jamais communiquer leurs mots de passe ou informations sensibles par téléphone ou e-mail, même en cas de demande semblant émaner du service client.
