Le gestionnaire de mots de passe LastPass victime d'un nouvel incident de sécurité
L’application LastPass a reconnu mercredi 30 novembre avoir été victime d’une nouvelle intrusion dans son système, permise par des informations obtenues lors d’un premier incident cet été. L’entreprise assure que les mots de passe qu’elle héberge ne sont pas compromis.
Les mauvaises nouvelles s’enchaînent pour LastPass, le gestionnaire de mots de passe qui revendique plus de 33 millions d’utilisateurs. Mercredi, son PDG Karim Toubba a révélé que ses équipes avaient découvert une “activité inhabituelle au sein d’un service de stockage cloud tiers” utilisé par l’application et sa société mère, GoTo.
“Nous avons immédiatement lancé une enquête […] et alerté les forces de l’ordre”, a-t-il indiqué. Si la cyberattaque a épargné les mots de passe, qui “restent chiffrés de manière sécurisée”, les pirates ont pu obtenir certaines données personnelles des clients. “Nous travaillons avec diligence pour comprendre la portée de l’incident et identifier les informations spécifiques qui ont été consultées”, a précisé Karim Toubba.
Ces informations dérobées, dont le champ reste à définir, pourraient vraisemblablement être revendues ou utilisées par les hackers à des fins de phishing.
Le sort s’acharne
Cette intrusion aurait été permise par des informations obtenues par des acteurs malveillants lors d’une précédente attaque en août dernier. LastPass avait alors déterminé que les pirates s’étaient introduits par le biais d’un point d’accès compromis d’un développeur et avait eu accès à des informations techniques, relatives au code source notamment. Aucune donnée ni mot de passe, en revanche, n’avait été exposé.
Karim Toubba avait alors déclaré que l'environnement de production de LastPass était physiquement séparé de l’environnement de développement, sans qu’aucune connexion ne soit possible. Un audit du code avait également été effectué et aucune trace de code malveillant n’avait été détectée.
Un marché évalué à 1,5 milliard de dollars
Quoi qu’il en soit, cette intrusion porte un nouveau coup à la réputation de LastPass, et à celle de cette gamme de logiciels plus globalement, dont le fonds de commerce repose justement sur la cybermenace toujours croissante et le risque de fuite de données. En 2021, ce marché représentait 1,49 milliard de dollars dans le monde, d'après une analyse du cabinet de conseil SkyQuest Technology. Il pourrait même atteindre 7,09 milliards de dollars en 2028.
SUR LE MÊME SUJET
Le gestionnaire de mots de passe LastPass victime d'un nouvel incident de sécurité
Tous les champs sont obligatoires
0Commentaire
Réagir
