Le gestionnaire de mots de passe LastPass victime d'un nouvel incident de sécurité

L’application LastPass a reconnu mercredi 30 novembre avoir été victime d’une nouvelle intrusion dans son système, permise par des informations obtenues lors d’un premier incident cet été. L’entreprise assure que les mots de passe qu’elle héberge ne sont pas compromis.

Partager
Le gestionnaire de mots de passe LastPass victime d'un nouvel incident de sécurité

Les mauvaises nouvelles s’enchaînent pour LastPass, le gestionnaire de mots de passe qui revendique plus de 33 millions d’utilisateurs. Mercredi, son PDG Karim Toubba a révélé que ses équipes avaient découvert une “activité inhabituelle au sein d’un service de stockage cloud tiers” utilisé par l’application et sa société mère, GoTo.

Nous avons immédiatement lancé une enquête […] et alerté les forces de l’ordre”, a-t-il indiqué. Si la cyberattaque a épargné les mots de passe, qui “restent chiffrés de manière sécurisée”, les pirates ont pu obtenir certaines données personnelles des clients. “Nous travaillons avec diligence pour comprendre la portée de l’incident et identifier les informations spécifiques qui ont été consultées”, a précisé Karim Toubba.

Ces informations dérobées, dont le champ reste à définir, pourraient vraisemblablement être revendues ou utilisées par les hackers à des fins de phishing.

Le sort s’acharne

Cette intrusion aurait été permise par des informations obtenues par des acteurs malveillants lors d’une précédente attaque en août dernier. LastPass avait alors déterminé que les pirates s’étaient introduits par le biais d’un point d’accès compromis d’un développeur et avait eu accès à des informations techniques, relatives au code source notamment. Aucune donnée ni mot de passe, en revanche, n’avait été exposé.

Karim Toubba avait alors déclaré que l'environnement de production de LastPass était physiquement séparé de l’environnement de développement, sans qu’aucune connexion ne soit possible. Un audit du code avait également été effectué et aucune trace de code malveillant n’avait été détectée.

Un marché évalué à 1,5 milliard de dollars

Quoi qu’il en soit, cette intrusion porte un nouveau coup à la réputation de LastPass, et à celle de cette gamme de logiciels plus globalement, dont le fonds de commerce repose justement sur la cybermenace toujours croissante et le risque de fuite de données. En 2021, ce marché représentait 1,49 milliard de dollars dans le monde, d'après une analyse du cabinet de conseil SkyQuest Technology. Il pourrait même atteindre 7,09 milliards de dollars en 2028.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS