LastPass reconnaît que des mots de passe et données de ses clients ont été piratés

CYBERATTAQUE•Il est recommandé aux utilisateurs du gestionnaire de mots de passe de modifier leurs dispositifs de sécurité sur les autres sites

L'attaque la plus importante a eu lieu en novembre dernier. Photo d'illustration - markusspiske / Pixabay

20 Minutes avec agences

Publié le 23/12/2022 à 16h02

Mauvaise nouvelle pour les utilisateurs de LastPass, un des plus populaires des outils de gestion de mots de passe. La société avait, dans un premier temps, assuré que les différents piratages dont elle avait été victime n’avaient aucune incidence sur les comptes de ses clients. Mais son discours a changé. Dans un billet de blog publié ce jeudi, LastPass a annoncé que les pirates ont, potentiellement à leur disposition, tous les coffres de mots de passe sécurisés des utilisateurs.

Un premier piratage partiel

En août dernier, la société a subi une importante faille de sécurité, rapporte Presse-Citron. En utilisant un compte compromis d’un créateur de programmes, un individu non autorisé a pu avoir accès à une partie de l’environnement de développement de la plateforme. L’entreprise s’est voulue rassurante, expliquant que seules des portions de codes et des informations techniques étaient concernées.

En novembre, un nouveau piratage a visé LastPass. L’auteur de la cyberattaque a utilisé des informations du piratage précédent pour arriver à ses fins. Cette fois-ci, l’entreprise a précisé que les hackers ont pu accéder à « certaines données clients », sans donner plus de précisions. Celles-ci sont désormais arrivées. Le pirate a en fait eu accès à de nombreuses informations dont « les noms de société, les noms d’utilisateur final, les adresses de facturation, adresses e-mail, numéros de téléphone et adresses IP à partir desquelles les clients accédaient au service », a révélé Karim Toubba, PDG de LastPass.

Des informations particulièrement sensibles

Pire encore, le dirigeant a fait savoir que le cybercriminel a réussi à dupliquer une sauvegarde du contenu « des coffres des clients ». Celui-ci contient aussi bien des données chiffrées que non chiffrées, « comme des adresses Internet de sites Web, ainsi que des champs […] beaucoup plus sensibles comme des mots de passe et identifiants de sites, notes sécurisées et données de préremplissage ».

Ces informations sont cependant protégées par le mot de passe principal du coffre, que seul l’utilisateur connaît. Toutefois, mieux vaut être prudent. Dans tous les cas, les utilisateurs de LastPass ont tout intérêt à modifier leur mot de passe principal, ainsi que tous les mots de passe utilisés sur les autres sites qu’ils visitent.