Pour LastPass, les années passent et les incidents de sécurité continuent de s’empiler. Le gestionnaire de mots de passe confirme être touché par une nouvelle fuite de données, même s’il prend soin de préciser que l’attaque ne vient pas de ses propres systèmes. Cette fois, l’origine du problème se trouve chez Klue, une plateforme d’« intelligence commerciale » utilisée par ses équipes marketing et ventes.
La tuile pour LastPass
LastPass indique avoir été informé de l’incident le 12 juin. Klue, qui s’intègre notamment avec Salesforce et Gong, aurait vu des pirates mettre la main sur des jetons OAuth appartenant à plusieurs de ses clients. Ces accès ont ensuite été utilisés pour consulter des données liées à LastPass dans Salesforce.
L’entreprise insiste lourdement sur le point le plus sensible : ses produits, ses services et son infrastructure n’ont pas été compromis. Les coffres-forts de mots de passe des utilisateurs « restent sécurisés », assure LastPass. Aucune donnée liée à Gong n’aurait non plus été consultée. En clair, ce n’est pas la catastrophe de 2022 qui se rejoue. Mais ce n’est pas non plus une bonne nouvelle.
Les données exposées comprennent des noms, numéros de téléphone, adresses e-mail et adresses postales. Les pirates ont aussi pu accéder à des informations de relation client, des données commerciales et des dossiers de support.
C’est probablement là que le sujet devient le plus embêtant. LastPass ne précise pas le contenu exact des tickets concernés. Or, un échange avec un service client peut vite contenir plus que de simples banalités : problème de facturation, difficulté d’accès à un compte, demande d’assistance particulière, voire informations personnelles envoyées un peu trop généreusement par un utilisateur en détresse.
LastPass dit avoir réagi en coupant l’accès de ses employés à Klue, en faisant tourner les jetons API exposés et en lançant une enquête avec Klue et Salesforce. L’entreprise indique aussi coopérer avec les forces de l’ordre.
Klue a reconnu avoir détecté des pirates dans ses systèmes le 12 juin. Un groupe d’extorsion nommé Icarus revendique l’attaque et menace de publier les données volées si aucune rançon n’est payée. Le nombre exact de personnes touchées n’est pas connu. LastPass revendiquait plus de 33 millions d’utilisateurs et environ 1,6 million de clients payants en 2024.
Ce nouvel incident est, sur le papier, moins grave que celui de 2022. Cette année-là, des pirates avaient obtenu des copies des coffres-forts chiffrés de clients LastPass, contenant des mots de passe, des jetons, des informations personnelles et parfois des données bancaires. Mais il n’est pas à l’honneur du gestionnaire…
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
